CSC 6.0 нұсқасы - CSC Version 6.0
The Интернет қауіпсіздігі орталығы Қауіпсіздікті бақылау 6.0 нұсқасы 2015 жылғы 15 қазанда шығарылды.[1] Ол мыналардан тұрады:
- ХҚКО 1: Рұқсат етілген және рұқсат етілмеген құрылғыларды түгендеу[2]
- ХҚКО 2 Рұқсат етілген және рұқсат етілмеген бағдарламалық жасақтаманы түгендеу
- ХҚКО 3: Мобильді құрылғылардағы, ноутбуктардағы, жұмыс станцияларындағы және серверлердегі жабдық пен бағдарламалық жасақтаманың қауіпсіз конфигурациясы
- ХҚКО 4: Осалдықты үздіксіз бағалау және қалпына келтіру
- ХҚКО 5: Әкімшілік артықшылықтарды бақылау
- ХҚКО 6: Аудит журналдарын жүргізу, бақылау және талдау
- ХҚКО 7 Электрондық пошта және веб-шолғыштан қорғау
- ХҚКО 8: Зиянды бағдарламадан қорғаныс
- ХҚКО 9: Желілік порттарды, протоколдарды және қызметтерді шектеу және бақылау
- ХҚКО 10: Деректерді қалпына келтіру мүмкіндігі
- ХҚКО 11: Брандмауэр, маршрутизаторлар мен қосқыштар сияқты желілік құрылғылар үшін қауіпсіз конфигурациялар
- ХҚКО 12: Шекара қорғанысы
- ХҚКО 13: Деректерді қорғау
- ХҚКО 14: Білу қажеттілігіне негізделген басқарылатын қол жетімділік
- ХҚКО 15: Сымсыз қатынасты басқару
- ХҚКО 16: Есепке бақылау және бақылау
- ХҚКО 17: Қауіпсіздік дағдыларын бағалау және олқылықтарды толтыру үшін тиісті дайындық
- ХҚКО 18: Бағдарламалық жасақтаманың қауіпсіздігі
- ХҚКО 19: Оқиғаға жауап беру және басқару
- ХҚКО 20: Penetration тесттері және қызыл командалық жаттығулар
| Отбасы | Бақылау | Басқарудың сипаттамасы |
|---|---|---|
| Қауіпсіздікті бақылау №1: Авторланған және рұқсат етілмеген құрылғыларды түгендеу | ||
| Жүйе | 1.1 | Түгендеудің автоматтандырылған құралын орналастырыңыз және оны ұйымның мемлекеттік және жеке желісіне (желілеріне) қосылған жүйелердің алдын-ала тізімдемесін құру үшін пайдаланыңыз. IPv4 немесе IPv6 желілік мекен-жай диапазондары арқылы сканерлейтін белсенді құралдар да, олардың трафигін талдауға негізделген хосттарды анықтайтын пассивті құралдар да қолданылуы керек. |
| Жүйе | 1.2 | Егер ұйым DHCP-ді қолдана отырып, адрестерді динамикалық түрде тағайындайтын болса, онда динамикалық хост конфигурациясының протоколын (DHCP) сервер журналына енгізіп, активтер тізімдемесін жақсарту және белгісіз жүйелерді анықтауға көмектесу үшін осы ақпаратты қолданыңыз. |
| Жүйе | 1.3 | Жабдықтардың барлығының түгендеу жүйесін автоматты түрде жаңартылғанына, жаңа, бекітілген құрылғылардың желіге қосылғандығына көз жеткізіңіз. |
| Жүйе | 1.4 | Желіге қосылған барлық жүйелер мен желілік құрылғылардың активтерін түгендеу, кем дегенде желінің мекен-жайларын, машиналардың атауын (атын), әр жүйенің мақсатын, әр құрылғыға жауап беретін актив иесін және әр құрылғыға байланысты бөлімін жазып алу. . Түгендеу желісіне Интернет-хаттама (IP) мекен-жайы бар кез-келген жүйені, соның ішінде жұмыс үстелдерін, ноутбуктарды, серверлерді, желілік жабдықты (маршрутизаторлар, коммутаторлар, брандмауэрлер және т.б.), принтерлерді, сақтау аймағының желілерін, дауысты қоса алғанда, қамтуы керек. IP-телефондар, көп мекен-жайлы мекен-жайлар, виртуалды мекен-жайлар және т.б. Құрылған активтер тізімдемесінде құрылғының портативті және / немесе жеке құрылғы екендігі туралы мәліметтер де болуы керек. Ұялы телефондар, планшеттер, ноутбуктер және басқа деректерді сақтайтын немесе өңдейтін портативті электронды құрылғылар сияқты құрылғылар, олардың ұйым желісіне қосылуына қарамастан анықталуы керек. |
| Жүйе | 1.5 | Қандай құрылғыларды желіге қосуға болатындығын шектеу және басқару үшін желі деңгейінің аутентификациясын 802.1x арқылы орналастырыңыз. Рұқсат етілген және рұқсат етілмеген жүйелерді анықтау үшін 802.1x түгендеу деректеріне қосылуы керек. |
| Жүйе | 1.6 | Жеке жүйеге қосылмас бұрын жүйелерді тексеру және аутентификациялау үшін клиенттік сертификаттарды қолданыңыз. |
| Қауіпсіздікті бақылау №2: Авторланған және рұқсат етілмеген бағдарламалық жасақтаманы түгендеу | ||
| Жүйе | 2.1 | Кәсіпорында жүйенің әр түріне, оның ішінде серверлер, жұмыс станциялары және әртүрлі типтегі және қолданылатын ноутбуктарды қажет ететін авторизацияланған бағдарламалық жасақтама мен нұсқалардың тізімін жасаңыз. Бұл тізімді рұқсат етілген бағдарламалық жасақтама өзгертілмегендігін тексеру үшін файлдардың тұтастығын тексеру құралдары арқылы бақылау керек. |
| Жүйе | 2.2 | Бағдарламалық жасақтаманы ақ тізімге енгізілген жағдайда ғана іске асыруға мүмкіндік беретін және жүйеде барлық басқа бағдарламалық жасақтаманың алдын алатын ақбағдарламалар тізімін енгізу технологиясын қолданыңыз. Ақ тізім өте кең болуы мүмкін (коммерциялық ақ тізім сатушыларында бар), сондықтан қарапайым бағдарламалық жасақтаманы пайдаланушыларға ыңғайсыздық тудырмайды. Немесе кейбір арнайы мақсаттағы жүйелер үшін (қажет бизнес-функционалдылыққа жету үшін тек аз бағдарламаларды қажет етеді) ақ тізім өте тар болуы мүмкін. |
| Жүйе | 2.3 | Серверлерді, жұмыс станцияларын және ноутбуктарды қоса қолданыстағы операциялық жүйенің әр түрін қамтитын бағдарламалық қамтамасыз ету құралдарын бүкіл ұйымға орналастырыңыз. Бағдарламалық жасақтаманы түгендеу жүйесі негізгі операциялық жүйенің нұсқасын және оған орнатылған қосымшаларды қадағалап отыруы керек. Бағдарламалық жасақтаманы түгендеу жүйелері жабдықтың активтері тізімдемесіне қосылуы керек, сондықтан барлық құрылғылар мен байланысты бағдарламалық жасақтама бір жерден бақыланады. |
| Жүйе | 2.4 | Виртуалды машиналар және / немесе ауамен жұмыс жасайтын жүйелер іскери операцияларға қажетті, бірақ жоғары тәуекелге негізделген қосымшаларды оқшаулау және іске қосу үшін желілік ортаға орнатылмауы керек. |
| Қауіпсіздікті басқару №3: Аппараттық және бағдарламалық жасақтаманың қауіпсіз конфигурациясы | ||
| Жүйе | 3.1 | Амалдық жүйелер мен бағдарламалық жасақтаманың стандартты қауіпсіз конфигурацияларын орнатыңыз. Стандартталған кескіндер базалық амалдық жүйенің және жүйеде орнатылған қосымшалардың қатайтылған нұсқаларын ұсынуы керек. Бұл кескіндер жақында осалдықтар мен шабуыл векторларын ескере отырып, олардың қауіпсіздік конфигурациясын жаңарту үшін үнемі тексеріліп, жаңартылып отырылуы керек. |
