10.03.2022 17:21

О рекомендациях по выполнению необходимых организационно-технических мер

Уважаемые коллеги!

НКО-ЦК «Клиринговый центр МФБ» (АО) сообщает, что с учётом имеющегося повышенного уровня угрозы проведения компьютерных атак на организации финансовой сферы, совместно с регулятором в лице Банка России, Федеральной службой технического и экспортного контроля подготовлены рекомендованные организационно-технические меры по защите критичной информации.

Просим Вас ознакомиться с перечнем организационно-технических мер, оценить применимость к вашим объектам информационной инфраструктуры (далее — ИИ).

I. Первоочередные организационно-технические меры:

1. выявление возможных точек проникновения внешнего нарушителя на объекты ИИ (каналы удалённого доступа, подключения к сети Интернет, через взаимодействие с иными информационными (автоматизированными) системами, через беспроводные сети, через веб-интерфейсы и другие способы);

2. ограничение доступа к объектам информационной инфраструктуры через выявленные точки проникновения, в том числе ограничение удалённого подключения к объектам и подключение к сети Интернет. В случае, если эти объекты необходимы работникам кредитно-финансовой организации, которые находятся на дистанционном режиме работы — доступ к таким сервисам следует организовывать строго через VPN.

3. настройте логирование. Убедитесь в достаточной полноте и корректности сохраняемых журналов системных сообщений безопасности и функционирования операционных систем, а также событий доступа к различным сервисам организации (веб сайты, почтовые серверы, DNS-серверы и т.д.). В последующем это может упростить процесс реагирования на возможные компьютерные инциденты. Убедитесь, что логи собираются в необходимом объеме.

4. используйте российские DNS-серверы, корпоративные DNS-серверы и/или DNS-серверы вашего оператора связи в целях недопущения перенаправления пользователей организации на вредоносные ресурсы или осуществления иной вредоносной активности. Если DNS-зона Вашей организации обслуживается иностранным оператором связи, перенесите ее в информационное пространство Российской Федерации.

5. при возможности заблокировать / ограничить на периметровых межсетевых экранах подключения с ip-адресов, страной происхождения которых являются США, Украина, страны Европейского союза или иной страной, являющейся источником компьютерных атак;

6. настроить фильтрацию трафика прикладного уровня с применением средств межсетевого экранирования уровня приложений (web application firewall(WAF)), установленных в режим противодействия атакам, глубокой проверки пакетов (DPI);

7. провести аудит используемых внешних IP-адресов. Установить минимально необходимое для осуществления бизнес-процессов число внешних IP-адресов, отключить доступ извне для тестовых сред, отключить доступ извне для ИТ-систем, не являющихся необходимым для функционирования основных бизнес-процессов;

8. активировать функции / подключить сервис защиты от атак отказа в обслуживании (DDoS-атак) на средствах межсетевого экранирования и других средствах защиты информации;

9. ограничить количество подключений с каждого IP-адреса (например, установить на веб-сервере параметр rate-limit);

10. осуществить настройку граничных межсетевых экранов на блокировку всех в явном виде не разрешенных информационных потоков (настройка методом «белого списка»), в том числе поступающих из «теневого Интернета» через Tor-браузер (список узлов, которые необходимо заблокировать содержится по адресу https://www.dan.me.uk/tornodes);

11. отслеживание появления новых критичных уязвимостей объектов ИИ (например, при помощи https://safe-surf.ru/specialists/bulletins-nkcki/).

12. анализ уязвимостей узлов объектов ИИ, являющихся точками проникновения внешнего нарушителя на объекты ИИ, в том числе уязвимостей конфигурации и кода программного обеспечения узлов включая прикладное и системное программное обеспечение, прошивки оборудования;

13. принятие мер по устранению критических уязвимостей узлов объектов ИИ, являющихся точками проникновения внешнего нарушителя на объекты ИИ;

14. обеспечить изоляцию каналов управления оборудованием и средств управления оборудованием от локально-вычислительной сети. Рекомендуется организовать выделенную (логически изолированную) сеть управления, включающую средства управления и мониторинга технического состояния, ведения журналов событий, аутентификации пользователей.

