О направлении рекомендаций по выполнению необходимых организационно-технических мер
Уважаемые коллеги!
Благодарим Вас за сотрудничество и сообщаем, что с учётом имеющегося повышенного уровня угрозы проведения компьютерных атак на организации финансовой сферы, совместно с регулятором в лице Банка России, Федеральной службой технического и экспортного контроля подготовлены рекомендованные организационно-технические меры по защите критичной информации.
Просим Вас ознакомиться с перечнем организационно-технических мер, оценить применимость к вашим объектам информационной инфраструктуры (далее — ИИ).
I. Первоочередные организационно-технические меры:
1. выявление возможных точек проникновения внешнего нарушителя на объекты ИИ (каналы удалённого доступа, подключения к сети Интернет, через взаимодействие с иными информационными (автоматизированными) системами, через беспроводные сети, через веб-интерфейсы и другие способы);
2. ограничение доступа к объектам информационной инфраструктуры через выявленные точки проникновения, в том числе ограничение удалённого подключения к объектам и подключение к сети Интернет. В случае, если эти объекты необходимы работникам кредитно-финансовой организации, которые находятся на дистанционном режиме работы — доступ к таким сервисам следует организовывать строго через VPN.
3. настройте логирование. Убедитесь в достаточной полноте и корректности сохраняемых журналов системных сообщений безопасности и функционирования операционных систем, а также событий доступа к различным сервисам организации (веб сайты, почтовые серверы, DNS-серверы и т.д.). В последующем это может упростить процесс реагирования на возможные компьютерные инциденты. Убедитесь, что логи собираются в необходимом объеме.
4. используйте российские DNS-серверы, корпоративные DNS-серверы и/или DNS-серверы вашего оператора связи в целях недопущения перенаправления пользователей организации на вредоносные ресурсы или осуществления иной вредоносной активности. Если DNS-зона Вашей организации обслуживается иностранным оператором связи, перенесите ее в информационное пространство Российской Федерации.
5. при возможности заблокировать / ограничить на периметровых межсетевых экранах подключения с ip-адресов, страной происхождения которых являются США, Украина, страны Европейского союза или иной страной, являющейся источником компьютерных атак;
6. настроить фильтрацию трафика прикладного уровня с применением средств межсетевого экранирования уровня приложений (web application firewall(WAF)), установленных в режим противодействия атакам, глубокой проверки пакетов (DPI);
7. провести аудит используемых внешних IP-адресов. Установить минимально необходимое для осуществления бизнес-процессов число внешних IP-адресов, отключить доступ извне для тестовых сред, отключить доступ извне для ИТ-систем, не являющихся необходимым для функционирования основных бизнес-процессов;
8. активировать функции / подключить сервис защиты от атак отказа в обслуживании (DDoS-атак) на средствах межсетевого экранирования и других средствах защиты информации;
9. ограничить количество подключений с каждого IP-адреса (например, установить на веб-сервере параметр rate-limit);
10. осуществить настройку граничных межсетевых экранов на блокировку всех в явном виде не разрешенных информационных потоков (настройка методом «белого списка»), в том числе поступающих из «теневого Интернета» через Tor-браузер (список узлов, которые необходимо заблокировать содержится по адресу https://www.dan.me.uk/tornodes);
11. отслеживание появления новых критичных уязвимостей объектов ИИ (например, при помощи https://safe-surf.ru/specialists/bulletins-nkcki/).
12. анализ уязвимостей узлов объектов ИИ, являющихся точками проникновения внешнего нарушителя на объекты ИИ, в том числе уязвимостей конфигурации и кода программного обеспечения узлов включая прикладное и системное программное обеспечение, прошивки оборудования;
13. принятие мер по устранению критических уязвимостей узлов объектов ИИ, являющихся точками проникновения внешнего нарушителя на объекты ИИ;
14. обеспечить изоляцию каналов управления оборудованием и средств управления оборудованием от локально-вычислительной сети. Рекомендуется организовать выделенную (логически изолированную) сеть управления, включающую средства управления и мониторинга технического состояния, ведения журналов событий, аутентификации пользователей.