| Жүйе | 3.2 | Кәсіпорында қолданылатын барлық жаңа жүйелерді құру үшін қолданылатын қауіпсіз кескінді құра отырып, конфигурацияны қатаң басқаруды қадағалаңыз. Бұзылған кез келген қолданыстағы жүйені қауіпсіз құрастырумен қайта бейнелеу керек. Бұл кескіннің үнемі жаңартулары немесе ерекшеліктері ұйымның өзгеруін басқару процестеріне енуі керек. Суреттер жұмыс станциялары, серверлер және ұйым пайдаланатын басқа жүйелік типтер үшін жасалуы керек. |
| Жүйе | 3.3 | Негізгі кескіндерді үздіксіз тексеруге қабілетті тұтастықты тексеретін құралдармен расталған қауіпсіз конфигурацияланған серверлерде сақтаңыз және кескіндерге тек авторизацияланған өзгертулер енгізу мүмкіндігіне көз жеткізіңіз. Сонымен қатар, бұл негізгі кескіндерді өндіріс желісінен ауытқу режимінде, дербес компьютерлерде сақтауға болады, оларды кескіндерді сақтау серверлері мен өндірістік желі арасында жылжыту үшін қауіпсіз медиа құралдары арқылы көшіруге болады. |
| Жүйе | 3.4 | Серверлерді, жұмыс станцияларын, желілік құрылғыларды және осыған ұқсас жабдықты қауіпсіз арналар арқылы қашықтықтан басқаруды жүзеге асырыңыз. Telnet, VNC, RDP немесе басқа да күшті шифрлауды белсенді қолдамайтын протоколдар SSL, TLS немесе IPSEC сияқты қайталама шифрлау каналы арқылы орындалған жағдайда ғана қолданылуы керек. |
| Жүйе | 3.5 | Маңызды жүйелік файлдардың (соның ішінде сезімтал жүйенің және қолданбаның орындалатын файлдарының, кітапханалары мен конфигурацияларының) өзгермегеніне көз жеткізу үшін файлдардың тұтастығын тексеру құралдарын қолданыңыз. Есеп беру жүйесі: әдеттегі және күтілетін өзгерістерді есепке алу мүмкіндігіне ие болуы керек; ерекше немесе күтпеген өзгерістерді бөлектеу және ескерту; уақыт ішіндегі конфигурацияның өзгеру тарихын көрсетіп, кім өзгерткенін анықтау (пайдаланушы идентификаторы ауысқан жағдайда, мысалы, su немесе sudo пәрменімен кірген бастапқы тіркелгіні қоса). Бұл тұтастықты тексеру жүйенің күдікті өзгертулерін анықтауы керек, мысалы: иесіне және файлдарға немесе каталогтарға рұқсаттың өзгеруіне; зиянды әрекеттерді жасыру үшін пайдалануға болатын мәліметтердің балама ағындарын пайдалану; және қосымша жүйелік жүйелерге қосымша файлдарды енгізу (бұл шабуылдаушылар қалдырған зиянды жүктемені немесе пакеттік тарату процесінде орынсыз қосылған қосымша файлдарды көрсетуі мүмкін). |
| Жүйе | 3.6 | Барлық қашықтан тексерілетін қауіпсіз конфигурация элементтерін тексеретін және рұқсат етілмеген өзгерістер болған кезде ескертетін конфигурацияны бақылаудың автоматтандырылған жүйесін енгізіңіз және тексеріңіз. Бұған жаңа тыңдау порттарын, жаңа әкімшілік пайдаланушыларды, топтық және жергілікті саясат нысандарындағы өзгерістерді (қажет болған жағдайда) және жүйеде жұмыс істейтін жаңа қызметтерді анықтау кіреді. Есеп беру мен интеграцияны оңтайландыру үшін мүмкіндігінше қауіпсіздік мазмұнын автоматтандыру хаттамасына (SCAP) сәйкес келетін құралдарды қолданыңыз. |
| Жүйе | 3.7 | Microsoft Windows жүйелеріне арналған Active Directory Топтық Саясат Нысандары немесе UNIX жүйелеріне арналған қуыршақ сияқты жүйелік конфигурацияны басқару құралдарын орналастырыңыз, олар жүйеге конфигурация параметрлерін жүйелі түрде жоспарланған уақыт аралығында автоматты түрде енгізеді және қайта орналастырады. Олар конфигурация параметрлерін жоспарланған, қолмен немесе оқиғаға негізделген қайта орналастыруды бастауы мүмкін. |
| Қауіпсіздікті бақылау №4: Осалдықты үнемі бағалау және қалпына келтіру | ||
| Жүйе | 4.1 | Желідегі барлық жүйелерге қарсы осалдықтарды сканерлеудің автоматтандырылған құралдарын апта сайын немесе одан да жиі іске қосыңыз және жүйенің әкімшілері мен департаменттерінің тәуекелді төмендету тиімділігін салыстыратын тәуекелдермен бірге әрбір жауапты жүйе әкімшісіне ең маңызды осалдықтардың тізімдерін ұсыныңыз. Кодқа негізделген осалдықтарды (мысалы, жалпы осалдықтар мен экспозициялар жазбаларында сипатталған) және конфигурацияға негізделген осалдықтарды (жалпы конфигурацияны санау жобасы санайтын) іздейтін SCAP расталған осалдық сканерін пайдаланыңыз. |
| Жүйе | 4.2 | Екі мақсатты орындау үшін оқиғалар журналдарын осалдық сканерлеу ақпаратымен байланыстырыңыз. Біріншіден, персонал осалдықтарды сканерлеу құралдарының белсенділігі тіркелгенін тексеруі керек. Екіншіден, персонал осы эксплуатация осал деп танылған мақсатқа қарсы қолданылған-қолданылмағанын анықтау үшін шабуылдарды анықтау оқиғаларын осалдықты сканерлеудің алдыңғы нәтижелерімен байланыстыра алуы керек. |
| Жүйе | 4.3 | Қауіпсіздік конфигурациясын талдау үшін әр түпкі жүйеде жергілікті жұмыс жасайтын агенттермен немесе тексеріліп жатқан жүйеде әкімшілік құқықтар берілген қашықтағы сканерлермен осалдылықты сканерлеуді орындаңыз. Осалдықтың түпнұсқалығын сканерлеу үшін арнайы есептік жазбаны пайдаланыңыз, оны басқа әкімшілік әрекеттер үшін қолдануға болмайды және белгілі бір IP мекен-жайларда белгілі бір машиналарға байлап қою керек. Осалдықтарды басқарудың пайдаланушы интерфейсіне тек уәкілетті қызметкерлердің қол жетімділігіне және рөлдердің әр пайдаланушыға қолданылатындығына көз жеткізіңіз. |
| Жүйе | 4.4 | Жаңадан пайда болатын экспозициялар туралы хабардар болу үшін осалдық барлау қызметіне жазылыңыз және осы жазылымнан алынған ақпаратты кем дегенде ай сайын ұйымның осалдығын сканерлеу қызметін жаңарту үшін пайдаланыңыз. Сонымен қатар, сіз қолданатын осалдықтарды сканерлеу құралдарының қауіпсіздікке қатысты барлық маңызды осалдықтармен үнемі жаңартылып тұруын қамтамасыз етіңіз. |
| Жүйе | 4.5 | Автоматтандырылған патчты басқару құралдары мен амалдық жүйеге арналған бағдарламалық жасақтаманы және бағдарламалық жасақтаманы жаңарту құралдарын осындай құралдар қол жетімді және қауіпсіз болатын барлық жүйелерге орналастырыңыз. Патчтарды барлық жүйелерге, тіпті ауамен сәйкес келетін жүйелерге де қолдану керек. |
| Жүйе | 4.6 | Кез-келген сканерлеу әрекеті мен байланысты әкімші тіркелгілерімен байланысты журналдарды бақылаңыз, бұл әрекеттің заңды сканерлеу уақытымен шектелуіне көз жеткізіңіз. |
| Жүйе | 4.7 | Осалдықтарды түзету, өтемдік бақылауды енгізу немесе орынды іскери тәуекелді қабылдау және қабылдау арқылы осалдықтардың шешілгендігін тексеру үшін осалдығын артынан қарап шығу нәтижелерін салыстырыңыз. Қолданыстағы осалдықтар үшін іскери тәуекелдерді осындай қабылдауды өтемдік бақылаудың не одан кейінгі патчтардың бұрын қабылданған осалдықтарды шеше алатынын немесе жағдай өзгеріп, тәуекелді жоғарылататындығын анықтау үшін мезгіл-мезгіл қайта қарау қажет. |
