ISOとパスワードのセキュリティ
私は身元調査を受けなければなりません。クライアントにサービスを提供する会社は、Verifications、Incと呼ばれます。Verifications、Incは、データセキュリティ計画、ISO認証、および米国連邦政府のクライアントを持っていると主張しています。
同社がWebベースのシステムを提供し、ユーザー名とパスワードをプレーンテキストの電子メールで外部システムに送信していることを知って驚いた。たとえば、会社はAOLまたはMindspringアカウントに招待メールを送信します。
パスワードを電子メールで送信することはNISTの慣行に違反していることを私は知っています。たとえば、SP800-53のオーセンティケータ管理IA-5および場合によってはIA-6に違反します。また、SP800-118の取り扱い方法にも違反しています。
プレーンテキストのパスワードを電子メールで送信することがISOの下で受け入れられる方法であるかどうか誰かが知っていますか?データの機密性はISOの下での取り扱いに影響しますか?
ISO/IEC 27002:2015セクション9)アクセス制御サブセクション9.4.2-安全なログオン手順
"適切な認証技術を実装および使用し、ログオン時に機密情報を開示しない、データ入力の検証、ブルートフォース攻撃からの保護、ロギング、パスワードを明確に送信しないネットワーク、セッションの非アクティブタイムアウト、およびアクセス時間の制限。 "