Повышение уровня информационной безопасности исследуемого предприятия

Защита по периметру

Подкатегория

Передовые методики

Правила и фильтры межсетевого экрана

Брандмауэры представляют собой первый уровень защиты и должны размещаться на всех точках границ сетей. Применяемые на брандмауэрах правила должны отличаться высокой степенью ограничений и устанавливаться по принципу «узел-узел» и «служба-служба».При создании правил брандмауэра и списков ACL (списки управления доступом) маршрутизатора следует уделить особое внимание защите устройств управления доступом и сети от атак. Брандмауэр должен быть по умолчанию настроен на запрет любого трафика за исключением необходимого.

* Организуйте поток данных с помощью сетевых ACL и правил брандмауэра.

* Протестируйте правила брандмауэра и списки ACL маршрутизатора, чтобы определить, достаточно ли существующих правил для предотвращения атак типа «отказ в обслуживании» (DoS).
* Разверните одну или несколько демилитаризованных зон (DMZ) в качестве систематического и формального расширения брандмауэра.
* Разместите в демилитаризованных зонах все серверы, доступ к которым осуществляется через Интернет. Ограничьте входящие и исходящие подключения от демилитаризованных зон (DMZ).

Полученные данные

Рекомендации

Правила и фильтры межсетевого экрана

Вы указали, что межсетевые экраны развернуты не во всех офисах.

Немедленно разверните межсетевые экраны или другие элементы управления доступом на сетевом уровне в каждом офисе и регулярно проверяйте их правильную работу.

Правила и фильтры межсетевого экрана

Ваши ответы указывают на то, что, хоть вами и предпринят первый шаг в защите по периметру путем развертывания межсетевого экрана на границах сети, тем не менее, не был создан сегмент демилитаризованной зоны (ДМЗ) для защиты корпоративных ресурсов, доступных по Интернету, от внутренних корпоративных ресурсов.

Рассмотрите необходимость развертывания межсетевого экрана для отделения ресурсов, доступных по Интернету, например веб-серверов, от внутренних корпоративных ресурсов. Введите правила проверки входного и выходного доступа.
Рассмотрите необходимость реализации выходных фильтров для предотвращения лишних исходящих подключений и ограничьте прямой доступ внутренних пользователей к сегментам демилитаризованной зоны (ДМЗ), так как маловероятно, что пользователи будут работать с хост-компьютерами, находящимися в ДМЗ на постоянной основе.
Ограничьте доступ из основной сети в сегмент ДМЗ только конкретными узлами или административными сетями.

Правила и фильтры межсетевого экрана

Вы указали, что для защиты серверов не используется программное обеспечение межсетевого экрана на хост-компьютере.

В качестве дополнительного уровня защиты рассмотрите необходимость установки узловых межсетевых экранов на все серверы и использования этого программного обеспечения на всех настольных и переносных компьютерах в организации.

Правила и фильтры межсетевого экрана

Вы указали, что межсетевой экран, обеспечивающий должную производительность, проверяется не регулярно.

Введите практику регулярной проверки межсетевого экрана. Проверьте правильную работу межсетевого экрана по отношению не только к внешнему, но также и внутреннему трафику.

Подкатегория

Передовые методики

Антивирус

Разверните антивирусное программное обеспечение во всей среде предприятия, как на уровне сервера, так и на уровне настольных компьютеров. Разверните специализированные антивирусные решения для выполнения конкретных задач, например средства проверки файловых серверов, средства отслеживания содержимого, а также средства проверки отправляемых и загружаемых данных. Настройте антивирусное программное обеспечение на поиск вирусов, пытающихся как проникнуть в ИТ-среду предприятия, так и покинуть ее.Антивирусное программное обеспечение должно быть в первую очередь установлено на критически важных файловых серверах. Затем область действия антивирусных программ следует распространить на почту, базы данных и веб-серверы.
Антивирусное программное обеспечение настольных и переносных компьютеров следует включить в устанавливаемый по умолчанию набор программ.
При работе с сервером Microsoft Exchange следует использовать его дополнительные возможности по антивирусной защите и фильтрации содержимого на уровне почтовых ящиков.

Полученные данные

Рекомендации

Антивирус

Вы указали, что на почтовых серверах не установлено антивирусное программное обеспечение.

На всех компьютерах среды организации необходимо установить антивирусное программное обеспечение.

Антивирус

Вы указали, что на шлюзах доступа не установлено антивирусное программное обеспечение.

На всех компьютерах среды организации необходимо установить антивирусное программное обеспечение.

Подкатегория

Передовые методики

Антивирус - Настольные компьютеры

Полученные данные

Рекомендации

Антивирус - Настольные компьютеры

Ваш ответ указывает на то, что антивирусные решения развернуты на уровне настольного компьютера.