| Жүйе | 4.8 | Активтердің сәйкес топтары бойынша (мысалы, DMZ серверлері, ішкі желілік серверлер, жұмыс үстелдері, ноутбуктер) сегменттермен бөлу және осалдықтың ықтимал әсеріне негізделген осалдықтарды тәуекелге бөлу процесін құру. Алдымен ең қауіпті осалдықтарға патчтарды қолданыңыз. Ұйымға әсерді азайту үшін кезең-кезеңмен шығаруды пайдалануға болады. Тәуекел дәрежесінің деңгейіне сүйене отырып, күтілетін түзету мерзімдерін белгілеңіз. |
| Қауіпсіздікті бақылау № 5: Әкімшілік артықшылықтарды бақылау | ||
| Жүйе | 5.1 | Әкімшілік артықшылықтарды азайтыңыз және қажет болған жағдайда ғана әкімшілік шоттарды қолданыңыз. Әкімшілік артықшылықты функцияларды қолдануға бағытталған шоғырландырылған аудитті жүзеге асырыңыз және ауытқушылықты қадағалаңыз. |
| Жүйе | 5.2 | Барлық әкімшілік шоттарды түгендеу үшін автоматтандырылған құралдарды қолданыңыз және жұмыс үстелдерінде, ноутбуктерде және серверлерде әкімшілік артықшылықтары бар әр адамға жоғары басшы рұқсат бергендігін растаңыз. |
| Жүйе | 5.3 | Желілік ортада кез-келген жаңа құрылғыларды орналастырмас бұрын, бағдарламалар, амалдық жүйелер, маршрутизаторлар, брандмауэрлер, сымсыз кіру нүктелері және басқа жүйелер үшін барлық стандартты парольдерді әкімшілік деңгейіндегі есептік жазбаларға сәйкес мәндерге ие етіп өзгертіңіз. |
| Жүйе | 5.4 | Есептік жазба домен әкімшілерінің тобына қосылғанда немесе жойылғанда немесе жүйеге жаңа жергілікті әкімші тіркелгісі қосылған кезде журнал жазбасын және ескертуін беру үшін жүйелерді конфигурациялаңыз. |
| Жүйе | 5.5 | Журнал жазбасын шығаратын жүйелерді және әкімшілік тіркелгісіне сәтсіз кіру туралы ескерту жасаңыз. |
| Жүйе | 5.6 | Доменнің әкімшілік қатынасын қоса, барлық әкімшілік қол жеткізу үшін көп факторлы аутентификацияны қолданыңыз. Көп факторлы аутентификация смарт-карталарды, сертификаттарды, One Time Password (OTP) токендерін, биометрияны немесе басқа да осыған ұқсас аутентификация әдістерін қолдануды қамтитын әртүрлі әдістерді қамтуы мүмкін. |
| Жүйе | 5.7 | Көп факторлы аутентификацияға қолдау көрсетілмеген жағдайда, пайдаланушы тіркелгілері жүйеде ұзақ парольдерді (14 таңбадан артық) пайдалануы қажет. |
| Жүйе | 5.8 | Әкімшілерден жүйеге толығымен кірген және әкімшілік емес есептік жазбаны пайдалануды талап ету керек. Содан кейін, әкімшілік артықшылықтарсыз құрылғыға кіргеннен кейін, әкімші Linux / UNIX-тегі Sudo, Windows-тағы RunAs және басқа жүйелер типтеріне арналған басқа да құралдар сияқты құралдарды пайдаланып, әкімшілік артықшылықтарға ауысуы керек. |
| Жүйе | 5.9 | Әкімшілер барлық әкімшілік тапсырмалар немесе қол жеткізуді қажет ететін тапсырмалар үшін арнайы машинаны пайдаланады. Бұл машина ұйымның негізгі желісінен оқшауланған және Интернетке кіруге рұқсат етілмеген болуы керек. Бұл құрылғы электрондық поштаны оқуға, құжаттар құруға немесе Интернетті шарлауға қолданылмайды. |
| Қауіпсіздікті сыни бақылау №6: Аудит журналдарын жүргізу, бақылау және талдау | ||
| Жүйе | 6.1 | Журналдардағы уақыт белгілері сәйкес келуі үшін барлық серверлер мен желілік жабдықтар жүйелі түрде уақыт туралы ақпаратты алатын синхрондалған уақыттың екі көзін қосыңыз. |
| Жүйе | 6.2 | Әрбір аппараттық құрылғыға және оған орнатылған бағдарламалық жасақтаманың аудит журналының параметрлерін тексеріңіз, журналдарда күн, уақыт белгісі, бастапқы мекен-жайлар, тағайындалған мекен-жайлар және әр пакеттің әр түрлі басқа пайдалы элементтері және / немесе транзакция болуы керек. Жүйелер журналдарды стандартты форматта жазуы керек, мысалы syslog жазбалары немесе жалпы оқиға өрнегі бастамасында көрсетілген. Егер жүйелер журналдарды стандартталған форматта жасай алмаса, журналдарды осындай форматқа түрлендіру үшін журналды қалыпқа келтіру құралдары орналастырылуы мүмкін. |
| Жүйе | 6.3 | Журналдарды сақтайтын барлық жүйелерде жүйелі түрде жасалған журналдарды сақтау үшін тиісті орынның болуын қамтамасыз етіңіз, сонда журнал файлдары журналды айналдыру аралықтары арасында толтырылмайды. Журналдар архивтеліп, мерзімді негізде цифрлық қолтаңбамен қамтамасыз етілуі керек. |
| Жүйе | 6.4 | Қауіпсіздік персоналын және / немесе жүйелік әкімшілерді журналдардағы ауытқуларды анықтайтын екі аптада бір рет есептер шығарсын. Содан кейін олар ауытқуларды белсенді түрде қарастырып, олардың нәтижелерін құжаттауы керек. |
| Жүйе | 6.5 | Құрылғыға келетін барлық трафикті (рұқсат етілген де, бұғатталған да) сөзсіз тіркеу үшін желіаралық қалқанды, желіге негізделген IPS, кіріс және шығыс прокси-серверін қоса, желілік шекара құрылғыларын теңшеңіз. |
| Жүйе | 6.6 | Журналдарды біріктіру және бірнеше машиналардан біріктіру және журналдар корреляциясы мен талдауы үшін SIEM (қауіпсіздік туралы ақпарат және оқиғаларды басқару) немесе журналдық аналитикалық құралдарды орналастырыңыз. SIEM құралын қолдана отырып, жүйенің әкімшілері мен қауіпсіздік қызметкерлері әдеттегі оқиғаларға профильді ойлап табуы керек, сонда олар фокусты әдеттен тыс әрекеттерге бағыттай алады, жалған позитивтерден аулақ болады, ауытқуларды тез анықтайды және шамалы ескертулермен басым сарапшылардың алдын алады. |
| Қауіпсіздікті басқару №7: Электрондық пошта мен веб-шолғыштан қорғау | ||
| Жүйе | 7.1 | Ұйымда тек толық қолдауға ие веб-шолғыштар мен электрондық пошта клиенттерінің қауіпсіздігінің соңғы функциялары мен түзетулерін пайдалану үшін сатушы ұсынған браузерлердің ең соңғы нұсқасын қолдану арқылы рұқсат етілгеніне көз жеткізіңіз. |
| Жүйе | 7.2 | Кез-келген қажетсіз немесе рұқсат етілмеген браузерді немесе электрондық пошта клиентінің плагиндерін немесе қосымша қосымшаларын жойыңыз немесе өшіріңіз. Әрбір плагин қосымшаны / URL ақ тізімін қолданады және қосымшаны алдын-ала мақұлданған домендер үшін пайдалануға мүмкіндік береді. |
| Жүйе | 7.3 | Барлық веб-шолғыштарда және электрондық пошта клиенттерінде сценарийдің қажетсіз тілдерін пайдалануды шектеңіз. Бұған ActiveX және JavaScript сияқты тілдерді жүйеде осындай мүмкіндіктерді қолдау қажет емес қолдануды жатқызуға болады. |