15. смена аутентификаторов учётных записей пользователей программного обеспечения, установленных на соответствующих узлах сети;

16. ограничение возможности удалённого управления прикладным и системным программным обеспечением, телекоммуникационным оборудованием через сеть Интернет;

17. исключить несанкционированный доступ к управлению оборудованием;

18. исключение применения иностранных систем видеоконференции, в том числе Zoom, Skype, а также систем удалённого доступа (RAdmin, TeamViewer);

19. установка актуальных баз данных средств антивирусной защиты и решающих правил средств обнаружения вторжений;

20. проверка вложений почтовых сообщений в системах динамического анализа файлов;

21. обеспечение регистрации событий безопасности информации, особенно событий, связанных с внешними подключениями к объектам ИИ, анализом сетевого трафика, превышением количества попыток входа пользователей в системы, с попытками запуска сторонних программ и сервисов, а также с удалённым доступом;

22. убедиться, что подконтрольные критичные онлайн-сервисы, приложения или информационные ресурсы сети Интернет, которые необходимы для осуществления основных бизнес-процессов не содержат в себе метрик, в том числе сервисов подсчета и сбора данных о посетителях, сервисов предоставления информации о местоположении, и/или иного контента, подгружаемого с внешних, не контролируемых организацией ресурсах. В случае выявления такого кода, следует рассмотреть возможность временного или постоянного его отключения для снижения вероятности взлома веб-ресурса;

23. исключить возможность использования встроенных видео- и аудио- файлов, интерфейсов взаимодействия API, «виджетов» и других ресурсов, загружаемых со сторонних сайтов, заменив их при необходимости гиперссылкой на такие ресурсы;

24. следите за статусом SSL-сертификата. При использовании SSL-сертификата, выданного иностранным удостоверяющим центром, убедитесь, что соединение с Вашим информационным ресурсом остается доверенным, а используемый SSL-сертификат не отозван. Если SSL-сертификат будет отозван, подготовьте самоподписной SSL-сертификат. Распространите свои сертификаты среди тех, кто использует ваши сервисы (заказчики, партнеры и т.д.).

II. Дополнительные организационно-технические меры:

1. проверка настроек средств межсетевого экранирования и активного сетевого оборудования, находящегося на границе периметра объекта ИИ, отключение неиспользуемых портов и ограничение на доступ пользователей в сеть «Интернет»;

2. отключить неиспользуемые сетевые интерфейсы. При наличии вспомогательного интерфейса (AUX) на оборудовании его также необходимо отключить;

3. проверка наличия вредоносного программного обеспечения в поступающих незапрашиваемых электронных сообщениях (письмах, документах);

4. реализация многофакторной аутентификации для удалённого и локального доступа привилегированных пользователей объектов ИИ;

5. настроить правила доступа для всех категорий пользователей веб-серверов к файлам и каталогам веб-сервера в соответствии с установленными правилами разграничения доступа (например, для пользователей, от имени которых запускается веб-сервер, для пользователей ftp-серверов и пользователей других служб);

6. установить минимально необходимые для работы права доступа к файлам и директориям веб-серверов пользователями и администраторами;

7. ограничить доступ к каталогам систем контроля версий и их содержимому (таким как .git, .svn и другие каталоги);

8. настроить запрет выдачи листинга каталогов при отсутствии в них индексируемых файлов (если иное не предусмотрено функциональными возможностями веб-сервера);

9. настроить с использованием файла с именем robots.txt разрешенные и запрещенные для индексации каталоги и файлы;

10. ограничить хранение в директориях веб-сервера резервных копий и прочих файлов, наличие которых не требуется для функционирования веб-приложения;

11. организация мониторинга информационной безопасности объектов ИИ и дежурства групп оперативного реагирования на компьютерные инциденты из числа наиболее подготовленных специалистов, предусматривающего готовность к реализации мер по обеспечению безопасности объектов ИИ;

12. ограничить (при возможности) сетевое взаимодействие между сегментами объектов ИИ по принципу «запрещено все, что явно неразрешено» (например, с помощью технологии VLAN и списков контроля доступа сетевого оборудования);

13. контроль невозможности подключения неучтённых съёмных машинных носителей информации и мобильных устройств;

14. настроить автоматическую антивирусную проверку подключенных съёмных машинных носителей информации;

15. обеспечение сетевого взаимодействия с применением защищенных актуальных версий протоколов сетевого взаимодействия (HTTPS, SSH, SFTP, и других протоколов);