Продолжайте использовать такую практику. Реализуйте политику, в соответствии с которой пользователям необходимо регулярно обновлять сигнатуры вирусов. Рассмотрите необходимость установки клиента антивирусной программы с использованием настроек для рабочей станции по умолчанию.

Подкатегория

Передовые методики

Антивирус - Серверы

Полученные данные

Рекомендации

Антивирус - Серверы

Ваш ответ указывает на то, что у вас развернуты антивирусные решения на уровне сервера.

Продолжайте использовать такую практику. Рассмотрите необходимость активного управления антивирусными клиентами на серверах с централизованной консоли управления с целью развертывания конфигурации и сигнатур.
Если используется Microsoft Exchange, рассмотрите необходимость активизации дополнительных антивирусных функций и функции фильтров содержимого на уровне почтового ящика.

Подкатегория

Передовые методики

Удаленный доступ

В целях обеспечения единообразия при проверке и оценке проблем и нарушений важно строго следовать задокументированным процедурам создания отчетов и реагирования на эти проблемы и нарушения.
Важно, чтобы все пользователи осознавали свою ответственность за своевременное сообщение о любых нарушениях или проблемах, связанных с безопасностью. Поэтому необходимо иметь четко определенный процесс создания отчетов о подобных проблемах.

Полученные данные

Рекомендации

Удаленный доступ

Вы указали, что VPN не может ограничивать подключение к карантину до выполнения всех необходимых проверок безопасности.

Рассмотрение беспроводной сети как небезопасной и требование от пользователей использовать VPN или аналогичные технологии для подключения к корпоративным ресурсам является лучшим решением для поддержания целостности данных, однако это не предотвращает несанкционированное подключение посторонних пользователей. Рассмотрите необходимость использования проверки подлинности WPA и ограничение MAC-адресов, чтобы разрешить доступ только для определенных пользователей.

Удаленный доступ

Ваши ответы указывают на то, что сотрудники и/или партнеры используют удаленный доступ для подключения к внутренней сети и что вами предпринят важный шаг по реализации VPN для такого доступа, однако многофакторная проверка подлинности не задействована в качестве второй линии защиты.

Рассмотрите необходимость развертывания многофакторной проверки подлинности для удаленных пользователей, использующих для подключения к корпоративным ресурсам Интернет. Следует проводить регулярную проверку списка доступа для всех пользователей на устройстве в сети VPN.

Подкатегория

Передовые методики

Сегментация

Сегментация используется для отделения определенных внешних сетей от доступа поставщика, партнера и клиента.
В каждом сегменте внешней сети должна быть разрешена передача трафика только определенного приложения на определенные узлы и порты, которые используются для предоставления услуг клиентам.

Следует убедиться, что сетевые элементы управления разрешают доступ только для тех служб, которые требуются для каждого стороннего подключения.

Необходимо ограничить доступ к сетевым службам на входе и выходе, а также ограничить доступ между разными сетевыми сегментами.

Полученные данные

Рекомендации

Сегментация

Ваш ответ указывает на то, что в сети вашей организации размещены службы, связанные с Интернетом.

Убедитесь в наличии межсетевого экрана, сегментирования и систем определения вторжения для защиты инфраструктуры компании от атак из Интернета.

Сегментация

Вы указали, что в сети имеется более одного сегмента.

Продолжайте использовать сегментацию сети для оптимизации управления сетевым трафиком и ограничения доступа к ресурсам в зависимости от требований к пользователям.

Сегментация

Ваш ответ указывает на то, что в вашей среде в настоящее время не используется сегментация сети. Важно сохранять службы внешней сети, относящиеся к клиентам/партнерам, в их собственных сегментах сети.

Переместите серверы доступа к внешним сетям в физически отдельный сегмент сети.
Используйте ограничительные элементы управления доступом, допускающие сторонний доступ только к определенным узлам, ограничьте доступ, сделав его возможным только к необходимым элементам корпоративной инфраструктуры, и заблокируйте попытки подключения к удаленным сетям.

Подкатегория

Передовые методики

Система определения вторжения (IDS)

Сетевые и узловые системы определения вторжения необходимо разворачивать для определения и уведомления об атаках корпоративных систем.

Полученные данные

Рекомендации

Система определения вторжения (IDS)

Вы указали, что у вас не используется оборудование или программное обеспечение для определения вторжения.

Рассмотрите необходимость развертывания узловых или сетевых систем определения вторжения.

Подкатегория

Передовые методики

Беспроводная связь

Передовые методики для беспроводной реализации должны гарантировать невыполнение сетью широковещательной рассылки SSID, использование WPA-шифрования и признание сети как не заслуживающей доверия.

