[Из песочницы] Рекомендации по информационной безопасности для малого и среднего бизнеса (SMB)
Привет, Хабр! Представляю вашему вниманию перевод и адаптацию статьи «CIS-Controls Implementation Guide for Small- and Medium-Sized Enterprises (SMEs)».
Введение
Утечки информации о кредитных картах, кража персональных данных, программы-вымогатели (например, WannaCry), кража интеллектуальной собственности, нарушение конфиденциальности, отказ в обслуживании — эти инциденты информационной безопасности стали обычными новостями. Среди пострадавших попадаются крупнейшие, наиболее состоятельные и наиболее защищенные предприятия: правительственные учреждения, крупные розничные сети, финансовые структуры, даже производители решений по информационной безопасности.
Подобные компании имеют многомиллионные бюджеты, выделяемые на информационную безопасность, и все же они не справляются с обычными атаками. Многие подобные атаки можно было предотвратить известными методами по защите информации, такими как регулярные обновления и практика использования безопасных конфигураций.
Что же тогда делать всем остальным? Как организациям с небольшим бюджетом и ограниченным штатом сотрудников реагировать на увеличивающееся число кибер-преступлений? Данный документ разработан для того, чтобы предоставить владельцам SMB инструменты для защиты своего бизнеса, основанные на CIS Controls. CIS Controls — это комплексный набор хорошо зарекомендовавших себя методов защиты информации, которые противодействуют наиболее распространенным угрозам и уязвимостям. Данные методы защиты информации разработаны специалистами в предметной области.
Среди угроз для SMB можно выделить:
Кража конфиденциальной информации — тип атаки, при которой внешние нарушители или неудовлетворенные работники крадут информацию, которая является важной для компании.
Дефейс сайта — тип атаки, при которой страница web-сайта заменяется другой страницей, чаще всего содержащей рекламу, угрозы или вызывающие предупреждения,.
Фишинг — тип атаки, при которой злоумышленник получает важную информацию (например, логины, пароли или данные кредитных карт) путем подделывания сообщений от доверенного источника (например, электронное письмо, составленное как легитимное, обманом заставляет получателя кликнуть по ссылке в письме, которая устанавливает вредоносное программное обеспечение на компьютер).
Программа-вымогатель — тип вредоносного программного обеспечения, блокирующего доступ к данным на компьютере, в результате чего преступники вымогают выкуп за то, чтобы разблокировать заблокированные данные.
Потеря данных из-за природных явлений или несчастных случаев.
Документ содержит небольшой набор мер по защите информации CIS Controls, специально подобранных для защиты SMB. Поскольку средства защиты информации постоянно меняются, вы можете связаться с нами на сайте и получить последнюю информацию.
Обзор
Безопасность тесно связана с управлением ИТ-инфраструктурой: хорошо управляемую сеть сложнее взломать, чем плохо управляемую. Чтобы понять, насколько хорошо ваша организация обеспечивает защиту информации, задайте себе следующие вопросы:
- Знаете ли вы, что ваши сотрудники подключают к своим компьютерам? Какие устройства подключены внутри локальной сети?
- Знаете ли вы, какое программное обеспечение используется в ваших информационных системах?
- Вы настраивали компьютеры с учетом требований по информационной безопасности?
- Вы контролируете доступ сотрудников к конфиденциальной информации или тех, у кого есть повышенные права доступа в системах?
- Ваши сотрудники хорошо понимают свою роль в защите вашей организации от угроз информационной безопасности?
Ниже перечислены различные бесплатные или недорогие инструменты, а также процедуры, которые помогут вам ответить на перечисленные вопросы и повысить уровень безопасности в организации. Перечисленные инструменты не является исчерпывающими, но они отражают широкий спектр доступных бесплатных или недорогих инструментов, которые любой SMB может использовать для повышения своего уровня информационной безопасности.