15. смена аутентификаторов учётных записей пользователей программного обеспечения, установленных на соответствующих узлах сети;
16. ограничение возможности удалённого управления прикладным и системным программным обеспечением, телекоммуникационным оборудованием через сеть Интернет;
17. исключить несанкционированный доступ к управлению оборудованием;
18. исключение применения иностранных систем видеоконференции, в том числе Zoom, Skype, а также систем удалённого доступа (RAdmin, TeamViewer);
19. установка актуальных баз данных средств антивирусной защиты и решающих правил средств обнаружения вторжений;
20. проверка вложений почтовых сообщений в системах динамического анализа файлов;
21. обеспечение регистрации событий безопасности информации, особенно событий, связанных с внешними подключениями к объектам ИИ, анализом сетевого трафика, превышением количества попыток входа пользователей в системы, с попытками запуска сторонних программ и сервисов, а также с удалённым доступом;
22. убедиться, что подконтрольные критичные онлайн-сервисы, приложения или информационные ресурсы сети Интернет, которые необходимы для осуществления основных бизнес-процессов не содержат в себе метрик, в том числе сервисов подсчета и сбора данных о посетителях, сервисов предоставления информации о местоположении, и/или иного контента, подгружаемого с внешних, не контролируемых организацией ресурсах. В случае выявления такого кода, следует рассмотреть возможность временного или постоянного его отключения для снижения вероятности взлома веб-ресурса;
23. исключить возможность использования встроенных видео- и аудио- файлов, интерфейсов взаимодействия API, «виджетов» и других ресурсов, загружаемых со сторонних сайтов, заменив их при необходимости гиперссылкой на такие ресурсы;
24. следите за статусом SSL-сертификата. При использовании SSL-сертификата, выданного иностранным удостоверяющим центром, убедитесь, что соединение с Вашим информационным ресурсом остается доверенным, а используемый SSL-сертификат не отозван. Если SSL-сертификат будет отозван, подготовьте самоподписной SSL-сертификат. Распространите свои сертификаты среди тех, кто использует ваши сервисы (заказчики, партнеры и т.д.).
II. Дополнительные организационно-технические меры:
1. проверка настроек средств межсетевого экранирования и активного сетевого оборудования, находящегося на границе периметра объекта ИИ, отключение неиспользуемых портов и ограничение на доступ пользователей в сеть «Интернет»;
2. отключить неиспользуемые сетевые интерфейсы. При наличии вспомогательного интерфейса (AUX) на оборудовании его также необходимо отключить;
3. проверка наличия вредоносного программного обеспечения в поступающих незапрашиваемых электронных сообщениях (письмах, документах);
4. реализация многофакторной аутентификации для удалённого и локального доступа привилегированных пользователей объектов ИИ;
5. настроить правила доступа для всех категорий пользователей веб-серверов к файлам и каталогам веб-сервера в соответствии с установленными правилами разграничения доступа (например, для пользователей, от имени которых запускается веб-сервер, для пользователей ftp-серверов и пользователей других служб);
6. установить минимально необходимые для работы права доступа к файлам и директориям веб-серверов пользователями и администраторами;
7. ограничить доступ к каталогам систем контроля версий и их содержимому (таким как .git, .svn и другие каталоги);
8. настроить запрет выдачи листинга каталогов при отсутствии в них индексируемых файлов (если иное не предусмотрено функциональными возможностями веб-сервера);
9. настроить с использованием файла с именем robots.txt разрешенные и запрещенные для индексации каталоги и файлы;
10. ограничить хранение в директориях веб-сервера резервных копий и прочих файлов, наличие которых не требуется для функционирования веб-приложения;
11. организация мониторинга информационной безопасности объектов ИИ и дежурства групп оперативного реагирования на компьютерные инциденты из числа наиболее подготовленных специалистов, предусматривающего готовность к реализации мер по обеспечению безопасности объектов ИИ;
12. ограничить (при возможности) сетевое взаимодействие между сегментами объектов ИИ по принципу «запрещено все, что явно неразрешено» (например, с помощью технологии VLAN и списков контроля доступа сетевого оборудования);
13. контроль невозможности подключения неучтённых съёмных машинных носителей информации и мобильных устройств;
14. настроить автоматическую антивирусную проверку подключенных съёмных машинных носителей информации;
15. обеспечение сетевого взаимодействия с применением защищенных актуальных версий протоколов сетевого взаимодействия (HTTPS, SSH, SFTP, и других протоколов);