Полученные данные

Рекомендации

Беспроводная связь

Вы указали, что существует возможность беспроводного подключения к сети

Чтобы уменьшить риск, связанный с беспроводными сетями, реализация должна предусматривать отмену передачи идентификатора SSID, шифрование WPA и определение доверительных отношений в сети.

Беспроводная связь

Ваш ответ указывает на то, что свойства идентификатора наборов служб (SSID) по умолчанию были изменены в точке доступа.

Изменение идентификатора SSID, заданного по умолчанию, является первым шагом в процессе повышения безопасности беспроводной сети. Однако, чтобы снизить риск, его необходимо выполнять вместе с другими рекомендациями. К ним относятся: отмена передачи идентификатора SSID, шифрование WPA и определение доверительных отношений в сети.

Беспроводная связь

Вы указали, что не отключали широковещание идентификатора наборов служб (SSID) в точке доступа.

Отключение передачи идентификатора SSID затрудняет случайному пользователю подключение к беспроводной сети.

Беспроводная связь

Вы указали, что в вашей беспроводной среде не используется WEP-шифрование.

Если в настоящее время шифрование не используется, рассмотрите необходимость использования шифрования WPA для предотвращения перехвата беспроводного сетевого трафика и чтения как обычного текста.

Беспроводная связь

Вы указали, что в вашей беспроводной среде используется WPA-шифрование.

В настоящее время WPA является стандартом наиболее безопасного шифрования, однако возможность его расшифровки все равно существует. рассмотрите необходимость использования дополнительного шифрования (например, VPN) для дополнительной защиты данных.

Беспроводная связь

Вы указали, что в вашей беспроводной среде используются ограничения MAC.

Ограничение доступа по MAC-адресам позволяет предотвратить подключение к сети посторонних компьютеров, однако эту защиту легко обойти. Рассмотрите необходимость использования проверки подлинности WPA в дополнение к MAC-фильтрам.

Беспроводная связь

Вы указали, что беспроводная сеть рассматривается как не имеющая доверия.

Рассмотрение беспроводной сети как небезопасной и требование от пользователей использовать VPN или аналогичные технологии для подключения к корпоративным ресурсам является лучшим решением для поддержания целостности данных, однако это не предотвращает несанкционированное подключение посторонних пользователей. Рассмотрите необходимость использования проверки подлинности WPA и ограничение MAC-адресов, чтобы разрешить доступ только для определенных пользователей.

Управление и контроль

Подкатегория

Передовые методики

Нарушения безопасности: реагирование и создание отчетов

Продолжайте следовать формальным процедурам реагирования на нарушения безопасности и предоставления отчетов.

Нарушения безопасности: реагирование и создание отчетов

Разработайте и внедрите процедуры создания отчетов и реагирования на нарушения безопасности, а также на все проблемы, связанные с безопасностью. Назначьте группу быстрого реагирования, состоящую из представителей различных служб, включая технических специалистов, руководящих работников и юристов, чтобы обеспечить своевременное реагирование на все возможные проблемы, связанные с нарушением безопасности. Рассмотрите необходимость реализации комплексной программы реагирования на нарушения безопасности, включающей создание групп быстрого реагирования, управление содержимым, анализ и процедуры реагирования на нарушения безопасности.

Нарушения безопасности: реагирование и создание отчетов

Проверьте открытые компоненты вместе в ИТ-специалистами своей компании или деловым партнером по обеспечению безопасности. Чтобы получить более подробные сведения, введите наиболее подходящий ответ на вопрос в средстве MSAT (Microsoft Security Assessment Tool).

Нарушения безопасности: реагирование и создание отчетов

Планы аварийного восстановления и возобновления деятельности предприятия должны быть документально оформлены и соответствовать современным требованиям. Это позволит обеспечивать восстановление в приемлемые сроки. Планы (включая планы восстановления приложений из резервных копий) должны регулярно тестироваться на полноту и правильность.
Планы непрерывной работы должны охватывать всю среду предприятия, включая ее физические и технологические составляющие, а также персонал.

Нарушения безопасности: реагирование и создание отчетов

В целях обеспечения единообразия при проверке и оценке проблем и нарушений важно строго следовать задокументированным процедурам создания отчетов и реагирования на эти проблемы и нарушения. Важно, чтобы все пользователи осознавали свою ответственность за своевременное сообщение о любых нарушениях или проблемах, связанных с безопасностью. Поэтому необходимо иметь четко определенный процесс создания отчетов о подобных проблемах.

Полученные данные

Рекомендации

Нарушения безопасности: реагирование и создание отчетов

Ваши ответы указывают на то, что в создаваемых рабочих станциях не используется формальный образ или документация.

Создайте безопасный образ для каждого типа рабочей станции. Следует регулярно выполнять обновления, устанавливая последние пакеты обновления, исправления и другие меры безопасности.