| Жүйе | 7.4 | Мүмкін болатын зиянды әрекеттерді анықтау және инциденттерге ықтимал бұзылған жүйелерді анықтауға көмектесу үшін ұйымның әр жүйесіндегі барлық URL сұрауларын журналға тіркеңіз. |
| Жүйе | 7.5 | Әр жүйеге екі бөлек шолғыш конфигурациясын орналастырыңыз. Бір конфигурация барлық плагиндерді, сценарийлердің қажетсіз тілдерін пайдалануды тоқтатуы керек және әдетте шектеулі функционалдылықпен конфигурацияланып, жалпы веб-шолуда қолданылуы керек. Басқа конфигурация браузердің қосымша функционалдығын қамтамасыз етеді, бірақ тек осындай функцияны пайдалануды қажет ететін нақты веб-сайттарға кіру үшін қолданылуы керек. |
| Жүйе | 7.6 | Ұйым жүйенің ұйым мақұлдамаған веб-сайттарға қосылу мүмкіндігін шектейтін желіге негізделген URL сүзгілерін қолдайды және қолданады. Ұйым URL санаттарына жазылу қызметіне ең соңғы қол жетімді веб-сайттар анықтамаларымен заманауи болуын қамтамасыз ету үшін жазылуға тиіс. Санатталмаған сайттар әдепкі бойынша бұғатталуы керек. Бұл сүзгі ұйымның жүйесінде болуы керек, ол физикалық тұрғыдан ұйымның ғимаратында болса да, болмаса да. |
| Жүйе | 7.7 | Жасанды электрондық пошта хабарламаларын жіберу мүмкіндігін азайту үшін, DNS-те SPF жазбаларын орналастыру және пошта серверлерінде алушы тарапынан тексеруді қосу арқылы Жіберушінің саясат шеңберін (SPF) іске асырыңыз. |
| Жүйе | 7.8 | Ұйымның электрондық пошта шлюзіне кіретін барлық электрондық пошта қосымшаларын сканерлеңіз және бұғаттаңыз, егер оларда зиянды код немесе ұйым бизнесі үшін қажет емес файл түрлері болса. Бұл сканерлеу электрондық пошта пайдаланушының кіріс жәшігіне салынбас бұрын жасалуы керек. Бұған электрондық пошта мазмұнын сүзу және веб-мазмұнды сүзу кіреді. |
| Қауіпсіздікті бақылау # 8: зиянды бағдарламадан қорғаныс | ||
| Жүйе | 8.1 | Вирусқа қарсы, шпиондық бағдарламалармен, жеке брандмауэрлермен және хостқа негізделген IPS функциясы бар жұмыс станцияларын, серверлерді және мобильді құрылғыларды үнемі бақылау үшін автоматтандырылған құралдарды қолданыңыз. Барлық зиянды бағдарламаларды анықтау іс-шаралары зиянды бағдарламаларға қарсы іс-қимылдың әкімшілік құралдары мен оқиғалар журналының серверлеріне жіберілуі керек. |
| Жүйе | 8.2 | Файлдардың беделдері туралы ақпаратты жинақтайтын орталықтандырылған инфрақұрылымды ұсынатын немесе әкімшілері барлық машиналарға жаңартуларды қолмен жіберетін зиянды бағдарламаларға қарсы бағдарламалық жасақтаманы қолданыңыз. Жаңартуды қолданғаннан кейін автоматтандырылған жүйелер әр жүйенің қолтаңба жаңартуын алғанын тексеруі керек. |
| Жүйе | 8.3 | Сыртқы құрылғыларды мақұлданған, құжатталған бизнес қажеттілігімен шектеу. Сыртқы құрылғыларды қолдануға және қолдануға тырысуды бақылаңыз. Ноутбуктарды, жұмыс станцияларын және серверлерді USB таңбалауыштары (мысалы, «бас дискілер»), USB қатты дискілері, CD / DVD дискілері, FireWire құрылғылары, сыртқы сериялық жетілдірілген технологиялар қондырғылары сияқты алынбалы медиадан мазмұнды автоматты түрде іске қоспайтын етіп теңшеңіз. және орнатылған желілік акциялар. Жүйелерді енгізген кезде алынбалы медианы зиянды бағдарламаға қарсы сканерлеуді автоматты түрде жүргізетін етіп теңшеңіз. |
| Жүйе | 8.4 | Деректерді орындаудың алдын-алу (DEP), мекен-жай кеңістігінің орналасуын рандомизациялау (ASLR), виртуалдандыру / контейнерлеу және т.б. сияқты қанауға қарсы мүмкіндіктерді қосыңыз. Қорғанысты күшейту үшін, оларды қолдану үшін конфигурациялануы мүмкін жақсартылған азайту тәжірибесінің инструменттері (EMET) сияқты мүмкіндіктерді қолданыңыз. қосымшалар мен орындалатындардың кеңірек жиынтығын қорғау. |
| Жүйе | 8.5 | Барлық желілік трафиктегі орындалатын файлдарды анықтау үшін зиянды бағдарламаларға қарсы құралдарды қолданыңыз және зиянды мазмұнды соңғы нүктеге жеткенге дейін анықтау және сүзу үшін қолтаңба анықтаудан басқа әдістерді қолданыңыз. |
| Жүйе | 8.6 | Белгілі зиянды C2 домендерінің хост атауын іздеуді анықтау үшін домендік атау жүйесінің (DNS) сұранысын журналға қосуды қосыңыз. |
| Қауіпсіздікті бақылау № 9: Желілік порттарды, протоколдарды және қызметтерді шектеу және бақылау | ||
| Жүйе | 9.1 | Әр жүйеде тек порттардың, протоколдардың және іскери қажеттіліктері бар қызметтердің жұмыс істейтіндігіне көз жеткізіңіз. |
| Жүйе | 9.2 | Соңғы жүйелерде хостқа негізделген брандмауэрлерді немесе порт сүзгілеу құралдарын қолданыңыз, әдепкі-бас тарту ережесімен, бұл рұқсат етілген қызметтер мен порттардан басқа барлық трафикті түсіреді. |
| Жүйе | 9.3 | Автоматты порттарды сканерлеуді барлық негізгі серверлерге қарсы тұрақты және белгілі тиімді бастапқы деңгеймен салыстырып орындаңыз. Егер ұйымның бекітілген базалық тізімінде жоқ өзгеріс анықталса, ескерту жасалып, қарастырылуы керек. |
| Жүйе | 9.4 | Интернеттен немесе сенімсіз желіден көрінетін кез-келген серверді тексеріп, егер ол бизнес мақсаттары үшін қажет болмаса, оны ішкі VLAN-ға ауыстырып, жеке мекен-жайын беріңіз. |
| Жүйе | 9.5 | DNS, файл, пошта, веб және мәліметтер базасы серверлері сияқты жеке немесе логикалық хост машиналарында маңызды қызметтерді басқарыңыз. |
| Жүйе | 9.6 | Серверге келетін трафикті тексеру және растау үшін кез-келген маңызды серверлердің алдына қосымшаның брандмауэрін қойыңыз. Кез-келген рұқсат етілмеген қызметтер мен трафик бұғатталып, ескерту жасалуы керек. |
| Қауіпсіздікті басқару №10: деректерді қалпына келтіру мүмкіндігі | ||
| Жүйе | 10.1 | Әр жүйенің резервтік көшірмесінің кем дегенде апта сайын, ал көбінесе құпия ақпаратты сақтайтын жүйелер үшін автоматты түрде жасалуын қамтамасыз етіңіз. Жүйені резервтік көшірмеден жылдам қалпына келтіру мүмкіндігін қамтамасыз ету үшін амалдық жүйе, қолданбалы бағдарламалық жасақтама және машинадағы мәліметтер әрқайсысы жалпы сақтық көшірмелеу процедурасына қосылуы керек. Жүйенің осы үш компоненті бірдей сақтық көшірме файлына қосылуға немесе бірдей сақтық көшірме бағдарламалық жасақтаманы пайдалануға міндетті емес. Уақыт өте келе бірнеше сақтық көшірмелер болуы керек, сондықтан зиянды бағдарламалық жасақтаманы жұқтырған жағдайда қалпына келтіру бастапқы инфекциядан бұрын деп есептелген нұсқадан болуы мүмкін. Барлық сақтық көшірмелер кез-келген нормативтік немесе ресми талаптарға сәйкес келуі керек. |
