A A A K K K
для людей із порушенням зору
Михайлівська громада
Запорізька область, Василівський район

Загальні рекомендації щодо підвищення рівня захищеності інформаційних ресурсів при віддаленій роботі співробітників установи

Дата: 15.05.2020 10:15
Кількість переглядів: 1362

  1. Запровадити управління доступом користувачів та адміністраторів до інформаційних ресурсів, які обробляються в інформаційно-телекомунікаційних системах установи.
    1. Механізми розподілу прав доступу до інформаційних ресурсів повинен:

охоплювати всі інформаційні ресурси інформаційно-телекомунікаційних систем установи (інформацію, яка зберігається та обробляється в інформаційно- телекомунікаційних системах, технологічну Інформацію програмного та апаратного забезпечення інформаційно-телекомунікаційних систем, журнали реєстрації подій тощо);

визначати права на виконання операцій для всіх користувачів та адміністраторів (за необхідності також активних процесів) над Інформаційними ресурсами інформаційно-телекомунікаційних систем установи (читання, модифікація, створення, видалення тощо);

за необхідності також визначати права доступу користувачів та адміністраторів до служб (функцій) інформаційно-телекомунікаційних систем установи.

    1. За можливості реалізації, в інформаційно-телекомунікаційних системах повинна надаватися перевага централізованому поширенню Інформації щодо налаштувань прав та атрибутів доступу, параметрів реєстрації подій, інших параметрів безпеки та системних налаштувань компонентів систем.
  1. Ідентифікація та автентифікація користувачів та адміністраторів інформаційно-телекомунікаційних систем установи.
    1. Користувачі та адміністратори інформаційно-телекомунікаційних систем установи (за необхідності також активні процеси) повинні отримувати доступ до служб (функцій), інформації та компонентів систем в межах визначених їм прав доступу тільки після успішного проходження процедури автентифікації на підставі унікального персоніфікованого ідентифікатора (імені) користувача І деякої інформації, що вводиться користувачем (пароль), та/або фізичного ідентифікатора, що надається користувачем (ключ, сертифікат, токен тощо). Користувачі та адміністратори повинні використовувати складні паролі, які мають не менше чим 8 символів, цифри та букви в різних регістрах. Змінювати паролі не рідше одного разу на тиждень.
    2. Засоби інформаційно-телекомунікаційних систем установи повинні надавати можливість ідентифікації операцій користувачів та адміністраторів Інформаційно-телекомунікаційних систем та їх протоколювання в журналах реєстрації подій.
    3. Для надання доступу до служб (функцій) та Інформації інформаційно- телекомунікаційних систем установи повинна надаватися перевага використанню багатофакторної автентифікації користувачів та адміністраторів.
    4. В інформаційно-телекомунікаційних системах установи повинні бути заблоковані або змінені облікові записи адміністраторів та їх паролів, встановлені за замовчуванням, в усіх компонентах систем. Забороняється використовувати облікові записи та паролі за замовчуванням в програмному та апаратному забезпеченні Інформаційно-телекомунікаційних систем.
    5. В Інформаційно-телекомунікаційних системах установи повинні бути видалені або заблоковані неперсоналізовані і гостьові облікові записи користувачів і адміністраторів та використовуватися виключно персоналізовані облікові записи користувачів і адміністраторів в усіх компонентах систем. Під час звільнення, переведення тощо співробітника його обліковий запис повинен бути негайно заблокований, видалений або змінені його права доступу відповідно до нової посади в усіх компонентах інформаційно- телекомунікаційних систем.
    6. Обладнання (персональні комп’ютери, мобільні пристрої тощо) яке підключається до інформаційно-телекомунікаційних систем установи, повинно бути ідентифіковане (наприклад, за IP-адресою, МАС-адресою тощо), а також повинні бути вжиті заходи, які унеможливлюють роботу обладнання в системах без відповідної ідентифікації. Повинен бути заборонений доступ до інформаційно-телекомунікаційних систем установи з незареєстрованого та невстановленого обладнання.
    7. Повинна використовуватись повторна автентифікація користувачів та адміністраторів після певного проміжку часу відсутності активності в сеансі роботи.
  2. Реєстрація подій компонентами інформаційно-телекомунікаційних систем установи та їх періодичний аудит.
    1. Компоненти інформаційно-телекомунікаційних систем установи повинні забезпечити реєстрацію, збереження в електронних журналах та захист від модифікації інформації щонайменше про такі події:

доступ та дії з Інформацією, яка зберігається та обробляється в інформаційно-телекомунікаційних системах установи, а також з налаштуваннями програмного та апаратного забезпечення систем, журналами реєстрації подій тощо (читання, модифікація, створення, видалення тощо);

реєстрація подій, пов’язаних Із встановленням та зміною прав доступу до служб (функцій), інформації та компонентів Інформаційно-телекомунікаційних систем;

вхід/вихід користувачів та адміністраторів в/із компонентів інформаційно-телекомунікаційних систем;

невдалі спроби входу користувачів та адміністраторів в інформаційно- телекомунікаційні системи та перевищення граничної кількості спроб введення пароля;

реєстрація, видалення (блокування) облікових записів користувачів та адміністраторів у компонентах інформаційно-телекомунікаційних систем;

зміна пароля користувача в компонентах інформаційно- телекомунікаційних систем;

реєстрація подій, пов’язаних із зміною конфігураційних налаштувань компонентів інформаційно-телекомунікаційних систем;

спроби здійснення несанкціонованого доступу до ресурсів інформаційно- телекомунікаційних систем;

негативні результати перевірок цілісності даних та програмного і апаратного забезпечення інформаційно-телекомунікаційних систем;

всі дії адміністратора з журналами реєстрації подій (логами) компонентів Інформаційно-телекомунікаційних систем та налаштування ним параметрів реєстрації.

Повний перелік подій, які реєструються компонентами інформаційно- телекомунікаційних систем, визначається виходячи Із встановленої в інформаційно-телекомунікаційних системах установи політики інформаційної безпеки.

    1. Журнали реєстрації подій (лоти) компонентів інформаційно- телекомунікаційних систем повинні містити інформацію про дату, час, місце, тип і успішність чи неуспішність кожної зареєстрованої події. Журнали реєстрації повинні містити інформацію, достатню для встановлення користувача, процесу і мережевого об’єкта, що мали відношення до кожної зареєстрованої події.
    2. Адміністратори систем повинні проводити періодичний аудит журналів реєстрації подій (логів) компонентів інформаційно- телекомунікаційних систем установи з метою виявлення ймовірних атак чи сканувань та виявлення інших подій, які можуть стосуватися інформаційної безпеки.
    3. Журнали реєстрації подій (логи) компонентів інформаційно- телекомунікаційних систем установи повинні архівуватися та зберігатися не менше року з моменту їх архівації.
  1. Забезпечення мережевого захисту компонентів та Інформаційних ресурсів інформаційно-телекомунікаційних систем установи.
    1. В інформаційно-телекомунікаційних системах установи, у тому числі на віддалених робочих місцях користувачів та адміністраторів систем повинні використовуватися засоби захисту від зловмисного коду, шкідливого програмного забезпечення та вірусів з (антивірусне програмне забезпечення або Інші засоби які включаються до свого складу такі функції з останніми оновленнями своїх антивірусних баз).
    2. Доступ адміністраторам та користувачам зі своїх робочих місць до компонентів інформаційно-телекомунікаційних систем повинен надаватися виключно з визначених ІР-адрес.
    3. На межі (периметрі) Інформаційно-телекомунікаційних систем установи між мережею Інтернет, зовнішніми мережами та системами установи повинні бути встановлені засоби мережевого захисту (IDS, IPS, Firewall тощо), що виконують щонайменше такі функції захисту:

захист від атак “нульового дня” (вразливості програмного забезпечення, які ще невідомі користувачам чи розробникам програмного забезпечення та проти яких ще не розроблені механізми захисту), виявлення зловмисного коду та шкідливого програмного забезпечення;

фільтрація трафіку та розмежування доступу між мережею Інтернет, зовнішніми мережами та системами установи за критеріями дозволених та З

заборонених служб, протоколів, портів, мережевих адрес, мережевих з’єднань, небажаних веб-сайтів тощо. Блокування трафіку та з’єднань, які не відповідають визначеним критеріям;

захист від атак типу “відмова в обслуговуванні” та інших відомих мережевих атак;

фільтрація та аналіз трафіку за визначеними відповідно до політики інформаційної безпеки критеріями;

моніторинг трафіку на наявність зловмисного коду, вірусів зловмисного програмного забезпечення та за іншими визначеними відповідно до політики інформаційної безпеки критеріями;

виявлення та запобігання атакам та вторгненням, спрямованим на програмні та апаратні компоненти та інформацію інформаційно- телекомунікаційних систем установи;

захист від несанкціонованого доступу через Інтернет;

балансування навантаження;

маскування структури і мережевих адрес мережі;

завершення з’єднання з вузлом у разі атаки;

здійснення реєстрації подій, що мають відношення до безпеки;

Інші функції, визначені політикою безпеки установи.