16. проведение (при возможности) отработки выполнения мер по противодействию компьютерным атакам на объекты ИИ, восстановлению их работоспособности и устранению последствий компьютерных инцидентов;

17. проверка соблюдения ограничений на использование на объектах ИИ личных средств вычислительной техники (ноутбуков, планшетов, смартфонов), модемов и съёмных машинных носителей информации и правил безопасного использования таких средств;

18. проверка соблюдения ограничений на применение на объектах ИИ наиболее часто используемого при реализации компьютерных атак программного обеспечения, в том числе Microsoft Office, Adobe, AutoCad, браузеров, средств администрирования командных оболочек (например, PowerShell, Bash и другие) и правил их безопасного использования;

19. проверку на объектах ИИ соблюдения ограничений на использование программного обеспечения, не относящегося к производственной деятельности и не требуемого для выполнения должностных обязанностей работников объектов ИИ;

20. ограничение доступа пользователей объектов и доступ внешних пользователей из сети «Интернет» к системам централизованного управления инфраструктурой объектов (при наличии) (например, к таким системам относятся Active Directory, SCCM, Zabbix и другие системы);

21. резервное копирование критичной информации объектов ИИ не менее 1 раза в сутки, с хранением на носителе, недоступном для АРМ пользователей организации, в изолированной от сети «Интернет» сегментах объектов либо на отчуждаемом носителе;

22. провести проверку возможности восстановления критичной информации объектов ИИ из резервных копий и контроля целостности создаваемых копий;

23. отключить автоматическое обновление оборудования и его компонентов (например, загрузчика программного обеспечения) из сети Интернет. Обновление оборудования осуществлять только при обнаружении в нем критических уязвимостей или при отказе оборудования, вызванном компьютерными атаками (после снятия образа с оборудования и сохранения журналов регистрации и его конфигурации);

24. обновление программного обеспечения рекомендуется осуществлять только после оценки всех сопутствующих рисков и, по возможности, после их проверки в тестовой среде;

25. обновление программного обеспечения оборудования осуществлять с обязательным резервным копированием на внешние носители с целью возможности «отката» обновления до предыдущей работающей версии. На всех этапах обновления осуществлять контроль целостности программного обеспечения. Обновление проводить поэтапно;

26. отключить взаимодействие с серверами проверки лицензий на право использования дополнительных функциональных возможностей программного обеспечения указанного оборудования;

27. ограничить взаимодействие с технической поддержкой зарубежных производителей, осуществляемой в автоматическом режиме;

28. проинформировать администраторов и пользователей объектов о недопустимости распространения информации о функционировании данных объектов, передаче сторонним лицам своей аутентификационной информации;

29. проинформировать администраторов и пользователей объектов об ответственности за нарушение требований в области информационной безопасности;

30. ограничить доступ сторонних лиц, привлекаемых к обеспечению технического обслуживания, к системам управления оборудованием;

31. включить контроль активности сессии для сеансов управления оборудованием (тайм-аут сессии управления);

32. создать отдельный электронный почтовый адрес, на который пользователи объектов будут присылать письма, которые могут содержать вредоносное содержание (ссылку или вложение);

33. заблокировать (при возможности) получение пользователями объектов ИИ в электронных письмах вложений с расширениями *.bat; *.bin; *.chm; *.cmd; *.com; *.cpl; *.dll; *.exe; *.hta; *.htm; *.js; *.jse; *.lnk; *.msi; *.ocx; *.pif; *.reg; *.scr; *.swf; *.vbe; *.vbs; *.wsf; *.wsh; *.ps1; *.ade; *.adp; *.apk; *.appx; *.appxbundle; *.ade; *.dmg; *.ex; *.ex_; *.ins; *.isp; *.iso; *.jar; *.lib; *.mde; *.msc; *.msix; *.msixbundle; *.msp; *.mst; *.nsh; *.sct; *.shb; *.vb; *.vhd; *.vxd; *.wsc;

34. сменить пароли пользователей и администраторов оборудования и далее проводить такую смену не реже 1 раза в месяц. Устанавливаемые пароли должны соответствовать требованиям «сложности»:

• длина пароля должна быть не менее 12 символов;
• пароль не должен основываться на словах естественного языка, а также на том, что связывает его с информацией личностного характера (дата рождения, номер телефона и т.д.);
• пароль не должен содержать более 2 следующих друг за другом одинаковых символов, в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
• при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6-и позициях.