Подкатегория

Передовые методики

Защищенная сборка

Полученные данные

Рекомендации

Защищенная сборка

Вы указали, что персональные межсетевые экраны установлены на всех рабочих станциях в среде.

Рассмотрите необходимость развертывания сначала личных межсетевых экранов на всех мобильных переносных компьютерах. По умолчанию следует полностью заблокировать доступ к рабочей станции извне.

Защищенная сборка

Вы указали, что процессы сборки для устройств инфраструктуры были документированы.

Введите документирование процесса сборки для устройств инфраструктуры и обновляйте сборку при выпуске новых исправлений.

Защищенная сборка

Вы указали, что клиентское программное обеспечение удаленного доступа было установлено на рабочих станциях, которые удаленно подсоединяются к внутренней сети.

Рассмотрите возможность использования единого решения удаленного доступа для среды, если развернуто несколько типов решений.

Защищенная сборка

Вы указали, что процессы сборки для серверов были документированы.

Введите документирование процесса сборки для серверов и обновляйте сборку при выпуске новых исправлений.

Защищенная сборка

Вы указали, что в вашей среде не используется программное обеспечение шифрования данных на диске.

Рассмотрите необходимость использования программного обеспечения шифрования данных на диске во избежание нарушения их безопасности в случае кражи компьютера.

Защищенная сборка

Вы указали, что процессы сборки для рабочих станций и переносных компьютеров были документированы.

Введите документирование процесса сборки для рабочих станций и переносных компьютеров и обновляйте сборку при выпуске новых исправлений.

Защищенная сборка

Вы указали, что в вашей среде используется программное обеспечение удаленного контроля/управления.

Рассмотрите необходимость отказа от использования программного обеспечения удаленного контроля/управления для минимизации риска нарушения безопасности систем.

Защищенная сборка

Вы указали, что в вашей среде не используется экранная заставка с парольной защитой.

Рассмотрите необходимость обязательной установки на компьютеры всех пользователей экранной заставки с парольной защитой с коротким периодом ожидания.

Защищенная сборка

Вы указали, что в вашей среде используются модемы.

Рассмотрите необходимость отказа от использования удаленного доступа через модем или телефонную сеть для снижения риска прямого подключения к компьютерам.

Подкатегория

Передовые методики

Физическая безопасность

Продолжайте реализовывать средства контроля физического доступа для обеспечения безопасности.

Физическая безопасность

Разработайте и внедрите средства контроля физического доступа для защиты от несанкционированного проникновения в офисное здание и получения доступа к конфиденциальным данным. Рассмотрите необходимость переоценки мер контроля физического доступа для определения их эффективности, а также степени их соблюдения. Повысьте осведомленность работников о политике контроля доступа персонала. Поощряйте уведомления о несанкционированном присутствии людей в офисном здании.

Физическая безопасность

Все компьютерные системы должны быть защищены от простых взломов. Необходимо поместить серверы и сетевые системы в запираемые корпуса и закрытые помещения с контролируемым доступом.

Физическая безопасность

Физический доступ необходимо строго контролировать с целью предотвращения несанкционированного доступа в офисные здания, к конфиденциальным данным и системам. Получив физический доступ, злоумышленник может изменить конфигурацию системы, нарушить безопасность сети и даже уничтожить или украсть оборудование.

Полученные данные

Рекомендации

Физическая безопасность

Ваш ответ показал, что элементы управления физической безопасностью были развернуты для защиты имущества организации.

Можно продолжить использование физических элементов управления, а также рассмотреть необходимость распространения их на все компьютерное оборудование, если этого еще не было сделано.

Физическая безопасность

Вы указали, что система сигнализации была установлена для обнаружения незаконного вторжения и оповещения.

Продолжите использование системы сигнализации. Периодически проверяйте ее (вместе с обслуживающей компанией), чтобы убедиться, что она работает правильно.

Физическая безопасность

Ответ указывает на то, что все указанные меры или некоторые из них применяются. (идентификационные карточки для сотрудников и посетителей, сопровождение посетителей, журналы регистрации посетителей, контрольно-пропускные пункты)

Продолжайте реализовывать средства контроля физического доступа для обеспечения безопасности.

Физическая безопасность

Вы указали, что сетевое оборудование находится в закрытом помещении с ограниченным доступом.

Продолжите практику защиты сетевого оборудования в запертой комнате и убедитесь, что доступ в нее имеют только те, кому это требуется по служебным обязанностям.

Физическая безопасность

Ответ указывает на то, что все указанные меры или некоторые из них применяются. (идентификационные карточки для сотрудников и посетителей, сопровождение посетителей, журналы регистрации посетителей, контрольно-пропускные пункты)

Продолжайте реализовывать средства контроля физического доступа для обеспечения безопасности.

Физическая безопасность

Вы указали, что сетевое оборудование не находится в запираемом шкафу или стойке.