| Жүйе | 10.2 | Сақтық көшірменің дұрыс жұмыс жасайтындығына көз жеткізу үшін деректерді қалпына келтіру процесін орындау арқылы деректерді сақтық көшірме құралдарында жүйелі түрде тексеріп отырыңыз. |
| Жүйе | 10.3 | Сақтық көшірмелер физикалық қауіпсіздік немесе шифрлау арқылы сақталған кезде, сондай-ақ желі арқылы жылжытылған кезде дұрыс қорғалғанына көз жеткізіңіз. Бұған қашықтан сақтық көшірмелер жасау және бұлтты қызметтер жатады. |
| Жүйе | 10.4 | Негізгі жүйелерде амалдық жүйенің қоңыраулары арқылы үздіксіз шешілмейтін, кем дегенде бір сақтық көшірме тағайындалғандығына көз жеткізіңіз. Бұл CryptoLocker сияқты шабуылдардың қаупін азайтады, олар барлық мекен-жай бойынша деректерді, соның ішінде резервтік бағыттар бойынша деректерді шифрлауға немесе бүлдіруге тырысады. |
| Қауіпсіздікті басқару # 11: желілік құрылғылар үшін қауіпсіз конфигурациялар | ||
| Желі | 11.1 | Брандмауэрді, маршрутизаторды және коммутатордың конфигурациясын ұйымда қолданылатын желілік құрылғының әр түрі үшін анықталған стандартты қауіпсіз конфигурациялармен салыстырыңыз. Мұндай құрылғылардың қауіпсіздік конфигурациясы құжатталуы, қаралуы және ұйымның өзгеруін бақылау кеңесінде мақұлдануы керек. Стандартты конфигурациядан кез келген ауытқулар немесе стандартты конфигурацияға жаңартулар өзгертулерді бақылау жүйесінде құжатталуы және мақұлдануы керек. |
| Желі | 11.2 | Брандмауэрлер мен желіге негізделген IPS сияқты трафиктің желілік қауіпсіздік құрылғылары арқылы өтуіне мүмкіндік беретін базалық-беріктендірілген конфигурациядан тыс барлық жаңа конфигурация ережелері құжатталуы және конфигурацияны басқару жүйесінде тіркелуі керек, әр өзгерістің нақты іскери себебі іскери қажеттілікке жауап беретін нақты тұлғаның аты-жөні және қажеттіліктің күтілетін ұзақтығы. |
| Желі | 11.3 | Құрылғының стандартты конфигурацияларын тексеру және өзгерістерді анықтау үшін автоматтандырылған құралдарды қолданыңыз. Мұндай файлдардағы барлық өзгерістер журналға тіркеліп, қауіпсіздік қызметкерлеріне автоматты түрде хабарлануы керек. |
| Желі | 11.4 | Екі факторлы аутентификация мен шифрланған сеанстарды қолдана отырып, желілік құрылғыларды басқарыңыз. |
| Желі | 11.5 | Қауіпсіздікке қатысты кез-келген жаңартудың ең тұрақты нұсқасын барлық желілік құрылғыларға орнатыңыз. |
| Желі | 11.6 | Желі инженерлері барлық басқарушылық тапсырмаларға немесе жоғары қол жетімділікті қажет ететін тапсырмаларға арналған машинаны пайдаланады. Бұл машина ұйымның негізгі желісінен оқшауланған және Интернетке кіруге рұқсат етілмеген болуы керек. Бұл құрылғы электрондық поштаны оқуға, құжаттар құруға немесе Интернетті шарлауға қолданылмайды. |
| Желі | 11.7 | Желілік инфрақұрылымды осы VLAN желілеріне немесе мүмкіндігінше желілік құрылғыларға арналған басқару сеанстары үшін мүлдем басқа физикалық байланыстарға сүйене отырып, сол желіні іскери пайдаланудан бөлек желілік қосылымдар арқылы басқарыңыз. |
| Қауіпсіздікті бақылау # 12: шекараны қорғау | ||
| Желі | 12.1 | Белгілі зиянды IP-мекен-жайлармен (қара тізімдермен) байланыс орнатудан бас тартыңыз (немесе мәліметтер ағынына шектеу қойыңыз) немесе тек сенімді сайттарға (ақ тізімге) кіруді шектеңіз. Сынақтарды жүйелік периметрлер арқылы берілмегендігін тексеру үшін желіге жалған IP мекенжайлардан (бағытталмайтын немесе басқаша пайдаланылмайтын IP мекенжайлардан) пакеттерді жіберу арқылы жүргізуге болады. Тіркелмеген мекен-жайлардың тізімдері Интернетте әр түрлі ақпарат көздерінен көпшілікке қол жетімді және Интернеттегі заңды трафик үшін пайдаланылмайтын IP-адрестердің тізбегін көрсетеді. |
| Желі | 12.2 | DMZ желілерінде бақылау жүйелерін (IDS датчиктеріне орнатылуы немесе жеке технология ретінде орналастырылуы мүмкін), ең болмағанда пакет тақырыбы туралы ақпаратты, мүмкіндігінше толық пакет тақырыбын және желінің шекарасынан өтуге немесе өтуге арналған трафиктің пайдалы жүктемелерін жазу үшін конфигурациялаңыз. Бұл трафик оқиғалар желідегі барлық құрылғылардан корреляциялануы үшін дұрыс конфигурацияланған Security Information Event Management (SIEM) немесе журналды талдау жүйесіне жіберілуі керек. |
| Желі | 12.3 | Интернетке және экстранеталық DMZ жүйелерінде және әдеттен тыс шабуыл жасау механизмдерін іздейтін және осы жүйелердің ымыралығын анықтайтын IDS датчиктерін орналастырыңыз. Бұл желіге негізделген IDS датчиктері қолтаңбаларды, желілік мінез-құлықты талдауды немесе трафикті талдаудың басқа механизмдерін пайдалану арқылы шабуылдарды анықтай алады. |
| Желі | 12.4 | Желілік IPS құрылғылары белгілі жаман қолтаңбаларды немесе ықтимал шабуылдардың әрекеттерін блоктау арқылы IDS-ті толықтыру үшін қолданылуы керек. Шабуылдар автоматтандырылған кезде, IDS сияқты әдістер әдетте біреудің шабуылға реакция жасау уақытын кешіктіреді. Дұрыс конфигурацияланған желілік IPS нашар трафикті бұғаттау үшін автоматтандыруды қамтамасыз ете алады. Желілік IPS өнімдерін бағалау кезінде қолтаңбаға негізделген анықтаудан басқа әдістерді қолдануды қосыңыз (мысалы, виртуалды машина немесе құм жәшігіне негізделген тәсілдер). |
| Желі | 12.5 | Желілік периметрлерді жобалаңыз және енгізіңіз, сонда Интернетке шығатын барлық трафик прокси-серверден кем дегенде бір қолданбалы деңгей сүзетін болады. Прокси желілік трафиктің шифрын шешуді, жеке TCP сеанстарын тіркеуді, қара тізімді енгізу үшін арнайы URL мекенжайларын, домендік атауларды және IP-адрестерді блоктауды және барлық басқа сайттарды бұғаттау кезінде прокси арқылы қол жеткізуге болатын рұқсат етілген сайттардың ақ тізімдерін қолдануды қолдауы керек. Ұйымдар Интернет периметрі бойынша аутентификацияланған прокси-сервер арқылы шығыс трафикті мәжбүрлеуі керек. |
| Желі | 12.6 | Екі факторлы аутентификацияны пайдалану үшін барлық қашықтан кіруді (VPN, диал-апты және басқа жүйелерге кіруге мүмкіндік беретін қол жетімділік түрлерін қоса) талап ету. |
| Желі | 12.7 | Ішкі желіге қашықтан кіретін барлық кәсіпорын құрылғылары олардың конфигурациясын, орнатылған бағдарламалық жасақтаманы және патч деңгейлерін қашықтықтан басқара отырып, басқарылуы керек. Үшінші тарап құрылғылары үшін (мысалы, қосалқы мердігерлер / жеткізушілер) кәсіпорын желісіне кірудің минималды қауіпсіздік стандарттарын жариялаңыз және кіруге рұқсат бермес бұрын қауіпсіздікті қарап шығыңыз. |
