Файл: Разработка рекомендаций по сбору и оценке событий информационной безопасности.pdf

Правила доступа и использования.

Данные документы были переданы на утверждение генеральному директору Компании и, впоследствии, будут внедрены.

Также результатом анкетирования и первоначального аудита информационной системы предприятия на предмет информационной безопасности (аудит на соответствие стандартам безопасности) стали рекомендации по устранению угроз безопасности:

2.2 Оценка соответствия Корпоративному стандарту по информационной безопасности

Всего не выполнено 350 требования из 473 стандарта ISO/IEC 17799. Общий риск невыполнения требований составляет 71%.

Нормативные документы по обеспечению информационной безопасности

Уровень качества существующих распорядительных документов по ИБ оценивается как достаточно высокий.

В Компании не проводится создание и внедрение на практике нормативной базы документов по обеспечению информационной безопасности в соответствии с Корпоративным стандартом КОМСТАР-ОТС. При этом существующей нормативной базы и практики ее применения в информационной системе Общества явно недостаточно для соответствия требованиям Корпоративного стандарта и обеспечения должного уровня защищенности информационных ресурсов.

Квалификация персонала

Уровень квалификации пользователей в области ИБ – низкий, сотрудников отдела безопасности – низкий, сотрудников отдела ИТ (в области ИБ) – высокий.

Уровень оперативной готовности

Уровень оперативной готовности реагирования на инциденты в области информационной безопасности – крайне низкий.

Сетевая инфраструктура

Уровень сегментации сети и изоляции сегментов – низкий. Обнаруженные грубые ошибки в конфигурации сетевого оборудования позволяют потенциальному нарушителю получить полный контроль над транспортным уровнем сетевой инфраструктуры (в том числе – получить неограниченный доступ к сети Интернет) и проводить как сбор информации, передаваемой по сети (аутентификационные данные пользователей, служебные данные, бизнес-информация), так и организовывать сложные атаки на серверы и рабочие станции КИС. В ходе работы был получен доступ на подавляющее большинство коммутаторов и маршрутизаторов.

Серверы

Защищенность серверов в целом находится на достаточно высоком уровне. Распределение функциональной нагрузки между серверами выполнено с учетом требований безопасности. Контроллеры домена, как наиболее важные серверы, достаточно защищены от атак потенциальных нарушителей.

Рабочие станции

Защищенность рабочих станций находится на низком уровне. Большое количество рабочих станций имеет типовые ошибки в администрировании: общие для ряда компьютеров или пустые пароли к административным учетным записям, отсутствие обновлений безопасности.

2.3 Рекомендации по обеспечению информационной безопасности.

Соответствие Корпоративному стандарту по информационной безопасности

Прежде всего, необходимо начать работу по реализации требований Корпоративного стандарта (которые в настоящее время практически не выполняются), уделяя особое внимание процедурам контроля и проверки действий пользователей (в том числе активнее использовать как процедуры гласного контроля, так и негласный контроль над пользователями). В соответствии с Корпоративным стандартом требуется разработать и официально утвердить ряд регламентов по ИБ.

Особое внимание требуется обратить на следующие направления организации обеспечения информационной безопасности:

обучение пользователей вопросам информационной безопасности;

расследование инцидентов в области информационной безопасности;

разделение информационных сред по целям использования;

процедуры внедрения новых информационных систем;

контроль изменений в операционной среде (ведение и анализ журналов аудита, нормативные документы);

наличие матрицы доступа по всем критичным ресурсам;

администрирование критичных ресурсов с применением принципа разделения ответственности;

перечень разрешенных сервисов на всех критичных ресурсах;

контроль за информационными потоками (учет входящих и исходящих электронных документов).

Для организации работы по внедрению и реализации требований Корпоративного стандарта рекомендуется создать отдел информационной безопасности, специалистам которого следует поручить выполнение данных функций.

Нормативные документы по обеспечению информационной безопасности

В соответствии с Корпоративным стандартом КОМСТАР-ОТС, имеющийся список нормативных документов в Обществе необходимо расширить, добавив следующие наиболее важные регламенты:

Обучение пользователей.

Матрица доступа по всем критичным ресурсам.

Внедрение и тестирование новых информационных систем.

Расследование инцидентов в области ИБ.

Перечень разрешенного ПО, установленного на критичных ресурсах.

Инвентаризация ресурсов.

Физическое уничтожение отработавшего оборудования или остаточной информации.

Анализ и реагирование на инциденты в области ИБ.

Ведение и регулярный анализ журналов системных событий.

Распределение ответственности при выполнении критичных операций.

Разделение сред по целям использования (операционная среда, тестирования и среда разработки).

Контроль изменений в операционной среде.

Регулярные проверки ИБ (внутренние проверки, внешний аудит).

Обеспечение непрерывности ведения бизнеса.

Распределение ответственности за обеспечение информационной безопасности.

Безопасность персонала.

Безопасность носителей данных.

Передача во внешнюю среду конфиденциальной информации в электронном виде.

Перечень конфиденциальной информации, существующей в Обществе, и оценка уровня ущерба по угрозам конфиденциальности, целостности, доступности по видам конфиденциальной информации.

Перечень ценной информации, существующий в Обществе, и оценка уровня ущерба по угрозам конфиденциальности, целостности и доступности по видам ценной информации.

Методы и средства анализа и управления информационными рисками.

Квалификация персонала

Для обеспечения безопасности и повышения квалификации пользователей требуется регулярно проводить тренинги в области ИБ для пользователей и внедрить развитую систему регулярных проверок за действиями пользователей в ИС.