    1. Для захисту інформаційно-телекомунікаційних систем установи повинні використовуватися програмно-апаратні засоби, потужність яких визначається виходячи із потужності трафіку, який передбачається в мережі, з урахуванням його потенційного збільшення.
    2. В інформаційно-телекомунікаційних системах установи необхідно здійснити розподіл систем установи на фізичному та/або логічному рівні (сегментацію мережі) і обмежити доступ між сегментами мережі з використанням міжмережевих екранів або аналогічних за функціональністю засобів мережевого захисту.
    3. Реалізована архітектура інформаційно-телекомунікаційних систем установи повинна надавати можливість розподілу мереж установи на такі частини / зони (віртуальні підмережі):

зовнішня зона (DMZ-zone): зона із зовнішніми діапазонами адресації мережі для розміщення зовнішніх (публічних) інформаційних ресурсів та сервісів інформаційно-телекомунікаційних систем;

зона прикладних застосувань інформаційно-телекомунікаційних систем (APP-zone): захищена внутрішня зона із внутрішньою адресацією, призначена для розміщення серверів застосувань, доступна для виконання функціональних запитів користувачів інформаційних сервісів;

зона сховищ даних інформаційно-телекомунікаційних систем (DB-zone): захищена внутрішня зона із внутрішньою адресацією, призначена для розміщення баз даних, для доступу за запитами прикладних застосувань зони (APP-zone);

зона прикладних застосувань системи безпеки (Security-zone): захищена внутрішня зона із внутрішньою адресацією, призначена для розміщення сервісів та служб захисту інформації;

тестова зона (Test-zone): захищена внутрішня зона із внутрішньою адресацією, призначена для тестування нових компонентів та/або оновлень програмного та апаратного забезпечення інформаційно-телекомунікаційних систем, перед тим як впровадити їх в промислову експлуатацію в інформаційно-телекомунікаційних системах.

Перелік частин / зон мережі, на які вони розподіляється, може відрізнятися від наведеного розподілу відповідно до функцій та структури мережі установи.

    1. Сервери та обладнання, що забезпечують функціонування сервісів та віддалений доступ клієнтів / користувачів інформаційно-телекомунікаційних систем установи із зовнішніх мереж, повинні бути розміщені В ЗОВНІШНІЙ зоні інформаційно-телекомунікаційних систем установи. З’єднання серверів та обладнання, які розміщені в зовнішній зоні, із серверами та обладнанням внутрішньої мережі інформаційно-телекомунікаційних систем установи повинні захищатися міжмережевим екраном.
    2. Робочі станції, з яких виконуються дії щодо адміністрування програмного та апаратного забезпечення Інформаційно-телекомунікаційних систем установи, а також серверні частини засобів захисту інформації повинні бути розміщені в зоні прикладних застосувань системи безпеки (Security-zone) мережі, захищеної за допомогою міжмережевого екрана.
    3. Сегмент інформаційної інфраструктури інформаційно- телекомунікаційних систем установи, в якому перебуває система керування технологічними процесами, повинен бути відокремленим від інших систем інформаційно-телекомунікаційних систем установи, У випадку логічного відокремлення на межі сегмента повинен бути встановлений міжмережевий екран.
    4. Повинні бути визначені та відключені (заблоковані) програмні порти компонентів інформаційно-телекомунікаційних систем установи, які є небезпечними для забезпечення кібербезпеки.
    5. Для захисту даних, які передаються через незахищене середовище, зокрема мережу Інтернет, між віддаленими користувачами, адміністраторами та інформаційно-телекомунікаційними системами установи необхідно використовувати захищені з’єднання із забезпеченням конфіденційності та цілісності цих даних та використанням засобів криптографічного захисту інформації (шифрування).
    6. До глобальних мереж передачі даних, зокрема Інтернету, Інформаційно-телекомунікаційні системи установи повинні підключатися через тих операторів, провайдерів телекомунікацій, які мають захищені вузли доступу до глобальних мереж передачі даних із створеними комплексними системами захисту інформації з підтвердженою відповідністю.
  1. Забезпечення доступності та відмовостійкості компонентів та інформаційних ресурсів інформаційно-телекомунікаційних систем установи.
    1. Для забезпечення відмовостійкості інформаційно-телекомунікаційних систем установи повинно здійснюватися, як мінімум, таке:

періодичне, але не рідше одного разу на тиждень, створення резервних копій інформаційних ресурсів інформаційно-телекомунікаційних систем 5

установи, включаючи інформацію, яка зберігається в інформаційно- телекомунікаційних системах установи, технологічну інформацію компонентів систем та образів віртуальних серверів інформаційно-телекомунікаційних систем, а також їх відновлення у випадку втрати або пошкодження. Носії даних, на яких зберігаються резервні копії, повинні зберігатися тільки у визначеного адміністратора, при цьому цей адміністратор повинен нести відповідальність за їх безпечне зберігання;

резервування критичних для функціонування інформаційно- телекомунікаційних систем установи програмних та апаратних компонентів для забезпечення їх сталого функціонування у випадку виходу з ладу одного з критичних компонентів. У разі використання в Інформаційно- телекомунікаційних системах установи віртуальних серверів необхідно забезпечити їх резервування;

дублювання (кластеризація) критичних для функціонування інформаційно-телекомунікаційних систем установи програмних та апаратних компонентів інформаційно-телекомунікаційних систем для забезпечення їх сталого функціонування, зниження навантаження та збільшення продуктивності;

використання засобів балансування навантаження;

використання джерел безперебійного живлення для критичних компонентів інформаційно-телекомунікаційних систем установи;

зв’язок з Інтернетом з використанням двох та більше каналів передачі даних, які надаються різними операторами мережі передачі даних (провайдерами), — для інформаційно-телекомунікаційних систем установи, які надають свої послуги через Інтернет.