16. проведение (при возможности) отработки выполнения мер по противодействию компьютерным атакам на объекты ИИ, восстановлению их работоспособности и устранению последствий компьютерных инцидентов;
17. проверка соблюдения ограничений на использование на объектах ИИ личных средств вычислительной техники (ноутбуков, планшетов, смартфонов), модемов и съёмных машинных носителей информации и правил безопасного использования таких средств;
18. проверка соблюдения ограничений на применение на объектах ИИ наиболее часто используемого при реализации компьютерных атак программного обеспечения, в том числе Microsoft Office, Adobe, AutoCad, браузеров, средств администрирования командных оболочек (например, PowerShell, Bash и другие) и правил их безопасного использования;
19. проверку на объектах ИИ соблюдения ограничений на использование программного обеспечения, не относящегося к производственной деятельности и не требуемого для выполнения должностных обязанностей работников объектов ИИ;
20. ограничение доступа пользователей объектов и доступ внешних пользователей из сети «Интернет» к системам централизованного управления инфраструктурой объектов (при наличии) (например, к таким системам относятся Active Directory, SCCM, Zabbix и другие системы);
21. резервное копирование критичной информации объектов ИИ не менее 1 раза в сутки, с хранением на носителе, недоступном для АРМ пользователей организации, в изолированной от сети «Интернет» сегментах объектов либо на отчуждаемом носителе;
22. провести проверку возможности восстановления критичной информации объектов ИИ из резервных копий и контроля целостности создаваемых копий;
23. отключить автоматическое обновление оборудования и его компонентов (например, загрузчика программного обеспечения) из сети Интернет. Обновление оборудования осуществлять только при обнаружении в нем критических уязвимостей или при отказе оборудования, вызванном компьютерными атаками (после снятия образа с оборудования и сохранения журналов регистрации и его конфигурации);
24. обновление программного обеспечения рекомендуется осуществлять только после оценки всех сопутствующих рисков и, по возможности, после их проверки в тестовой среде;
25. обновление программного обеспечения оборудования осуществлять с обязательным резервным копированием на внешние носители с целью возможности «отката» обновления до предыдущей работающей версии. На всех этапах обновления осуществлять контроль целостности программного обеспечения. Обновление проводить поэтапно;
26. отключить взаимодействие с серверами проверки лицензий на право использования дополнительных функциональных возможностей программного обеспечения указанного оборудования;
27. ограничить взаимодействие с технической поддержкой зарубежных производителей, осуществляемой в автоматическом режиме;
28. проинформировать администраторов и пользователей объектов о недопустимости распространения информации о функционировании данных объектов, передаче сторонним лицам своей аутентификационной информации;
29. проинформировать администраторов и пользователей объектов об ответственности за нарушение требований в области информационной безопасности;
30. ограничить доступ сторонних лиц, привлекаемых к обеспечению технического обслуживания, к системам управления оборудованием;
31. включить контроль активности сессии для сеансов управления оборудованием (тайм-аут сессии управления);
32. создать отдельный электронный почтовый адрес, на который пользователи объектов будут присылать письма, которые могут содержать вредоносное содержание (ссылку или вложение);
33. заблокировать (при возможности) получение пользователями объектов ИИ в электронных письмах вложений с расширениями:
*.bat; *.bin; *.chm; *.cmd; *.com; *.cpl; *.dll; *.exe; *.hta; *.htm; *.js; *.jse; *.lnk; *.msi; *.ocx; *.pif; *.reg; *.scr; *.swf; *.vbe; *.vbs; *.wsf; *.wsh; *.ps1; *.ade; *.adp; *.apk; *.appx; *.appxbundle; *.ade; *.dmg; *.ex; *.ex_; *.ins; *.isp; *.iso; *.jar; *.lib; *.mde; *.msc; *.msix; *.msixbundle; *.msp; *.mst; *.nsh; *.sct; *.shb; *.vb; *.vhd; *.vxd; *.wsc;
34. сменить пароли пользователей и администраторов оборудования и далее проводить такую смену не реже 1 раза в месяц. Устанавливаемые пароли должны соответствовать требованиям «сложности»:
- длина пароля должна быть не менее 12 символов;
- пароль не должен основываться на словах естественного языка, а также на том, что связывает его с информацией личностного характера (дата рождения, номер телефона и т.д.);
- пароль не должен содержать более 2 следующих друг за другом одинаковых символов, в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
- при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6-и позициях.
С уважением,
Управление информационной безопасности