ИНСТРУКЦИЯ
по повышению защищенности информационной инфраструктуры
Для недопущения нарушения функционирования и вывода из строя информационной инфраструктуры организаций в период нерабочих (праздничных) и выходных дней, необходимо провести работы по следующим направлениям:
1. Приостановить работы по обновлению иностранного программного обеспечения и программно-аппаратных средств, страной происхождения которых является США и страны Европейского союза, а также исключить их автоматическое централизованное обновление посредством сети «Интернет».
2. Также в целях повышения защищенности информационной инфраструктуры рекомендуется:
2.1. Устранение уязвимостей:
– провести инвентаризацию служб и сервисов, используемых для функционирования информационной инфраструктуры;
– отключить неиспользуемые службы и веб-сервисы;
– провести сканирование служб и веб-сервисов на наличие уязвимостей (для автоматизированных проверок может использоваться бесплатная программа ScanOVAL, размещенная на сайте ФСТЭК России);
– принять исчерпывающие меры по устранению критических уязвимостей, выявленных в ходе сканирования, или организовать установку компенсирующих обновлений или настройку таких сервисов.
2.2. Резервное копирование:
– обеспечить регулярное снятие резервных копий для возможности незамедлительного восстановления информации, модифицированной или уничтоженной в следствии несанкционированного доступа к ней;
– провести тестирование восстановления из резервных копий;
– обеспечить хранение резервных копий в изолированном от сети «Интернет» сегменте, в том числе на внешних носителях.
2.3. Привилегированные пользователи (администраторы):
– проверить актуальность списков привилегированных пользователей (администраторов);
– отключить сервисные и неиспользуемые учетные записи;
– сменить административные пароли на ключевых системах инфраструктуры, организовать внеплановую смену паролей от аккаунтов администраторов с учетом требований информационной безопасности (длина пароля не менее 10 символов, заглавные буквы, цифры и спецсимволы);
– исключить использование паролей, заданных по умолчанию, простых паролей, в пароле не должно быть персонифицированной информации (имен, адресов, даты рождения, телефонов);
– при наличии технической возможности использовать функционал двухфакторной аутентификации.
2.4. Провести проверку работы систем информационной безопасности:
– провести проверку наличия установленных и актуальных антивирусных решений, системы обнаружения и предотвращения вторжений;
– произвести проверку настроек безопасности (доступа, аудита, авторизации и аутентификации пользователей) в соответствии с политикой информационной безопасности органа (организации);
– провести проверку работоспособности систем мониторинга информационной безопасности, в том числе на предмет корректности реализации функций уведомления администратора информационной безопасности о событиях информационной безопасности;
– обеспечить оперативное оповещение администраторов безопасности и пользователей в масштабе времени, близком к реальному, о реализации компьютерных атак на системы (в случае их проведения) и возможность оперативного реагирования и принятия мер защиты информации при возникновении компьютерных инцидентов;
– провести инвентаризацию учетных записей для удаленного подключения к информационной инфраструктуре органа (организации), удалить неактивные и неактуальные учетные записи;
– ограничить доступ к информационной инфраструктуре органа (организации) подрядных организаций на период нерабочих (праздничных) и выходных дней;
– организовать мониторинг веб-ресурсов органа (организации) на наличие нелегитимных публикаций, подмены содержимого, доступности информации, размещенной на указанных ресурсах;
– назначить в органе (организации) ответственного за обеспечение информационной безопасности специалиста (специалистов) в целях реагирования на события и инциденты информационной безопасности в информационной инфраструктуре органа (организации) на период нерабочих (праздничных) и выходных дней.
2.5. Сетевая инфраструктура:
– исключить (при возможности) удаленный доступ посредством сети «Интернет» к информационной инфраструктуре период нерабочих (праздничных) и выходных дней;
– ограничить доступ к административной панели (при наличии) информационной системы (веб-сайта) органа (организации), в том числе изменив адрес доступа «по умолчанию», по которому осуществляется доступ к указанной панели;
– ограничить физический доступ посторонних лиц и недопущенных работников в помещения, в которых размещаются средства вычислительной техники, обеспечивающие функционирование информационной системы (веб-сайта) органа (организации);
– на сетевом оборудовании при наличии технической возможности отказаться от использования незащищенных протоколов управления, таких как telnet/http/snmp, и разрешить доступ к оборудованию только из доверенных сетей (сегменты управления, рабочие станции администраторов);
– обеспечить устойчивое функционирование информационных систем органа (организации) в условиях осуществления атак типа «отказ в обслуживании» (DDoS атак);
– в случае выявления попыток несанкционированного доступа к учетным записям пользователей с IP-адресов, не принадлежащих органу (организации), осуществить их блокировку путем внесения указанных адресов в черный список на межсетевом экране уровня периметра сети.
2.6. Организационные меры:
– обеспечить недопущение публикации недостоверной социально значимой и противоправной информации на веб-ресурсах органов(организаций);
– отменить и запретить проводить профилактические, ремонтные и иные работы в информационной инфраструктуре с 17:30 6 мая и до 8:30 13 мая,
за исключением восстановления работоспособности.
3. Довести до работников органа (организации) правила безопасной работы с электронной почтой:
– внимательно проверять адрес и домен отправителя, даже в случае совпадения имени с уже известным контактом;
– не открывать вложения и не переходить по ссылкам из писем от неизвестных адресатов;
– не открывать вложения из писем. При необходимости открыть вложение обязательно проверить с помощью антивируса, особенно если это документы с макросами, архивы с паролями, а также файлы с несвойственными расширениями, например, текстовый файл с раcширением .exe;
– при получении писем, не соответствующих критериям безопасности, рекомендуем направлять их в папку «спам» и сообщать специалистам, ответственным за информационную безопасность.
4. В случае выявления инцидентов безопасности информации в информационной инфраструктуре органа (организации) необходимо оперативно уведомлять:
– Минцифры Челябинской области по электронной почте incident@mininform74.ru;
– Управление ФСТЭК России по Уральскому Федеральному округу по электронной почте – otd9_urfo@fstec.ru.