В данных Рекомендациях предлагается использовать поэтапный подход к построению системы защиты информации:
- Этап 1 позволяет понять, что находится в вашей сети, и определяет базовые требования по информационной безопасности;
- Этап 2 уделяет основное внимание обеспечению базовых требований безопасности и обучению сотрудников вопросам информационной безопасности.
- Этап 3 помогает вашей организации подготовиться к инцидентам по информационной безопасности.
На каждом этапе вам будут представлены вопросы, на которые необходимо ответить, а также действия и инструменты, которые помогут достичь ваших целей.
Этап 1. Знай свою инфраструктуру
В самом начале, чтобы продвинуться в вопросе информационной безопасности, необходимо разобраться с локальной сетью, подключенными устройствами, критически важными данными и программным обеспечением. Без четкого понимания того, что вам нужно защитить, вам будет трудно убедиться в том, что вы обеспечиваете приемлемый уровень информационной безопасности.
Ключевые вопросы, которые необходимо держать в голове:
- Знаете ли вы, какую информацию необходимо защищать? Где в вашей сети хранится самая важная информация?
- Знаете ли вы, какие устройства подключены к вашей сети?
- Знаете ли вы, какое программное обеспечение установлено на компьютерах сотрудников?
- Используют ли ваши системные администраторы и пользователи надежные пароли?
- Знаете ли вы, какие онлайн-ресурсы используют ваши сотрудники (т. е. работают или сидят в социальных сетях)?
Какую информацию необходимо защищать. Где в вашей сети хранится самая важная информация
Вы можете потерять свой бизнес, если критически важные данные вашей компании будут потеряны, украдены или повреждены. Случайные события и природные катаклизмы также потенциально могут нанести непоправимый ущерб. Кроме того, потенциальные злоумышленники нацелены на данные, которые могут иметь ценность для них. Этими злоумышленниками могут быть как хакеры, так и сотрудники вашей компании, которые хотят украсть ваших клиентов, финансовую информацию или интеллектуальную собственность. Чтобы использовать ценную информацию, они должны получить к ней доступ, а доступ, как правило, они получают через локальную сеть организации.
Чтобы защитить свой бизнес, вам нужно понимать ценность ваших данных и как их можно использовать. Также необходимо определить, какую информацию требуется защищать в рамках законодательства, например, платежная информация или персональные данные. Ниже представлены примеры данных, которые вам необходимо идентифицировать и инвентаризировать:
- Кредитные карты, банковская и финансовая информация;
- Персональные данные;
- Базы данных клиентов, цены на закупку/поставку;
- Коммерческие секреты компании, формулы, методологии, модели, интеллектуальная собственность.
Также представлены основные федеральные законы, которые определяют требования по защите информации (которые могут относиться к SMB) [от переводчика: документы вставлены с учетом Российского законодательства]:
- Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»;
- Федеральный закон от 27.06.2011 N 161-ФЗ «О национальной платежной системе»;
- Федеральный закон от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
- Федеральный закон от 29.11.2010 N 326-ФЗ («Об обязательном медицинском страховании в Российской Федерации»;
- Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне».
Какие устройства подключены к вашей сети
Если вы знаете какие устройства подключены к вашей сети, то ваша инфраструктура становится проще в управлении, и вы понимаете, какие устройства необходимо защищать. Ниже описаны действия, которые вы можете сделать, чтобы узнать об устройствах в вашей сети.
Действия:
- Если у вас есть беспроводная сеть, проверьте на своем маршрутизаторе (контроллере беспроводного доступа) какие устройства подключены, и применяется ли надежное шифрование (WPA2).
- Для более крупных организаций предлагается применение сетевого сканера (коммерческий или бесплатный) для идентификации всех устройств в вашей сети.
- Включите логирование событий, связанных с подключением сетевых устройств, которые получают ip-адрес по протоколу DHCP. Логирование таких событий обеспечит удобное отслеживание всех устройств, которые были в вашей сети. (Если вам нужна помощь, обратитесь к вашим ИТ-специалистам.)
- В небольших организациях можно хранить список вашего оборудования (компьютеры, серверы, ноутбуки, принтеры, телефоны и т. д.) и перечень защищаемой информации в электронной таблице, которую необходимо обновлять при появлении нового оборудования или данных.
