Становление ИБ в организации

Становление ИБ в организации

Как-то меня озадачивали вопросом, что бы я делал и как, будь появилась необходимость ставить процессы ИБ в организации, которая начала стремительно расти из финансового стартапа. Делюсь записями из склада документов на своём компе. Немного актуализировал в соответствии с нынешними реалиями.

Предположим, что имеется небольшая ИТ-инфраструктура, состоящая из контроллера домена, почтового сервера, файловых серверов, серверов баз данных, шлюзов для интеграции с бизнес-партнерами и шлюза в НСПК для финансовых транзакций. Также имеется web-сайт. Многие сотрудники хотят работать в удаленном режиме.

Буду рассматривать актуальные риски ИБ текущего времени:

  • риски нарушения непрерывности бизнеса;
  • риски несоответствия 152-ФЗ и утечек персональных данных;
  • риски несоответствия PCI DSS.

Теперь я буду в комплексе предлагать меры для качественного парирования перечисленных рисков. Подход будет от простого к сложному. Где можно, будем обходиться встроенными механизмами ИБ без покупок средств защиты. Где нельзя, сразу будем их ставить.

name='more'>


Предварительные меры:

1.      В наше неспокойное время для защиты от DDOS-атак заключаем договор на оказание таких услуг.

2.      Утверждаем типовую политику ИБ, в которой общими словами устанавливаем принципы ИБ и направление, в котором будем двигаться.

3.      Все пользователи не должны на своих ПК работать под административными правами. Убираем админские права.

4.      Во всех системах не должно быть ранее уволенных пользователей. Делаем ресертификацию и блокируем такие учетки.

5.      Во всех системах настраиваем парольную политику (длина 10+, 90 дней, сложность). Пользователи, которые не меняли пароли более 90 дней, принудительно их меняют.

6.      Делаем ресертификацию прав доступов со всех системах. Права должны быть минимальными и обоснованы должностными инструкциями. Критические права не должны пересекаться. Должен выполняться принцип минимальных привилегий.

7.      Разрабатываем стандарты безопасности для Windows, Linux, СУБД, сетевого оборудования. В стандартах также будет отключение всего лишнего и небезопасного. Настраиваем системы в соответствии с ними. Это называется hardening.

Затратные меры:

1.      Так как в организации проводятся финансовые транзакции, на сетевом уровне выделяем сегменты, используемые для обработки данных держателей карт. Размещаем их за МСЭ.

2.      Делаем ресертификацию сетевых правил доступов на всём сетевом оборудовании. Не должно быть лишних, уже не нужных правил доступов, широких открытых диапазонов, неиспользуемых правил, а также all to all permit в конце.

3.      Создаём тестовый контур для тестирования всех систем перед обновлениями. Поручаем все тестирования и обновления персоналу ИТ.

4.       Заключаем договор на внешний пентест в виде скана с последующей перепроверкой найденных уязвимостей. Сканируем и закрываем все уязвимости.

5.      Внутри сети ставим сканер безопасности и сканируем всю инфраструктуру на уязвимости. Закрываем уязвимости с критичными и высокими уровнями опасности.

6.      Возможно, потребуется резервирование ключевых серверов и систем. Определяем какие нужны и закупаем необходимое оборудование и лицензии.

7.      На все серверы и рабочие компьютеры ставим антивирус. Если финансирование позволяет, ставим любой XDR.

8.      На шлюзы ставим любой другой антивирус, на почтовый шлюз ставим антиспам.

9.      Покупаем и устанавливаем DLP на рабочие ПК сотрудников.

10.  Покупаем подходящий прокси сервер и настраиваем на нём категорирование интернета. Пользователям даём необходимые группы в зависимости от их обязанностей.

11.  На всём оборудовании включаем логирование и покупаем внешний SOC в качестве услуги (свой иметь дорого, трудоёмко и пока не нужно).

Теперь проводим внешние аудиты PCI DSS и 152-ФЗ. Смотрим масштаб бедствия, разрабатываем и утверждаем планы работ и устраняем несоответствия.

Установление процессов ИБ:

Начинаем писать многочисленные политики и устанавливать процессы ИБ.

Alt text

Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Евгений Шауро

Блог специалиста по информационной безопасности