| Желі | 12.8 | Интернет желісіне DMZ-ні айналып өтетін кері каналды қосылыстарды, оның ішінде корпоративтік желіге және басқа желілерге сымсыз, диалогтық модемдер немесе басқа механизмдер арқылы қосылған рұқсат етілмеген VPN қосылыстары мен қосарланған хосттарды қосыңыз. |
| Желі | 12.9 | Аномальды белсенділікті анықтау үшін NetFlow топтамасын және анализін DMZ желілік ағындарына орналастырыңыз. |
| Желі | 12.10 | Желіаралық қалқан арқылы деректерді шығаратын жасырын арналарды анықтауға көмектесу үшін көптеген коммерциялық брандмауэрлерге енгізілген брандмауэр сеансын бақылау механизмдерін конфигурациялаңыз, берілген ұйым мен брандмауэр құрылғысы үшін әдеттен тыс ұзақ уақытқа созылатын TCP сеанстарын анықтау, персоналдың көзі мен баратын жері туралы ескерту. осы ұзақ сессияларға байланысты мекен-жайлар. |
| Қауіпсіздікті басқару №13: деректерді қорғау | ||
| Желі | 13.1 | Шифрлау мен тұтастықты басқаруды қолдануды қажет ететін құпия ақпаратты анықтау үшін деректерді бағалауды орындаңыз |
| Желі | 13.2 | Бекітілген қатты дискілерді шифрлау бағдарламалық жасақтамасын мобильді құрылғылар мен құпия деректерді сақтайтын жүйелерге орналастырыңыз. |
| Желі | 13.3 | Желі периметрлеріне құпия ақпаратты (мысалы, жеке сәйкестендірілетін ақпарат), кілт сөздерді және басқа құжат сипаттамаларын бақылайтын автоматтандырылған құралды орналастырыңыз, желінің шекаралары арқылы деректерді шығаруға рұқсат етілмеген әрекеттерді анықтаңыз және ақпараттық қауіпсіздікті қамтамасыз ететін қызметкерлерге ескерту жасай отырып, осындай тасымалдауларды блоктаңыз. |
| Желі | 13.4 | Автоматтандырылған құралдарды қолдана отырып, серверлік машиналардың мерзімді сканерлеуін жүйеде құпия деректердің (мысалы, жеке сәйкестендірілетін ақпарат, денсаулық жағдайы, несие картасы немесе құпия ақпарат) бар-жоғын анықтау үшін жүргізіңіз. Құпия ақпараттың болуын көрсететін үлгілерді іздейтін бұл құралдар іскерлік немесе техникалық процестің құпия ақпаратты артта қалдыратынын немесе басқа жолмен ағып жатқанын анықтауға көмектеседі. |
| Желі | 13.5 | Егер мұндай құрылғыларды қолдаудың қажеттілігі болмаса, жүйелерді USB таңбалауыштарына немесе USB қатты дискілеріне деректер жазбайтын етіп реттеңіз. Егер мұндай құрылғылар қажет болса, жүйелерді тек белгілі бір USB құрылғыларына (сериялық нөмірге немесе басқа бірегей қасиеттерге негізделген) қол жеткізуге мүмкіндік беретін және осындай құрылғыларға орналастырылған барлық деректерді автоматты түрде шифрлай алатын конфигурациялай алатын бағдарламалық жасақтаманы пайдалану керек. Барлық рұқсат етілген құрылғылардың тізімдемесі жүргізілуі керек. |
| Желі | 13.6 | Желі ішіндегі мәліметтер ағынын бақылау және басқару үшін желілік DLP шешімдерін қолданыңыз. Қалыпты трафиктен асатын кез-келген ауытқуларды атап өту керек және оларды жою үшін тиісті шаралар қабылдау қажет. |
| Желі | 13.7 | Ұйымнан шығатын барлық трафикті бақылаңыз және шифрлаудың рұқсатсыз қолданылуын анықтаңыз. Шабуылшылар көбінесе желінің қауіпсіздік құрылғыларын айналып өту үшін шифрланған арнаны пайдаланады. Сондықтан ұйымдардың жалған байланыстарды анықтай алуы, байланысты тоқтатуы және вирус жұқтырған жүйені қалпына келтіруі өте маңызды. |
| Желі | 13.8 | Белгілі файлдарды тасымалдау және электрондық поштаны эксфильтрациялау веб-сайттарына кіруді бұғаттаңыз. |
| Желі | 13.9 | Деректер серверден көшірілген кезде де ACL-ді қолдану үшін деректерді жоғалтудың алдын алуды (DLP) қолданыңыз. Көптеген ұйымдарда деректерге қол жетімділікті серверде жүзеге асырылатын ACL басқарады. Деректер жұмыс үстелі жүйесіне көшірілгеннен кейін, ACL-дің күші жойылады және пайдаланушылар деректерді қалаған адамға жібере алады. |
| Қауіпсіздікті қамтамасыз етудің маңыздылығы №14: білу қажеттілігі негізінде басқарылатын қол жетімділік | ||
| Қолдану | 14.1 | Серверлерде сақталған ақпараттың белгісіне немесе классификация деңгейіне негізделген желіні сегменттеңіз. Бөлінген VLANS-те брандмауэр сүзгісі бар барлық құпия ақпаратты орналастырыңыз, тек өкілетті тұлғалар өздерінің нақты міндеттерін орындау үшін қажетті жүйелермен байланыс жасай алады. |
| Қолдану | 14.2 | Сенімсіз желілер арқылы құпия ақпараттың барлық байланысы шифрланған болуы керек. Ақпарат желі арқылы сенім деңгейі төмен болған кезде, ақпарат шифрланған болуы керек. |
| Қолдану | 14.3 | Барлық желілік коммутаторлар сегменттелген жұмыс станциялары желілері үшін жеке виртуалды жергілікті желілерді (VLAN) желідегі құрылғылардың ішкі желідегі басқа құрылғылармен тікелей байланыс жасау мүмкіндігін шектеуге және шабуылдаушылардың көршілес жүйелерге ымыраға келу қабілетін шектеуге мүмкіндік береді. |
| Қолдану | 14.4 | Жүйелерде сақталған барлық мәліметтер файлдық жүйемен, желілік бөлісумен, шағымдармен, қосымшалармен немесе дерекқорға кіруді бақылау тізімдерімен қорғалуы керек. Бұл басқару құралдары тек өз өкілеттіктері бойынша ақпаратқа қол жеткізу қажеттілігіне негізделген ақпаратқа тек уәкілетті адамдар ғана қол жеткізе алатындығын негіздейді. |
| Қолдану | 14.5 | Жүйелерде сақталған сезімтал ақпарат тыныштықта шифрлануы керек және ақпаратқа қол жеткізу үшін операциялық жүйеге интеграцияланбаған қайталама аутентификация механизмін қажет етеді. |
| Қолдану | 14.6 | Жалпыға қол жетімді емес деректерге және құпия деректерге арнайы аутентификацияға қол жеткізу үшін егжей-тегжейлі аудиторлық журнал жүргізуді қамтамасыз етіңіз. |
| Қолдану | 14.7 | Ұйым жүйелі түрде қол жеткізе алмайтын архивтелген мәліметтер жиынтығы немесе жүйелер ұйымның желісінен шығарылады. Бұл жүйелерді тек жүйені анда-санда қолдануды қажет ететін немесе қажет болғанға дейін толығымен виртуалдандырылған және өшірілген жеке құрылым (желіден ажыратылған) ретінде ғана пайдалануға болады. |
| Қауіпсіздікті басқару №15: сымсыз кіруді басқару | ||
| Желі | 15.1 | Желіге қосылған әрбір сымсыз құрылғының авторизацияланған конфигурация мен қауіпсіздік профиліне сәйкес келетініне және құжаттың бекітілген қосылым иесімен және белгілі бір бизнес қажеттілігімен қамтамасыз етіңіз. Ұйымдар мұндай конфигурациясы мен профилі жоқ сымсыз құрылғыларға кіруден бас тартуы керек. |