Инструменты:
- Nmap: известный многоцелевой сетевой сканер, используемый системными администраторами и хакерами по всему миру, чтобы определить, какие устройства подключены к вашей сети
- ZenMap: удобный графический интерфейс для Nmap
- Spiceworks: бесплатное программное обеспечение инвентаризации и управления ресурсами (устройства и установленное программное обеспечение) вашей сети
Какое программное обеспечение установлено на компьютерах сотрудников
Контроль установленного программного обеспечения является ключевым компонентом как хорошего управления ИТ, так и эффективной защиты информации. Вредоносное программное обеспечение в вашей сети может создавать риски, которые необходимо минимизировать, сюда же можно отнести юридическую ответственность за использование нелицензионного программного обеспечения. Необновленное программное обеспечение является распространенной причиной проникновения вредоносного ПО, которое приводит к атакам на ваши информационные системы. Если вы понимаете, какое программное обеспечение установлено в вашей сети, контролируете устанавливаемое программное обеспечение и защищаете учетные записи с правами администратора, то вы уменьшаете вероятность и влияние инцидентов информационной безопасности.
Действия:
- Создайте перечень приложений, веб-сервисов или облачных решений, которые использует ваша организация:
- Ограничьте число пользователей с правами администратора до минимально возможного значения. Не позволяйте обычным пользователям работать в системе с правами администратора.
- Используйте сложные пароли для административных учетных записей, так как администраторы могут вносить серьезные изменения в систему. Разработайте инструкцию для сотрудников по составлению сложных паролей [от переводчика: пример создания сложного пароля — здесь].
- Убедитесь, что системные администраторы используют отдельную пользовательскую учетную запись для чтения электронной почты, доступа в Интернет и составления документов.
- Разработайте процедуру установки программного обеспечения в вашей сети и запретите установку неодобренных приложений с помощью, например, Applocker.
Инструменты:
- Applocker: бесплатный инструмент Microsoft Windows для определения и ограничения программного обеспечения, которое разрешено запускать
- Netwrix: множество бесплатных инструментов для идентификации информации об административном доступе в ваших системах
- OpenAudIT: инвентаризация программного обеспечения на серверах, рабочих станциях и сетевых устройствах
Этап 2. Защити свои активы
Сотрудники — ваш самый важный актив, и это выражение справедливо не только в бизнесе, но и в информационной безопасности. Защита вашей информации требует не только технологических решений, но и осведомленности сотрудников о предотвращении случайного нарушения работы ваших систем. В рамках этого этапа не только будет описана защита ваших компьютеров, но и обучение ваших сотрудников важным аспектам информационной безопасности.
Несколько вопросов, на которые вам необходимо ответить:
- Вы настраивали компьютеры с учетом требований по информационной безопасности?
- В вашей сети работает антивирусное ПО, которое постоянно обновляется?
- Рассказываете ли вы своим сотрудникам о современных методах защиты информации?
Настройка базовых требований по информационной безопасности
Для получения доступа в вашу информационную систему вредоносные программы и злоумышленники чаще всего используют либо небезопасно настроенные приложения, либо приложения с уязвимостями. Вам необходимо убедиться, что ваша операционная система и приложения (особенно веб-браузеры) обновлены и правильно настроены. Кроме того, рекомендуется использовать механизмы защиты от вредоносных программ, которые могут быть встроены в вашу операционную систему. Например, Windows Device Guard, Windows Bitlocker и другие, упомянутые ниже.
