Як запобігти кіберінцидентам і захистити електронні ресурси та системи

РЕКОМЕНДАЦІЇ
щодо запобігання кіберінцидентам і сприяння підвищенню рівня кіберзахисту електронних ресурсів та систем
 
1.Провести аудит запроваджених заходів захисту та рівня інформаційної безпеки систем у цілому.
2.Створити резервні копії усіх критично важливих даних та зберегти їх на відокремлених носіях інформації, які не мають фізичного підключення до діючих ІТС.
3.Оновити антивірусне програмне забезпечення до актуальних баз вірусних сигнатур.
4.Припинити оновлення програмного забезпечення «M.E.Doc», у разі налаштування автоматичного оновлення, заблокувати вказану функцію.
5.Провести роз'яснювальну роботу з працівниками, які користуються службовою електронною поштою, щодо правил та вимог безпеки, особливо в частині, що стосується вхідних листів (повідомлень).
6.Заборонити відкриття вкладень у підозрілих повідомленнях (листах від адресатів, щодо авторства яких виникають сумніви та зобов'язати користувачів службової електронної пошти негайно повідомляти про такі листи адміністратора безпеки.
7.Зобов'язати користувачів службової електронної пошти провести її ревізію на предмет виявлення листів, що мають вкладення «МоFсriticalІТ needs_eng.xls», «Додаток №2.хІs», заборонивши їх відкриття, та невідкладно повідомляти про наявність таких листів адміністратора безпеки.
8.Заборонити використання приватної електронної пошти для цілей службової діяльності.
9.Заборонити використання точок публічного доступу до Інтернет для входу до службової електронної пошти.
10.Звести до мінімуму мережеву активність усіх пристроїв систем управління з Інтернет.
11.На мережевому обладнанні та груповими політиками заблокувати на системах та серверах порти 135,139, 445, 1024-1035 ТСР.
12.Обмежити можливість запуску виконуваних файлів (*.ехе) на комп’ютерах користувачів з директорій %ТЕМР%, %АРРDATA%.
13. Ужити заходів до дотримання вимог із сегментування (виокремлення адміністративного VLAN, сегмента для серверів, окремих сегментів для бухгалтерії та кадрового підрозділу тощо), не допускати циркуляції технологічної інформації поза межами адміністративного сегмента мережі.
14.Для організації віддаленого доступу використовувати лише безпечні методи (наприклад, такі технологічні рішення, як VPN).
15.Для унеможливлення проведення атак типу Man-in-the Midlle з використанням техніки АRР-spoofingужити заходів з налаштування статичних значень АRР-таблиць АРМ і серверного обладнання. Для цього здійснити прив'язку МАС-адрес АРМ до конкретного інтерфейсу комутатора, цим самим заборонивши підключення сторонніх пристроїв.
16.Передбачити моніторинг та фіксацію (журналювання) подій, які мають відношення до інформаційної безпеки (доступ до баз даних, адміністративний доступ до обладнання тощо).
17.Запровадити політику, що потребує використання лише надійних паролів.
Під надійними паролями слід розуміти такі, що:
-       допускають використання не менше 8 символів;
-       включають літери, цифри та спеціальні символи;
-       не містять персональної інформації (дати народження своєї та своїх близьких, номерів телефонів, номерів та серій документів, що посвідчують особу, номерів власного автотранспорту, банківської картки, адреси реєстрації тощо);
-       не використовуються в будь-яких інших аккаунтах.
18.Заборонити використання паролів, що були встановлені виробником обладнання «за вмовчуванням», провести перевірку такого обладнання та в разі виявлення порушень привести його у відповідність до політики надійних паролів.
19.Провести рекомендоване виробником оновлення програмного забезпечення, щоб запобігти вже виявленим уразливостям.
20.Контролювати створення аккаунтів на рівні адміністраторів системи.
21.Здійснити зміну авторизаційних даних до критично важливих вузлів системи, попередньо перевіривши їх на наявність процесів, які можуть скомпрометувати дані.
22.Проводити постійний аналіз вхідного/вихідного Інтернет- трафіку.
23.Провести аналіз лог-файлів мережевого та серверного обладнання на наявність у них відомостей про аномальну активність (доступ до системи із систем, які перебувають поза адміністративним сегментом мережі; наявність нелегітимних авторизаційних даних).
24.Здійснити перевірку ПЕОМ адміністраторів мережі та критично важливих вузлів системи на наявність підозрілих процесів і програм (наприклад: системних служб, що запускаються не зі стандартного розташування; програм, що не мають цифрового підпису виробника, тощо).

 

Все новости