| Желі | 15.2 | Сымды желіге қосылған сымсыз кіру нүктелерін анықтау үшін желінің осалдығын сканерлеу құралдарын теңшеңіз. Сәйкестендірілген құрылғыларды рұқсат етілген сымсыз кіру нүктелерінің тізімімен салыстыру керек. Рұқсат етілмеген (яғни, жалған) кіру нүктелерін өшіру керек. |
| Желі | 15.3 | Жалған сымсыз құрылғыларды анықтау және шабуыл әрекеттері мен сәтті ымыраларды анықтау үшін сымсыз енуді анықтау жүйесін (WIDS) пайдаланыңыз. WIDS-тен басқа барлық сымсыз трафикті WIDS бақылап отыруы керек, себебі трафик сымды желіге өтеді. |
| Желі | 15.4 | Сымсыз қол жетімділікке арналған нақты бизнес қажеттілігі анықталған жағдайда, клиенттік машиналарда сымсыз қол жетімділікті тек рұқсат етілген сымсыз желілерге қол жеткізуге рұқсат етіңіз. Маңызды сымсыз бизнес мақсаты жоқ құрылғылар үшін аппараттық конфигурациядағы сымсыз қол жетімділікті өшіріңіз (негізгі енгізу / шығару жүйесі немесе кеңейтілетін микробағдарлама интерфейсі). |
| Желі | 15.5 | Барлық сымсыз трафиктің кем дегенде Wi-Fi Protected Access 2 (WPA2) қорғанысымен қолданылатын кем дегенде Advanced Encryption Standard (AES) шифрлауды пайдаланатындығына көз жеткізіңіз. |
| Желі | 15.6 | Сымсыз желілерде тіркелу деректерін қорғауды және өзара аутентификациялауды қамтамасыз ететін кеңейтілген аутентификация протоколы-тасымалдау деңгейінің қауіпсіздігі (EAP / TLS) сияқты аутентификация хаттамаларын пайдаланғанына көз жеткізіңіз. |
| Желі | 15.7 | Сымсыз клиенттерде бір деңгейлі сымсыз желі мүмкіндіктерін өшіріңіз. |
| Желі | 15.8 | Құрылғыларға (мысалы, Bluetooth) сымсыз перифериялық қол жеткізуді өшіріңіз, егер мұндай қол жетімділік құжатталған бизнес қажеттілігі үшін қажет болмаса. |
| Желі | 15.9 | BYOD жүйелері немесе басқа сенімсіз құрылғылар үшін бөлек виртуалды жергілікті желілерді (VLAN) жасаңыз. Осы VLAN-дан Интернетке кіру кем дегенде корпоративті трафиктің шекарасынан өтуі керек. Кәсіпорынға осы VLAN-дан кіруге сенімсіз ретінде қарау керек және сәйкесінше сүзгіден өтіп, тексерілуі керек. |
| Қауіпсіздікті бақылау № 16: Тіркелгіні бақылау және бақылау | ||
| Қолдану | 16.1 | Барлық жүйелік есептік жазбаларды қарап шығыңыз және бизнес-процеспен және иесімен байланыстыруға болмайтын кез келген есептік жазбаны өшіріңіз. |
| Қолдану | 16.2 | Барлық есептік жазбаларда жарамдылық мерзімі бақыланатын және орындалатынына көз жеткізіңіз. |
| Қолдану | 16.3 | Қызметкердің немесе мердігердің жұмысы аяқталғаннан кейін дереу шоттарды өшіру арқылы жүйеге қол жетімділікті жою процесін орнатыңыз және қадағалаңыз. Есептік жазбаларды жоюдың орнына өшіру аудиторлық іздерді сақтауға мүмкіндік береді. |
| Қолдану | 16.4 | Барлық есептік жазбалардың қолданылуын үнемі қадағалап отырыңыз, стандартты әрекетсіздік кезеңінен кейін пайдаланушылардан автоматты түрде шығыңыз. |
| Қолдану | 16.5 | Қараусыз жұмыс станцияларына кіруді шектеу үшін жүйелердегі экран құлыптарын теңшеңіз. |
| Қолдану | 16.6 | Пайдаланушыға немесе пайдаланушының менеджеріне ескерте отырып, ұйықтап жатқан шоттарды анықтау үшін есептік жазбаның пайдаланылуын бақылау. Егер қажет болмаса, мұндай есептік жазбаларды өшіріңіз немесе ерекше жағдайларды құжаттаңыз және бақылаңыз (мысалы, жүйені қалпына келтіру немесе үздіксіздік операциялары үшін қажет жеткізушілерге техникалық қызмет көрсету шоттары). Менеджерлерден басқарылатын персоналға тиесілі әр есептік жазбамен белсенді жұмысшылар мен мердігерлерді сәйкестендіруді талап ету. Содан кейін қауіпсіздік немесе жүйе әкімшілері жұмыс күшінің жарамды мүшелеріне тағайындалмаған есептік жазбаларды өшіруі керек. |
| Қолдану | 16.7 | Есептік жазбаны құлыптауды пайдаланыңыз және конфигурациялаңыз, егер сәтсіз кіру әрекеттерінен кейін есептік жазба стандартты уақыт аралығында құлыпталатын болса. |
| Қолдану | 16.8 | Аудиторлық журнал арқылы өшірілген есептік жазбаларға қол жеткізу әрекеттерін бақылау. |
| Қолдану | 16.9 | Барлық тіркелгілерге орталықтандырылған аутентификация нүктесі арқылы қатынасты теңшеңіз, мысалы Active Directory немесе LDAP. Орталықтандырылған аутентификация үшін желілік және қауіпсіздік құрылғыларын теңшеңіз. |
| Қолдану | 16.10 | Тәуліктік кіру уақыты мен кіру ұзақтығын анықтай отырып, әр пайдаланушының есептік жазбасын әдеттегідей пайдалануына профиль жасаңыз. Есептер әдеттегі сағаттарда кірген немесе әдеттегі кіру уақытынан асып кеткен пайдаланушыларды көрсететін есептерді жасау керек. Бұған пайдаланушы негізінен жұмыс істейтін компьютерлерден басқа компьютерден пайдаланушының тіркелгі деректерін пайдалануды белгілеу кіреді. |
| Қолдану | 16.11 | Құпия деректерге немесе жүйелерге қол жеткізе алатын барлық пайдаланушы тіркелгілері үшін көп факторлы аутентификацияны талап ету. Көп факторлы аутентификацияға смарт-карталар, сертификаттар, бір реттік пароль (OTP) белгілері немесе биометрия көмегімен қол жеткізуге болады. |
| Қолдану | 16.12 | Көп факторлы аутентификацияға қолдау көрсетілмеген жағдайда, пайдаланушы тіркелгілері жүйеде ұзақ парольдерді (14 таңбадан артық) пайдалануы қажет. |
| Қолдану | 16.13 | Есептік жазбаның барлық пайдаланушы аттары мен аутентификация деректерінің шифрланған арналар арқылы желілер арқылы берілуін қамтамасыз етіңіз. |
| Қолдану | 16.14 | Барлық аутентификация файлдарының шифрланғанын немесе хэштелгенін және бұл файлдарға root немесе administrator артықшылықтарынсыз қатынасу мүмкін еместігін тексеріңіз. Жүйедегі пароль файлдарына барлық қол жетімділікті тексеріңіз. |
| Қауіпсіздікті бақылау # 17: Қауіпсіздік дағдыларын бағалау және олқылықтарды толтыру үшін тиісті дайындық | ||
| Қолдану | 17.1 | Осы ақпаратты барлық қызметкерлерге бастапқы дайындық пен хабардар етудің жол картасын құру үшін қолданып, қызметкерлерге қандай дағдыларды қажет ететінін және қызметкерлердің қандай мінез-құлықты ұстанбайтындығын анықтау үшін алшақтықты талдауды жүргізіңіз. |