Установка сетевого оборудования в запираемом шкафу или стойке обеспечивает дополнительную защиту от несанкционированного использования. По возможности рассмотрите необходимость переноса сетевого оборудования в запираемые шкафы.

Физическая безопасность

Ответ указывает на то, что все указанные меры или некоторые из них применяются. (идентификационные карточки для сотрудников и посетителей, сопровождение посетителей, журналы регистрации посетителей, контрольно-пропускные пункты)

Продолжайте реализовывать средства контроля физического доступа для обеспечения безопасности.

Физическая безопасность

Вы указали, что серверы находятся в закрытом помещении с ограниченным доступом.

Продолжите практику защиты серверов в запертой комнате и убедитесь, что доступ в нее имеют только те, кому это требуется по служебным обязанностям.

Физическая безопасность

Ответ указывает на то, что все указанные меры или некоторые из них применяются. (идентификационные карточки для сотрудников и посетителей, сопровождение посетителей, журналы регистрации посетителей, контрольно-пропускные пункты)

Продолжайте реализовывать средства контроля физического доступа для обеспечения безопасности.

Физическая безопасность

Вы указали, что серверы не находятся в запираемом шкафу или стойке.

Установка серверов в запираемом шкафу или стойке обеспечивает дополнительную защиту от несанкционированного использования. По возможности рассмотрите необходимость переноса серверов в запираемые шкафы.

Физическая безопасность

Вы указали, что рабочие станции не защищены кабельными замками

Чтобы предотвратить кражу обеспечьте защиту рабочих станций с помощью кабельных замков.

Физическая безопасность

Вы указали, что переносные компьютеры не защищены кабельными замками

Чтобы предотвратить кражу обеспечьте защиту переносных компьютеров с помощью кабельных замков.

Физическая безопасность

Вы указали, что конфиденциальные печатные материалы хранятся в запираемых картотечных шкафах.

Продолжите практику хранения важных печатных материалов в запираемых картотечных шкафах. Кроме того, важные документы, которые больше не требуются, следует уничтожать.

Развертывание и использование

Подкатегория

Передовые методики

Балансировка нагрузки

Полученные данные

Рекомендации

Балансировка нагрузки

Вы указали, что в вашей среде не развернуты средства выравнивания нагрузки.

Рассмотрите необходимость развертывания аппаратных средств выравнивания нагрузки перед веб-серверами, чтобы обеспечить большую доступность.
Подобное устройство позволяет увидеть из сети один (виртуальный) IP-адрес, который сопоставлен с адресами каждого веб-сервера в кластере.

Подкатегория

Передовые методики

Кластеризация

Полученные данные

Рекомендации

Кластеризация

Вы указали, что в среде не развернута кластеризация.

Чтобы обеспечить высокую степень доступности для критически важных баз данных и хранилищ файлов, рассмотрите необходимость развертывания механизмов кластеризации.

Подкатегория

Передовые методики

Восстановление приложений и данных

Полученные данные

Рекомендации

Восстановление приложений и данных

Вы указали, что в вашей организации имеются важные бизнес-приложения

Все важные бизнес-приложения следует периодически проверять на безопасность, регулярно архивировать и полностью документировать. Кроме этого, необходимо предусмотреть непредвиденные расходы, если эти меры не помогут.

Восстановление приложений и данных

Ваш ответ указывает на то, что регулярная проверка приложения и восстановление данных выполняются.

Рассмотрите необходимость реализации политики хранения резервных носителей за пределами сети и политики периодического чередования этих носителей.

Подкатегория

Передовые методики

Независимый сторонний поставщик программного обеспечения

Сторонние независимые поставщики программного обеспечения должны регулярно предоставлять исправления и обновления собственных приложений, в которых должны содержаться сведения о назначении исправлений и их влиянии на функциональные возможности, конфигурацию или безопасность исправляемого приложения.
Сторонние независимые поставщики программного обеспечения должны четко определить критические исправления для их немедленного применения.

Сторонний независимый поставщик программного обеспечения должен объяснить все механизмы обеспечения безопасности приложения и предоставить последнюю версию документации.

Организации должны быть известны все требования к конфигурации, необходимые для гарантии высочайшего уровня безопасности.

Полученные данные

Рекомендации

Независимый сторонний поставщик программного обеспечения

Вы указали, что в вашей среде сторонние поставщики разработали одно или несколько основных приложений.

Убедитесь, что сторонняя организация, которая разработала основное программное обеспечение, будет продолжать его поддержку, своевременно обеспечивать доставку обновлений и сможет предоставить исходный текст приложения в случае невозможности его дальнейшей поддержки.

Независимый сторонний поставщик программного обеспечения

Ваши ответы указывают на то, что сторонние независимые поставщики программного обеспечения (ISV) не регулярно предоставляют вам программные обновления и исправления, повышающие безопасность, для разработанных ими приложений.

