Для целей настоящих рекомендаций применяются термины в значениях, определенных в Законе Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации», а также следующий термин и его определение:
объекты информационной системы – средства вычислительной техники, сетевое оборудование, системное и прикладное программное обеспечение, средства технической и криптографической защиты информации (ОИС).
Рекомендуется реализовать следующие меры в собственных информационных системах (ИС), а также контролировать их выполнение подчиненными организациями.
Защита ОИС
- Обеспечить защиту средств вычислительной техники (СВТ) от вредоносного программного обеспечения.
- Использовать криптографические алгоритмы защиты информации, интегрированные в программное обеспечение (ПО), в том числе самих носителей информации.
- Отключить функции автозагрузки внешних машинных носителей информации при их подключении к СВТ.
- Обеспечить контроль (автоматизированный) за составом ОИС.
- Определить перечень разрешенного ПО, регламентировать и контролировать порядок его установки и использования.
- Регламентировать порядок использования внешних машинных носителей информации, мобильных технических средств.
Управление доступом и идентификация пользователей
- Использовать ОИС с правами пользовательских учетных записей.
- Обеспечить управление (централизованное) (создание, активация, блокировка, уничтожение) учетными записями пользователей для доступа к ОИС.
- Ограничить возможности использования общих учетных записей пользователей для доступа к ОИС.
- Разграничить доступ пользователей к ОИС.
- Обеспечить идентификацию и аутентификацию пользователей ИС.
- Своевременно блокировать (уничтожать) неиспользуемые (временно неиспользуемые) учетные записи пользователей.
- Обеспечить доступ пользователей к ОИС на основе ролей.
- Блокировать доступ к ОИС после истечения установленного времени бездействия (неактивности) пользователя или по его запросу.
- Обеспечить изменение атрибутов безопасности сетевого оборудования, ПО, установленных по умолчанию.
- Ограничить количество неуспешных попыток доступа к ОИС.
- Контролировать соблюдение правил генерации и смены паролей пользователей.
- Обеспечить управление физическим доступом в помещения, а также к шкафам со СВТ, сетевым и другим оборудованием.
- Предоставлять уникальные учетные записи привилегированных пользователей для авторизованного доступа к сетевому оборудованию.
- Предоставлять временные учетные записи пользователей для авторизованного доступа в целях обслуживания ОИС неуполномоченными сотрудниками (сторонними организациями), обеспечить их контроль и отключение.
- Предоставлять пользователям авторизованный доступ при подключении к ОИС из-за ее пределов.
Защита почтовых серверов
- Использовать услуги хостинга уполномоченных поставщиков интернет-услуг.
- Обеспечить в реальном масштабе времени автоматическую антивирусную проверку файлов данных, передаваемых по почтовым протоколам, и обезвреживание обнаруженных вредоносных программ.
- Обеспечить спам-фильтрацию почтовых сообщений.
- Использовать механизмы шифрования почтовых сообщений и (или) передачу почтовых сообщений с использованием криптографических протоколов передачи данных (SMTPS, STARTTLS).
- Обеспечить фильтрацию почтовых сообщений с использованием списков нежелательных отправителей почтовых сообщений.
- Использовать механизмы проверки PTR-записи почтовых сервисов.
- Использовать механизмы проверки SPF-записи почтовых сервисов.
- Использовать механизмы почтовой аутентификации отправителя почтовых сообщений (DKIM).
- Блокировать массовую рассылку почтовых сообщений.
Менеджмент активов
- Обеспечить централизованный учет информации об ОИС, разработать схемы физических и(или) логических соединений данных объектов с указанием активов с высоким уровнем важности.
- Регламентировать порядок удаления информации с машинных носителей информации в случае вывода их из эксплуатации.
- Регламентировать порядок хранения неиспользуемых машинных носителей информации.
Менеджмент сети
- Обеспечить сегментацию (изоляцию) сети доступа в Интернет от сети передачи данных (СПД) ИС.
