В соответствии с требованиями ст.19 ФЗ "О персональных данных" Правительство выпустило Постановление №1119, в котором в зависимости от объема обрабатываемых данных определяется требуемый уровень защиты (цифра от 1 до 4).
ФСТЭК РФ в соответствии с ФЗ и ПП-1119 выпустило 2 приказа : для гос.учреждений - Приказ №17, для коммерческих учреждений - Приказ №21, в которых указывается какие меры защиты должны быть внедрены, и если это принципиально, то их характеристики. Парольная защита указана для всех 4 уровней защищенности, однако, параметры этой парольной защиты не указаны. Таким образом по факту они могут быть выбраны Вами любыми, если Вы в случае проверки докажете невозможности их взлома полным перебором за время его (пароля) жизни (иначе это будет противоречить тому же Приказу №21).
Дальше Вы должны отталкиваться от скорости перебора и вычислять по ней требуемую информационную емкость (энтропию) пароля. Явных требований к набору символов энтропия не задает, но увеличивая наборы, Вы фактически позволяете сделать пароль короче (при той же информационной емкости). И очень советую внедрять в системе таймаут (например, 2 минуты) после 5-10 неверных попыток подбора пароля. Иначе требуемая минимальтная длина у Вас выйдет просто нереальная для запоминания рядовому пользователю.