Продолжите работу со сторонним поставщиком приложений для получения обновлений и исправлений как можно чаще и регулярнее. Когда появится исправление, прежде чем развертывать, тщательно проверьте его в лабораторных условиях. Получите от поставщика руководство по защите приложения, если таковое существует, и проверьте параметры настройки приложения.

Независимый сторонний поставщик программного обеспечения

Вы указали, что не знаете ответа на этот вопрос.

Выполните проверку этого открытого элемента с участием ИТ-персонала или специалиста по безопасности. Введите наиболее подходящий ответ на это вопрос в средстве MSAT для получения дальнейших сведений.

Подкатегория

Передовые методики

Внутренняя разработка

Собственная группа разработки должна регулярно предоставлять исправления и обновления собственных приложений, в которых должны содержаться сведения о назначении исправлений и их влиянии на функциональные возможности, конфигурацию или безопасность исправляемого приложения.
Группа разработки должна четко определить критические исправления для их немедленного применения в организации.

Группа разработки должна объяснить все механизмы обеспечения безопасности приложения и предоставить последнюю версию документации.

Организации должны быть известны все требования к конфигурации, необходимые для гарантии высочайшего уровня безопасности.

Рекомендуется заключить контракт с независимой сторонней фирмой на проверку архитектуры и развертывания приложения с целью определения всех проблем системы безопасности.

Полученные данные

Рекомендации

Внутренняя разработка

Вы указали, что в вашей организации для офисных приложений используются специально разработанные макросы.

Использование собственных макросов означает, что настройки безопасности пакета Office необходимо понизить, в результате чего офисные приложения могут быть подвержены заражению документами злоумышленников. Рассмотрите необходимость ограничения возможности разработку и выполнения собственных макросов, предоставив ее только тем, кому это требуется по служебным обязанностям.

Внутренняя разработка

Ваши ответы указывают на то, что собственная группа разработки не регулярно предоставляет вам программные обновления и исправления, повышающие безопасность, для разработанных ими приложений.

Обратитесь к внутренней группе разработки для получения периодических обновлений и исправлений для развернутых приложений.

Когда появится исправление, прежде чем развертывать, тщательно проверьте его в лабораторных условиях.

Вместе с группой разработки проверьте настройку приложения и убедитесь, что обеспечивается максимальная безопасность.

Рекомендуется заключить контракт с независимой сторонней фирмой на проверку архитектуры и развертывания приложения с целью определения всех проблем системы безопасности.

Подкатегория

Передовые методики

Уязвимые места в системе

Все известные проблемы системы безопасности должны быть определены и исправлены. Следует регулярно посещать веб-узлы поставщика и сторонних компаний, посвященные безопасности, для получения сведений о проблемах безопасности и имеющихся исправлениях.

Если имеются известные проблемы системы безопасности, для которых нет исправлений, следует выяснить, когда выйдет исправление, и разработать промежуточный план снижения рисков по этой проблеме.

Рекомендуется обращаться к сторонней фирме для проведения периодических оценок системы безопасности приложения. Сторонняя оценка может также выявить области, где необходимы дополнительные механизмы обеспечения безопасности.

Полученные данные

Рекомендации

Уязвимые места в системе

Ваши ответы указывают на то, что процедуры, направленные на устранение известных проблем безопасности в используемых приложениях, существуют.

Эти процедуры включают проверку исправлений в лабораторных условиях, а также проверку приложений после установки исправления, чтобы определить наличие конфликтов, из-за которых может потребоваться выполнить откат исправления.

Периодически повторяйте эти процедуры, чтобы убедиться, что они соответствуют текущим требованиям приложения.

Схема приложения

Подкатегория

Передовые методики

Проверка подлинности

В приложении должен быть реализован способ проверки подлинности, надежность которого соответствует требованиям безопасности данных или доступа к функциям. В приложениях, зависящих от паролей, должны быть предусмотрены ограничения с точки зрения сложности пароля, включающие сочетание букв, цифр и символов, минимальную длину, ведение журнала, длительность, преждевременное истечение срока действия и проверку по словарю.
Приложение должно регистрировать безуспешные попытки входа в систему в обход пароля. Каждый компонент, предоставляющий доступ к данным или функциям, должен контролировать наличие правильных учетных данных для проверки подлинности.

Административные права доступа к системам должны быть защищены самым надежным механизмом проверки подлинности. Обычно ограничения по созданию паролей для администраторов должны быть еще более строгими, чем для обычных учетных записей.

Кроме использования сложных паролей с надежными политиками, для дополнительной безопасности рекомендуется использовать многофакторную проверку подлинности.