Действия:
- периодически запускайте сканер безопасности Microsoft Security Analyzer, чтобы определить, какие патчи/обновления не установлены для операционной системы Windows, и какие изменения в конфигурации необходимо выполнить;
- убедитесь, что ваши браузер и плагины в нем обновлены. Попробуйте использовать браузеры, которые автоматически обновляют свои компоненты, такие как Google Chrome [от переводчика: русским аналогом может быть Яндекс.Браузер];
- используйте антивирус с последними обновлениями антивирусной базы для защиты систем от вредоносного ПО;
- ограничьте использование съемных носителей (USB, CD, DVD) теми сотрудниками, кому это действительно нужно для выполнения своих служебных обязанностей;
- установите программный инструмент Enhanced Mitigation Experience Toolkit (EMET) на компьютерах с Windows для защиты от уязвимостей, связанных с программным кодом;
- требуйте использования многофакторной аутентификации там, где это возможно, особенно для удаленного доступа к внутренней сети или электронной почте. Например, используйте безопасные токены/смарт-карты или смс сообщения с кодами в качестве дополнительного уровня безопасности в дополнение к паролям;
- измените пароли по умолчанию для всех приложений, операционных систем, маршрутизаторов, межсетевых экранов, точек беспроводного доступа, принтеров/сканеров и других устройств, при добавлении их в сеть;
- используйте шифрование для безопасного удаленного управления вашими устройствами и передачи конфиденциальной информации;
- шифруйте жесткие диски на ноутбуке или мобильном устройстве, содержащие конфиденциальную информацию.
Инструменты:
- Bitlocker: встроенное шифрование для устройств Microsoft Windows
- FireVault: встроенное шифрование для устройств Mac
- Qualys Browser Check: инструмент для проверки вашего браузера на наличие последних обновлений
- OpenVAS: инструмент для проверки систем на соответствие базовым требованиям информационной безопасности
- Microsoft Baseline Security Analyzer: бесплатный инструмент Microsoft для понимания того, как компьютеры с операционной системой Windows могут быть безопасно настроены
- CIS Benchmarks: бесплатные PDF-файлы, в которых содержатся инструкции по созданию конфигураций с учетом информационной безопасности для более чем 100 технологий.
Выработка процессов по ИБ
Информационная безопасность — это история не только про технологии, но и про процессы, и людей. Недостаточно наличия только средств защиты информации. Чтобы обеспечить безопасность вашей организации, ваши сотрудники также должны строго соблюдать требования по информационной безопасности. Есть два ключевых фактора для обучения ваших сотрудникам вопросам информационной безопасности: донести информацию до них, постоянно поддерживать их уровень знаний.
Информация, которую необходимо донести до сотрудников:
- Определите сотрудников в вашей организации, которые имеют доступ или обрабатывают конфиденциальную информации, и убедитесь, что они понимают свою роль в защите этой информации.
- Двумя самыми распространенными атаками являются фишинговые атаки по электронной почте и по телефону. Убедитесь, что ваши сотрудники могут описать и определить основные признаки атаки. К таким признакам могут относиться ситуации, когда люди говорят о большой срочности, просят ценную или конфиденциальную информацию, используют непонятные или технические термины, просят игнорировать или обойти процедуры безопасности.
- Сотрудники должны понимать, что здравый смысл является лучшей защитой. Если происходящее кажется странным, подозрительным или слишком хорошим, чтобы быть правдой, это скорее всего признаки атаки.
- Поощряйте использование сложных, уникальных паролей для каждой учетной записи и / или двухфактурную аутентификацию там, где это возможно.
- Требуйте от ваших коллег использовать «блокировку экрана» на своих мобильных устройствах.
- Убедитесь, что все сотрудники постоянно обновляют свои устройства и программное обеспечение.
Поддержка уровня знаний:
- Поясняйте своим сотрудникам, как защитить вашу организацию и как эти методы можно применять в их личной жизни, убедитесь, что они это понимают;
- Убедитесь, что все сотрудники понимают, что информационная безопасность является важной частью их работы.
- Распространяйте для своих сотрудников бесплатные информационные материалы по вопросам информационной безопасности, такие как информационный бюллетень SANS OUCH! и ежемесячные информационные бюллетени MS-ISAC.
- Используйте онлайн-ресурсы, такие как StaySafeOnline.org Национального альянса кибербезопасности.