- Обеспечить сегментацию (изоляцию) сети управления ОИС системами видеонаблюдения, СКУД и другими объектами от СПД ИС.
- Обеспечить сегментацию (изоляцию) сети доступа в Интернет сторонних пользователей от СПД ИС.
- Ограничить входящий и исходящий трафик (фильтрация) определенных приложений и сервисов (мессенджеры, социальные сети, онлайн-маркеты, анонимайзеры и др.).
- Ограничить входящий и исходящий трафик (фильтрация) ИС только необходимыми соединениями (использование межсетевого экрана).
- Отключить неиспользуемые порты сетевого оборудования.
- Обнаруживать и предотвращать вторжения в ИС (IPS/IDS).
- Обеспечить доступ пользователей в сеть Интернет с применением технологии проксирования сетевого трафика.
- Использовать ОИС локальной системы доменных имен
(DNS-сервер), в том числе для доступа в сеть Интернет, либо системы доменных имен, расположенной на территории Республики Беларусь.
Менеджмент уязвимостей
- Периодически, но не менее одного раза в год осуществлять контроль отсутствия либо невозможности использования нарушителем свойств программных, программно-аппаратных средств, которые могут быть случайно инициированы (активированы) или умышленно использованы для нарушения информационной безопасности системы и сведения о которых подтверждены изготовителями (разработчиками) этих ОИС.
- Обеспечить обновление ПО ОИС.
- Обеспечить исправление выявленных уязвимостей ОИС.
Аудит безопасности
- Разработать и внедрить план реагирования на инциденты информационной безопасности.
- Организовать взаимодействие с подразделениями информационной безопасности (командами реагирования на компьютерные инциденты) по вопросам управления событиями (инцидентами) информационной безопасности.
- Сформировать подразделения либо назначить сотрудника(ов), ответственных за информационную безопасность.
- Обеспечить централизованный сбор и хранение не менее одного года информации о функционировании СВТ, средств защиты информации, сетевого оборудования, систем, сервисов (netflow-трафик, лог-файлы запросов пользователей к локальным системам доменных имен, лог-файлы системы проксирования подключения к сети Интернет, лог-файлы предоставления пользователям динамических ip-адресов, лог-файлы работы серверов печати и др.), о действиях пользователей, а также о событиях информационной безопасности.
- Периодически, но не менее одного раза в неделю осуществлять мониторинг (просмотр, анализ) событий информационной безопасности, функционирования ОИС.
- Обеспечить защиту от несанкционированного доступа к резервным копиям, параметрам настройки сетевого оборудования и системного ПО, средствам защиты информации и событиям безопасности.
- Осуществлять контроль за внешними подключениями к ИС.
Резервирование информации
- Определить состав и содержание информации, подлежащей резервированию (в том числе конфигурационных файлов сетевого оборудования, лог-файлов служб и сервисов).
- Обеспечить резервирование информации.
Дополнительные рекомендации
- Осуществлять синхронизацию системного времени от единого источника.
Защита виртуальной инфраструктуры
- Обеспечить защиту виртуальной инфраструктуры от несанкционированного доступа и сетевых атак из виртуальной и физической сети, а также виртуальных машин.
Информирование и обучение персонала
- Осуществлять обучение сотрудников правилам использования почтовых сервисов ИС, определения фишинговых сообщений и т.п.
- Определять политики и процедуры информирования и обучения персонала, меры ответственности за нарушение требований по информационной безопасности.
- Периодически, но не менее одного раза в квартал информировать персонал об угрозах информационной безопасности, правилах безопасной работы с ОИС.
- Периодически, но не менее одного раза в год проводить с персоналом практические занятия по правилам безопасной работы с ОИС.
- Периодически, но не менее одного раза в полугодие контролировать осведомленность персонала об угрозах информационной безопасности и о правилах безопасной работы с ОИС.