Полученные данные

Рекомендации

Проверка подлинности

Ваш ответ указывает на то, что в настоящее время для основных приложений применяется метод проверки подлинности с использованием сложного пароля.

Рассмотрите необходимость внедрения дополнительного фактора проверки подлинности (маркер, смарт-карта...) для важных внешних приложений.
Кроме того, следует обеспечить расширенный контроль над управлением учетными записями, а также вести журнал доступа к учетной записи.

Подкатегория

Передовые методики

Политики паролей

Использование сложных паролей является ключевым элементом эшелонированной защиты. Сложные пароли должны быть длиной от 8 до 14 символов и содержать буквы, цифры и специальные символы. Для обеспечения дополнительной защиты паролей необходимо задать минимальную длину, ведение хронологии журнала, длительность, а также преждевременное истечение срока действия паролей. Обычно срок истечения действия пароля должен задаваться следующим образом:

+ Максимальная продолжительность 90 дней
+ Новые учетные записи должны изменять пароль при входе в систему
+ 8 паролей в журнале паролей (минимум 8 дней)

Административные права доступа к системам должны быть защищены самым надежным механизмом проверки подлинности. --Обычно ограничения по созданию паролей для администраторов должны быть еще более строгими, чем для обычных учетных записей. Если для обычных учетных записей длина пароля должна составлять 8 символов, то для учетных записей администраторов пароли должны быть длиной 14 символов.

Для всех учетных записей пользователей необходимо включить блокировку учетной записи после 10 неудачных попыток ввода пароля. Контроль блокировки учетной записи может варьироваться от простой блокировки в случае взлома пароля до сложных случаев, требующих вмешательства администратора для разблокировки учетной записи. Рекомендуется выполнить следующие инструкции при реализации контроля блокировки учетной записи:

+ Блокировка после как минимум 10 неудачных попыток ввода пароля для учетных записей пользователей
+ Необходим доступ с правами администратора для разблокировки учетных записей важных приложений, а также автоматическая разблокировка обычных учетных записей пользователя через 5 минут для других приложений
+ Промежуток в 30 минут для кэширования сбоев обычных учетных записей пользователя

Полученные данные

Рекомендации

Политики паролей

Ваш ответ указывает на то, что для основных приложений реализованы эффективные элементы управления, предусматривающие наличие паролей.

Рассмотрите необходимость реализации пороговых значений для неудачных попыток проверки подлинности при входе, чтобы системным администраторам посылались соответствующие сигналы. Кроме того, рассмотрите необходимость распространения использования надежных паролей на все приложения.

Политики паролей

Ваш ответ указывает на то, что в основных приложениях реализован элемент управления истечением срока действия пароля.

Рассмотрите необходимость распространения политики ограничения срока действия паролей на все внешние приложения и основные внутренние приложения.

Политики паролей

Ваш ответ указывает на то, что в основных приложениях реализованы элементы управления блокировкой учетных записей.

Рассмотрите необходимость распространения политики блокировки учетных записей на все внешние приложения и важные внутренние приложения.

Подкатегория

Передовые методики

Авторизация и управление доступом

В приложениях должен быть реализован механизм авторизации, который обеспечивает доступ к критическим данным и функциям только для пользователей и клиентов, имеющих соответствующие права.

Управление доступом на основе ролей должно быть усилено на уровне базы данных и интерфейса приложения.

Это обеспечит защиту базы данных в случае "взлома" клиентского приложения.

До выполнения успешной проверки подлинности необходимо пройти авторизацию.

Все попытки получения доступа без авторизации должны регистрироваться в журнале.

Следует проводить регулярные проверки основных приложений, которые обрабатывают критические данные, а также интерфейсов, доступных для пользователей из сети Интернет. Приложения следует проверять в режимах "черного ящика" и "подробного описания". Необходимо определить, имеют ли пользователи доступ к данным с других учетных записей.

Полученные данные

Рекомендации

Авторизация и управление доступом

Ваш ответ указывает на то, что основные приложения ограничивают доступ к критическим данным и функциональным возможностям исходя из привилегий, назначенных учетной записи.

Рассмотрите необходимость проведения целенаправленной проверки основных приложений, которые обрабатывают критические данные, а также интерфейсов, доступных для пользователей из сети Интернет.
Приложения следует проверять в режимах "черного ящика" и "подробного описания", а также проверка обнаружения попыток превышения имеющихся привилегий.

Подкатегория

Передовые методики

Ведение журнала

Ведение журнала должно быть включено для всех приложений в системе. Данные файла журнала важны для анализа происшествий и тенденций, а также для проверки.
Приложение должно регистрировать все безуспешные и удачные попытки проверки подлинности, изменения данных приложения, включая учетные записи пользователей, неустранимые ошибки приложений, а также безуспешный и успешный доступ к ресурсам.