Для повышения квалификации персонала из службы ИТ следует регулярно проводить для них курсы повышения квалификации по ИБ (особенно по сетевому оборудованию) и ставить задачу обеспечения ИБ как от менеджеров заказчика, так и от лица высшего руководства заказчика, тем самым стимулируя их выполнять задачи обеспечения безопасности на требуемом Корпоративным стандартом уровне.

Уровень оперативной готовности

Для повышения уровня оперативной готовности рекомендуется выделить специалиста по информационным технологиям из состава службы безопасности, которому поручить постоянный мониторинг безопасности ИС. В составе службы ИТ рекомендуется выделить администратора, задачей которого являлось бы обеспечение ИБ и регулярный мониторинг и анализ журналов системных событий Кроме того, рекомендуется установить и настроить должным образом системы обнаружения атак, сетевые сенсоры и хосты-ловушки.

Сетевая инфраструктура

Сеть должна быть глубоко сегментирована. Рекомендуется выделить сегмент серверов, сегмент сетевых принтеров, сегмент рабочих станций системных администраторов, сегменты рабочих станций пользователей (по географическому, организационному, функциональному или иному признаку), демилитаризованную зону. Глубокая сегментация позволяет разграничить доступ пользователей к различным ресурсам КИС и разработать строгие правила для разрешенных видов доступа (включая деление на различные уровни доступа), а также легко протоколировать потенциально небезопасную сетевую активность пользователей (потенциальных нарушителей ИБ).

Сегменты сети должны быть максимально изолированы друг от друга, не нарушая требования информационных потоков, определяемые бизнес-функцией сети. Изоляция сегментов должна быть выполнена на уровне транспортных протоколов на коммутаторах и маршрутизаторах сети.

Пароли на доступ к консолям управления сетевыми устройствами должны отвечать требованиям стойкости для паролей административных учетных записей. Недопустимо использование паролей, установленных изготовителем оборудования (паролей по умолчанию).

Для администрирования активного сетевого оборудования и прочих сетевых устройств (сетевых принтеров, источников бесперебойного питания и т.п.) рекомендуется использовать протокол SSH версии 2 или протокол SNMP версии 3 (с поддержкой криптографической защиты трафика). Остальные протоколы, которые могут использоваться для администрирования, рекомендуется отключить.

Необходимо ограничить доступ к сетевым устройствам по протоколу SNMP с идентификационными строками «public» и «private» или сменить строку идентификации.

Рекомендуется ограничить доступ к административным интерфейсам только с ряда IP-адресов или подсетей и протоколировать все успешные и неуспешные подключения.

Необходимо протоколировать изменения конфигурации сетевых устройств, а также все критические события на сетевых устройствах.

Недопустимо хранение файлов конфигурации активного сетевого оборудования вне сетевых устройств без использования средств криптографической защиты.

Серверы

Общие положения

Необходима регулярная установка обновлений операционной системы и программного обеспечения.

Каждый сервер должен быть обеспечен источником бесперебойного питания, мощности которого должно хватить для корректного завершения работы системы или обеспечения электропитанием до включения резервного источника питания.

Профиль администратора домена Windows должен быть перемещаемым.

Все неиспользуемые в течение некоторого срока (например, 1 месяца) учетные записи должны быть отключены.

Рекомендуется полностью запретить доступ к доменам Windows с рабочих станций, не включенных в домен (настраивается с помощью редактирования политики безопасности доменов), а также ограничить доступ ко всем сервисам домена без обязательной авторизации.

Недопустимо включать тестовые серверы и отдельные службы в рабочую (производственную) среду. Тестовая среда должна быть полностью отделена от рабочей (производственной) среды.

Для криптографической защиты аутентификационных данных рекомендуется использовать стойкие протоколы и алгоритмы, в том числе – NTLM версии 2, MD5.

Рекомендуется запретить правилами фильтрации неиспользуемые сетевые протоколы на серверах предоставления доступа в Интернет Microsoft ISA (в частности, протокол ICMP, при помощи которого потенциальный нарушитель может организовать туннель для скрытой передачи данных).

Ввести контроль за включением в корпоративную сеть новых серверов (в особенности – серверов сторонних организаций) и выполнять проверку их свойств безопасности перед развертыванием.

Рекомендуется провести проверку (инвентаризацию) всего установленного на серверах ПО с точки зрения информационной безопасности и удалить небезопасное ПО.

Политика паролей для учетных записей пользователей

Длина пароля – не менее 8 символов.

Пароль обязательно должен включать в себя прописные и строчные буквы, цифры, специальные символы.

Максимальный срок действия пароля должен быть ограничен 2 месяцами.

Учетная запись пользователя, не сменившего вовремя пароль, должна автоматически блокироваться. Блокировка должна сниматься «вручную» системным администратором или специалистом службы технической поддержки с одновременной сменой пароля пользователя.

Новый пароль пользователя не должен совпадать как минимум с предыдущим паролем.

Пароль не должен совпадать с именем учетной записи пользователя.

Для предотвращения попыток подбора пароля после 5 неудачных попыток авторизации учетная запись пользователя должна блокироваться на 30 минут, после чего блокировка должна автоматически сниматься. В журнал системных событий сервера должно заноситься сообщение о многократно неудавшихся попытках авторизации пользователя.

Рекомендуется, чтобы пароли пользователей на доступ к различным ресурсам корпоративной информационной системы (для учетных записей домена, электронной почты, базы данных) различались.