Инструменты:
- SANS Ouch! Информационный бюллетень, видео месяца, ежедневные советы и плакаты;
- ежемесячные информационные бюллетени MS-ISAC;
- Staysafeonline.com;
- Safe-surf.ru [от переводчика: российский аналог];
Этап 3: Подготовь свою организацию
После того, как ваша организация разработала серьезный фундамент по информационной безопасности, вы должны выстроить механизмы реакции на инциденты. Такой подход включает в себя понимание, как справляться с инцидентом информационной безопасности и как восстановить работу компании после него.
Ключевые вопросы:
- Знаете ли вы, когда последний раз была создана резервная копия ваших ценных файлов?
- Регулярно ли вы проверяете правильность резервных копий?
- Знаете ли вы, с кем из коллег связаться, если произошел инцидент?
Управление резервными копиями
Создание и управление резервными копиями может быть рутинной и не очень интересной задачей, однако, это один из лучших способов защитить ваши данные, восстановиться после сбоя и вернуть ваш бизнес в обычное русло. Это важно, потому что программы-вымогатели могут зашифровать все ваши данные и заблокировать их до выкупа. Надежный план реагирования, дополненный текущими и поддерживаемыми резервными копиями, является наилучшей защитой при работе с инцидентом по информационной безопасности.
Действия:
- Автоматически выполнять еженедельные резервные копии всех компьютеров, содержащих важную информацию;
- Периодически проверяйте свои резервные копии, восстанавливая систему с использованием резервной копии;
- Убедитесь, что, хотя бы одна резервная копия недоступна по сети. Это поможет защитить от атак программ-вымогателей, поскольку данная резервная копия не будет доступна для вредоносного ПО.
Инструменты:
- Microsoft «Резервное копирование и восстановление»: утилита резервного копирования, встроенная в операционную систему Microsoft
- Apple Time Machine: инструмент резервного копирования, установленный в операционных системах Apple
- Amanda Network Backup: бесплатный инструмент резервного копирования с открытым исходным кодом
- Bacula: сетевое решение для резервного копирования и восстановления информации с открытым исходным кодом
Подготовка к инциденту
Никто не хочет, чтобы произошел инцидент, связанный с информационной безопасностью, но чем лучше вы подготовлены, тем быстрее вы сможете восстановиться после инцидента. К инцидентам по информационной безопасности относят атаку типа «отказ в обслуживании», которая нарушает доступ к вашему сайту, атаку программ-вымогателей, которые блокируют вашу систему или ваши данные, атаку вредоносным ПО, которая приводит к потере данных вашего клиента или сотрудника, а также кражу ноутбука, содержащего незашифрованные данные.
Чтобы быть готовым, вам нужно знать, к кому обратиться в случае инцидента. Вы можете обратиться к внутреннему ИТ-персоналу за помощью, или, может быть, вы полагаетесь на стороннюю компанию, предоставляющую услуги по управлению инцидентами. В любом случае, вы должны знать роли ответственных за управление инцидентами до возникновения события.
Действия:
- Определите сотрудников вашей организации, которые будут принимать решения и давать указания в случае инцидента.
- Предоставьте контактную информацию для ИТ-персонала и / или сторонних организаций.
- Присоединяйтесь к ассоциациям, которые сосредоточены на обмене информацией и продвижении информационной безопасности.
- Храните список внешних контактов как часть вашего плана. К ним могут относиться юрисконсульты, страховые агенты, если вы застраховали риски по информационной безопасности, консультанты по вопросам безопасности.
- Ознакомьтесь с законами, связанными с нарушениями в сфере информационной безопасности в вашей стране.
Что делать, если произошел инцидент:
- Рассмотрите возможность обращения к консультанту по информационной безопасности, если характер и масштаб инцидента вам непонятен.
- Рассмотрите возможность обращения к юристу, если окажется, что в инциденте была скомпрометирована конфиденциальная информация третьей стороны.
- Подготовьтесь к уведомлению всех затронутых лиц, чья информация была раскрыта в результате нарушения.
- По мере необходимости информируйте сотрудников правоохранительных органов.