При записи данных в файл журнала приложение не должно записывать конфиденциальные данные.

Полученные данные

Рекомендации

Ведение журнала

Ваши ответы указывают на то, что в данной среде разные события регистрируются приложениями. Приложения должны заносить в журналы все события на основе перечисленных передовых методик.

Для облегчения управления файлами журнала и их анализа рассмотрите необходимость интеграции с централизованным механизмом ведения журналов. Механизм ведения журналов должен обеспечивать сохранение и архивирование журналов в соответствии с действующими политиками хранения корпоративных данных.

Ведение журнала

Вы указали, что неудачные попытки проверки подлинности фиксируются в журнале.

Продолжайте ведение журнала неудачных попыток проверки подлинности.

Ведение журнала

Вы указали, что успешные проверки подлинности не фиксируются в журнале.

Рассмотрите необходимость ведения журнала успешных проверок подлинности для отслеживания активности пользователей.

Ведение журнала

Вы указали, что ошибки приложения фиксируются в журнале.

Продолжайте ведение журнала ошибок приложений.

Ведение журнала

Вы указали, что отказ в доступе к ресурсам фиксируется в журнале.

Продолжайте ведение журнала отказов в доступе к ресурсам

Ведение журнала

Вы указали, что успешный доступ к ресурсам не фиксируется в журнале.

Рассмотрите необходимость ведения журнала успешного доступа к ресурсам для отслеживания поведения злоумышленника после свершившегося.

Ведение журнала

Вы указали, что изменения в данных не фиксируются в журнале.

Рассмотрите необходимость ведения журнала изменений данных для отслеживания активности злоумышленника.

Ведение журнала

Вы указали, что изменения в учетных записях пользователей не фиксируются в журнале.

Рассмотрите необходимость ведения журнала изменений в учетных записях пользователей для обнаружения попыток превышения имеющихся привилегий и несанкционированного создания новых учетных записей.

Подкатегория

Передовые методики

Подтверждение ввода

Приложение может принимать входные данные во многих точках от внешних источников, например пользователей, клиентских приложений, а также передач данных. Оно должно проводить проверки вводимых данных на синтаксическую и семантическую достоверность. Это приложение также должно проверять, не нарушают ли вводимые данные ограничения базовых или зависимых компонентов, в частности, по длине строки и набору символов.
Все пользовательские поля должны проверяться на сервере.

Полученные данные

Рекомендации

Подтверждение ввода

Ваши ответы указывают на то, что в приложениях, используемых в данной среде, не развернуты механизмы для проверки входных данных.

Проведите работу с поставщиком приложений (независимым поставщиком программного обеспечения или внутренней группой разработки) с целью внедрения механизмов, позволяющих проверять входящие данные и предотвращать обработку злонамеренных или неправильно сформированных данных приложениями. Эти модули должны использоваться для внешних приложений с самого начала.
Ограничения, связанные с проверкой входных данных, должны обеспечивать прием только синтаксически и семантически верных данных, а не просто предусматривать обычную фильтрацию недопустимых символов на входе.

Подкатегория

Передовые методики

Методологии разработки систем безопасности программного обеспечения

Продолжайте использовать методологии разработки систем безопасности программного обеспечения.

Методологии разработки систем безопасности программного обеспечения

Разработайте и внедрите методологии разработки систем безопасности программного обеспечения для повышения безопасности приложений.

Методологии разработки систем безопасности программного обеспечения

При сотрудничестве с консультантами или поставщиками на любом этапе цикла разработки убедитесь в том, что их персонал прошел обучение методологии разработки систем безопасности программного обеспечения, используемой или рекомендуемой к использованию в организации.

Методологии разработки систем безопасности программного обеспечения

Весь коллектив разработчиков организации должен пройти обучение по рекомендуемой методологии разработки систем безопасности программного обеспечения. Это касается руководителей отделов разработки, разработчиков, испытателей и специалистов по контролю качества.

Методологии разработки систем безопасности программного обеспечения

Учитывая постоянное развитие угроз безопасности, следует ежегодно обновлять программу обучения методологии разработки систем безопасности программного обеспечения и программу обучения моделированию угроз. Все разработчики должны ежегодно проходить обновленные курсы по разработке систем безопасности программного обеспечения.

Методологии разработки систем безопасности программного обеспечения

Применение средств тестирования программ для обеспечения безопасности расширяет возможности команды разработчиков по эффективному написанию безопасного кода. Результаты применения средств тестирования должны включаться в программу обязательного ежегодного обучения.

Полученные данные

Рекомендации

Методологии разработки систем безопасности программного обеспечения

Ответ указывает на то, что организация использует средства тестирования программ для обеспечения безопасности в качестве части процесса разработки систем безопасности.

Расширьте использование средств тестирования программ по обеспечению безопасности в качестве первостепенног...