Категории
Категории
Все публикации
Менеджер паролей
11
Учёт и инвентаризация
1
Цифровые активы
3
Новости
26
Инструкции
2
Интервью с экспертом
8
TeamDo для HoReCa
8
TeamDo для медицинских организаций
2
Российское ПО
4
Информационная безопасность
8
Персональные данные
6
  • 3 мин
  • 29
Информационная безопасность

ФСТЭК России опубликовала гайд по защите сетевого периметра ИТ-систем

Федеральная служба по техническому и экспортному контролю России опубликовала гайд по защите сетевого периметра ИТ-систем. 

Документ состоит из следующих пунктов:

  1. Работы по администрированию, управлению конфигурацией и эксплуатации сетевых (пограничных) устройств;
  2. Меры по защите информации для повышения устойчивости сетевой инфраструктуры к атакам направленным на «отказ в обслуживании» (DDoS-атакам);
  3. Сегментирование сети и внедрение средств контроля и управления доступом для предотвращения компрометации основных сегментов сети;
  4. Резервное копирование конфигурационных файлов;
  5. Управление уязвимостями сетевого пограничного оборудования;
  6. Аутентификация и управление доступом пользователей и администраторов;
  7. Регистрация событий информационной безопасности и их анализ;
  8. Проведение регулярных учений по реагированию на инциденты информационной безопасности.

Ведомство рекомендует вести централизованный сбор, хранение и анализ журналов регистрации событий ИБ с максимально возможной детализацией. Сохранять успешные и неуспешные попытки авторизации, журналы сервисов и приложений (HTTP/HTTPS-запросы и ответы, сеансы интерактивной командной строки (CLI) и аналогичные сервисы).

В части сегментирования сети рекомендуется настраивать доступ к сети по модели нулевого доверия (ZTNA) и организовать создание демилитаризованной зоны (DMZ) для внешних сетевых взаимодействий.

Ведомство также советует хранить не менее трех резервных копий конфигурационных файлов сетевого оборудования, при этом одну из них держать на внешнем жестком диске.

Требования ФСТЭК к парольной политике

Для паролей рекомендуется длина 15 и более символов, включая символы кириллицы и латиницы в верхнем и нижнем регистре.

Требования различаются для разных типов учётных записей.

Обычные пользователи:

  • длина от 8 символов;
  • обязательны буквы в верхнем и нижнем регистре, цифры;
  • спецсимволы (!@#$%^&*) – рекомендованы;
  • запрещены имя пользователя, название организации, словарные слова и простые последовательности (123456, qwerty).

Привилегированные учётные записи (администраторы):

  • длина от 12 символов;
  • обязательно буквы обоих регистров, цифры, спецсимволы;
  • пароль не должен совпадать с паролем обычной учётной записи того же сотрудника;
  • рекомендованы парольные фразы (passphrase).

Сервисные учётные записи:

  • длина от 16 символов;
  • пароль генерируется криптостойким генератором;
  • хранится в защищённом хранилище (vault);
  • смена происходит при увольнении сотрудника, у которого был доступ к паролю. 

Периодичность и правила смены паролей:

  • Обычные УЗ  — не реже раза в 90 дней.
  • Привилегированные УЗ  — не реже раза в 60 дней.
  • Сервисные УЗ  — не реже раза в 180 дней и также при увольнении.
  • Внеплановая смена  — немедленно при подозрении на компрометацию.
  • Запрет повторного использования  — минимум последние 10 паролей (для высоких классов защиты  — 12).
  • Минимальный срок жизни пароля  — 1 день (защита от быстрой «прокрутки» истории).

Сложности реализации

Эксперты по ИБ-безопасности сходятся во мнении, что для реализации тяжелых функций вроде сбора событий или защиты веб-приложений потребуются огромные вложения, перестройка архитектуры и месяцы отладки.

К наиболее сложным в реализации пунктам эксперты относят следующие:

  • Настройка доступа к сети по модели нулевого доверия (ZTNA): потребуется фундаментальное изменение архитектуры сети и методов доступа; 
  • Полноценное управление уязвимостями в соответствии с отдельными методиками ФСТЭК: это подразумевает регулярное сканирование, анализ, тестирование обновлений и их установку в сжатые сроки;
  • Внедрение SIEM-системы для централизованного сбора, хранения и анализа огромного перечня событий: самый ресурсоемкий пункт с точки зрения внедрения и сопровождения.

Отдельно обращает на себя внимание восьмой пункт рекомендаций: компаниям нужно проводить регулярные учения по реагированию на инциденты информационной безопасности для подтверждения эффективности и способности организации выявлять и устранять инциденты.

Рекомендации разработаны после выявления успешных атак, связанных с удаленной эксплуатацией уязвимостей и несанкционированным доступом к внутренней инфраструктуре из внешней сети. Документ содержит советы по администрированию пограничных устройств, защите от атак, направленных на отказ в обслуживании, а также по сегментированию сети, резервному копированию, управлению уязвимостями и доступом.

Документ опубликован на сайте регулятора.