    1. Необхідно заборонити або щонайменше мінімізувати використання флеш та інших типів з’ємних носіїв даних на робочих станціях користувачів та адміністраторів інформаційно-телекомунікаційних систем установи.
    2. Робочі станції користувачів та адміністраторів інформаційно- телекомунікаційних систем установи повинні бути недоступні для використання членами сім’ї співробітника установи.
  1. Визначення умов використання змінних (зовнішніх) пристроїв та носіїв інформації в інформаційно-телекомунікаційній системі установи.
    1. В інформаційно-телекомунікаційних системах установи, включаючи віддалені робочі місця користувачів та адміністраторів систем, повинна проводитися перевірка всіх змінних (зовнішніх) пристроїв та носіїв інформації перед кожним їх використанням засобами захисту від зловмисного коду, шкідливого програмного забезпечення та вірусів (антивірусне програмне забезпечення або інші засоби які включаються до свого складу такі функції з останніми оновленнями своїх антивірусних баз).
    2. В інформаційно-телекомунікаційних системах установи, включаючи віддалені робочі місця користувачів та адміністраторів систем, повинно бути відключено автоматичний запуск програм із змінних (зовнішніх) пристроїв та носіїв інформації.
    3. Порти компонентів мережевого обладнання, робочих станцій та серверів, які не використовуються, мають бути заблоковані адміністраторами цих систем.
  2. Визначення умов використання програмного та апаратного забезпечення інформаційно-телекомунікаційних систем установи.
    1. В інформаційно-телекомунікаційних системах установи повинна проводитися перевірка на цілісність та автентичність оновлень компонентів інформаційно-телекомунікаційних систем установи. У разі порушення цілісності або непІдтвердження автентичності оновлення воно повинно бути відхилене І не повинно застосовуватися.
    2. У складі Інформаційно-телекомунікаційних систем установи, у тому числі віддалених робочих місць користувачів та адміністраторів, повинно використовуватися програмне та програмно-апаратне забезпечення, для якого не припинено підтримку виробника. Повинні використовуватися офіційні стабільні версії прикладного програмного забезпечення та драйверів. Все програмне забезпечення повинно регулярно оновлюватися до останніх версій та включати всі останні оновлення та патчі, включаючи останні критичні оновлення та оновлення безпеки, від виробників цих програмних та програмно- апаратних продуктів.
    3. Програмні та апаратні засоби, які використовуються у складі інформаційно-телекомунікаційних систем установи, у тому числі віддалених робочих місць користувачів та адміністраторів, не повинні мати походження з іноземної держави, до якої застосовано санкції згідно із Законом України “Про санкції-”, чи бути розроблені/виготовлені юридичною особою — резидентом такої іноземної держави або юридичною особою, частка статутного капіталу якої перебуває у власності зазначеної іноземної держави, або юридичною особою, яка перебуває під контролем юридичної особи такої іноземної держави.
  3. Окремі практичні рекомендації щодо підвищення рівня захищеності інформаційно-телекомунікаційних систем установи.
    1. Організувати процес контролю наявності вразливостей на активному мережевому, серверному обладнанні та робочих місцях користувачів Інформаційно-телекомунікаційних систем установи.
    2. Упровадити систему моніторингу працездатності мережевого, серверного обладнання інформаційно-телекомунікаційних систем установи, а також каналів зв’язку; як варіант використовувати можливості протоколу SNMP.
    3. Для унеможливлення проведення атак типу Man-in-the-Middle з використанням техніки ARP-spoofmg вжити заходів з налаштування статичних значень ARP-таблиць АРМ і серверного обладнання інформаційно- телекомунікаційних систем установи.
    4. Вжити заходів з унеможливлення використання в інформаційно- телекомунікаційних системах установи стороннього програмного забезпечення.
    5. Здійснити прив’язку МАС-адресІв ПЕОМ співробітників до конкретного інтерфейсу комутатора, цим самим заборонивши підключення сторонніх ПЕОМ.
    6. По можливості запровадити підключення користувачів до мережі з використанням стандарту IEEE 802. lx.
    7. Забезпечити використання протоколів, які забезпечують стійке шифрування даних. Для протоколів HTTP, POP3, FTP та інших використовувати щонайменше SSL версії 3. Під час використання протоколу RDP вжити заходів з налаштування опції мережевої автентифікації (NLA), а також під час встановлення сесії між сервером і клієнтом дозволити використання лише стійких алгоритмів.
    8. Не допускати простих та стандартних паролів для мережевого обладнання та інших компонентів інформаційно-телекомунікаційних систем установи з метою підвищення стійкості паролів облікових записів користувачів.
    9. Обмежити можливість запуску виконуваних файлів (*.ехе) на комп’ютерах користувачів установи з директорій %ТЕМР%, %APPDATA°/o.
    10. Організувати процес безпечного доступу співробітників установи до ресурсів мережі Інтернет за допомогою PROXY-сервера. Налаштувати обмеження доступу до визначеного переліку веб-сайтів, балансування навантаження на канал зв’язку, журналювання сеансів користування Інтернетом та налаштувати заборону завантаження файлів певних типів *.ехе, *.pdf, *.avi, які можуть містити шкідливе програмне забезпечення.
    11. Закрити порти на серверному обладнанні інформаційно- телекомунікаційних систем установи, які не використовуються.
    12. Постійно підтримувати рівень обізнаності персоналу установи у сфері інформаційної безпеки.
    13. Використовувати тільки «LTS» версії фреймворків, бібліотек та останні версії CMS, плагінів та модулів на веб-сайтах установи.
    14. Використовувати тільки захищені протоколи та з’єднання для адміністрування сайту чи серверу.
    15. Розміщувати вебсервер на своєму, окремо виділеному, віртуальному або фізичному сервері.
  1. Обмежити доступ до панелі адміністратора з мережі Інтернет та мереж загального користування.
  2. Налаштувати кешування сторінок з метою збільшення швидкості роботи сайту та запобігання DOS, DDOS атак.
  3. Перевірити ресурс на наявність шкідливого програмного забезпечення, використовуючи рекомендації із самостійного пошуку та ліквідації веб-шеллів (https://cert.gov.ua/files/pdfyCUA-14-06R.pdf).
  4. Заборонити доступ до інформаційно-телекомунікаційних систем установи з незареєстрованого та невстановленого обладнання.
  5. Заборонити або щонайменше мінімізувати використання флеш та інших типів з’ємних носіїв даних на робочих станціях користувачів та адміністраторів інформаційно-телекомунікаційних систем установи.
  6. Робочі станції користувачів та адміністраторів інформаційно- телекомунікаційних систем установи повинні бути недоступні для використання членами сім’ї співробітника установи.
  1. Рекомендації щодо дій по закінченню карантину.
    1. Переглянути права доступу всіх користувачів та адміністраторів інформаційно-телекомунікаційних систем установи до інформаційних ресурсів та сервісів систем.
    2. Змінити паролі та інші атрибути доступу користувачів та адміністраторів до інформаційно-телекомунікаційних систем установи.
    3. Переглянути політику безпеки, прийняту в установі, відповідно до зміни порядку роботи користувачів в інформаційно-телекомунікаційних системах установи,
    4. Провести контроль (аудит) рівня захищеності інформаційно- телекомунікаційних систем установи.


« повернутися

Код для вставки на сайт

Вхід для адміністратора