| Қолдану | 17.2 | Дағдылардың орнын толтыру үшін тренинг өткізіңіз. Мүмкіндігінше тренингті өткізу үшін аға қызметкерлерді көбірек қолданыңыз. Екінші нұсқа - пайдаланылатын мысалдар тікелей өзекті болуы үшін сырттан оқытушыларды оқытуды жергілікті жерлерде қамтамасыз ету. Егер сізде жаттығуға келетін адамдар саны аз болса, олқылықтардың орнын толтыру үшін оқу конференцияларын немесе онлайн тренингтерді қолданыңыз. |
| Қолдану | 17.3 | Қауіпсіздік туралы хабардар ету бағдарламасын іске асырыңыз, ол (1) интрузия кезінде жиі қолданылатын әдістерге ғана назар аударады, оларды жеке іс-әрекеттер арқылы бұғаттауға болады, (2) қызметкерлерге ыңғайлы онлайн модульдермен жеткізіледі (3) жиі жаңарып отырады (кем дегенде жыл сайын) шабуылдың ең жаңа техникасын ұсынады, (4) барлық қызметкерлерге кем дегенде жыл сайын аяқтауға міндетті, және (5) қызметкерлердің аяқталуына сенімді түрде бақыланады. |
| Қолдану | 17.4 | Қызметкерлердің қоңырау шалушының аутентификациясының тиісті рәсімдерін сақтамай, күдікті электрондық поштаның сілтемесін басуын немесе телефон арқылы құпия ақпаратты беруін тексеру үшін мезгіл-мезгіл жүргізілетін тестілер арқылы хабардарлық деңгейін тексеріп, жақсарту; жаттығудың құрбаны болғандарға мақсатты оқыту жүргізілуі керек. |
| Қолдану | 17.5 | Дағдылардың жетіспеушілігін анықтау үшін миссияның маңызды рөлдерінің әрқайсысы үшін қауіпсіздік дағдыларын бағалауды қолданыңыз. Шеберлікті өлшеу үшін практикалық, нақты мысалдарды қолданыңыз. Егер сізде мұндай бағалар болмаса, шеберлікті өлшеу үшін анықталған жұмыс орындарының әрқайсысы үшін нақты сценарийлерді имитациялайтын қол жетімді онлайн-жарыстардың бірін қолданыңыз. |
| Қауіпсіздікті басқару # 18: бағдарламалық жасақтаманың қауіпсіздігі | ||
| Қолдану | 18.1 | Барлық сатып алынған қолданбалы бағдарламалық жасақтама үшін сіз қолданып отырған нұсқа сатушының әлі де қолдайтынын тексеріңіз. Егер олай болмаса, ең соңғы нұсқасын жаңартыңыз және барлық тиісті патчтарды және жеткізушілердің қауіпсіздік ұсыныстарын орнатыңыз. |
| Қолдану | 18.2 | Веб-қосымшаларды веб-қосымшалардың жалпы веб-шабуылдары үшін, соның ішінде сайтаралық сценарийлермен, SQL инъекциясымен, командалық инъекциямен және каталогтармен өту шабуылдарымен шектелмейтін барлық трафикті тексеретін веб-қосымшалардың брандмауэрін (WAF) орналастыру арқылы қорғаңыз. Интернетке қосылмаған қосымшалар үшін арнайы құралдар брандмауэрлері қолданылуы керек, егер мұндай құралдар берілген қолданба түріне қол жетімді болса. Егер трафик шифрланған болса, құрылғы не шифрлаудың артында отыруы керек, не талдауға дейін трафиктің шифрын ашуға қабілетті болуы керек. Егер екі нұсқа да сәйкес болмаса, хостқа негізделген веб-қосымшаның брандмауэрі қолданылуы керек. |
| Қолдану | 18.3 | Үйде жасалған бағдарламалық жасақтама үшін барлық қателіктер үшін, соның ішінде өлшемі, деректер түрі және қолайлы диапазондар мен форматтар үшін қателіктерді тексерудің орындалуын және құжатталуын қамтамасыз етіңіз. |
| Қолдану | 18.4 | Үйде әзірленген және үшінші тараптан сатып алынған веб-қосымшаларды қауіпсіздіктің жалпы әлсіз жақтары үшін автоматтандырылған қашықтықтағы веб-қосымшалар сканерлерін қолданбас бұрын, қолданбаға жаңартулар енгізілгенге дейін және үнемі қайталанатын негізде тексеріп көріңіз. Атап айтқанда, қолданбалы бағдарламалық жасақтаманың кіруін тексеру және шығуды кодтау рәсімдері қайта қаралып, тексерілуі керек. |
| Қолдану | 18.5 | Соңғы пайдаланушыларға жүйенің қателіктері туралы хабарламаларды көрсетпеңіз (нәтижені тазарту). |
| Қолдану | 18.6 | Өндірістік және өндірістік емес жүйелер үшін бөлек ортаны сақтаңыз. Әзірлеушілерде өндірістік ортаға бақыланбайтын қол жетімділік болмауы керек. |
| Қолдану | 18.7 | Мәліметтер базасына сүйенетін қосымшалар үшін қатайтатын стандартты шаблондарды қолданыңыз. Сондай-ақ маңызды бизнес-процестердің құрамына кіретін барлық жүйелер тексерілуі керек. |
| Қолдану | 18.8 | Бағдарламалық жасақтаманы әзірлейтін барлық персонал өздерінің нақты даму ортасы үшін қауіпсіз кодты жазу бойынша білім алуларына кепілдік беріңіз. |
| Қолдану | 18.9 | Үйде әзірленген қосымшалар үшін артефактілердің (үлгілік деректер мен сценарийлер; пайдаланылмаған кітапханалар, компоненттер, түзету коды немесе құралдар) орналастырылған бағдарламалық жасақтамаға қосылмағанына немесе өндірістік ортада қол жетімді екендігіне көз жеткізіңіз. |
| Қауіпсіздікті бақылау # 19: оқыс жағдайларға ден қою және басқару | ||
| Қолдану | 19.1 | Жазатайым оқиғаларға жауап беру процедураларының болуын қамтамасыз етіңіз, олар инциденттермен жұмыс істеу үшін персонал рөлін анықтайды. Процедуралар инциденттермен жұмыс істеу кезеңдерін анықтауы керек. |
| Қолдану | 19.2 | Компьютерлік және желілік оқиғалармен жұмыс істеу үшін лауазым атаулары мен міндеттерін нақты адамдарға тағайындаңыз. |
| Қолдану | 19.3 | Шешімдер қабылдау кезінде шешуші рөлдерді орындау арқылы оқиғалармен жұмыс істеу процесін қолдайтын басқарушы персоналды анықтаңыз. |
| Қолдану | 19.4 | Жүйе әкімшілері мен басқа персоналға аномальды оқиғалар туралы оқиғалармен жұмыс жасайтын топқа есеп беруі үшін уақытты талап ететін жалпы ұйым стандарттарын, осындай есеп берудің тетіктерін және оқиға туралы хабарламада қамтылуы керек ақпарат түрін жасаңыз. Сондай-ақ, осы есеп беруде осы ұйымды компьютерлік инциденттерге тартуға қатысты барлық заңды немесе нормативтік талаптарға сәйкес тиісті қауымдастықтың төтенше жағдайларға ден қою тобына хабарлау кіруі керек. |
| Қолдану | 19.5 | Қауіпсіздік оқиғасы туралы хабарлау үшін пайдаланылатын үшінші тараптың байланыс ақпараты туралы ақпаратты жинау және қолдау (мысалы, [email protected] электрондық пошта мекенжайын немесе веб-парағын ұстау) http://organization.com/security[тұрақты өлі сілтеме ]). |
| Қолдану | 19.6 | Барлық қызметкерлерге, соның ішінде қызметкерлер мен мердігерлерге, компьютерлік ауытқулар мен инциденттерді басқару тобына хабарлау туралы ақпаратты жариялаңыз. Мұндай ақпарат қызметкерлердің күнделікті хабардар ету шараларына енгізілуі керек. |
| Қолдану | 19.7 | Қазіргі кездегі қауіптер мен тәуекелдерді, сондай-ақ инциденттермен жұмыс істейтін топты қолдаудағы жауапкершіліктерін түсінуін қамтамасыз ету үшін оқиғалармен жұмыс істейтін топпен байланысты персоналға оқыс сценарийлердің кезеңдік сессияларын өткізіңіз. |
| Қауіпсіздікті бақылау № 20: ену тестілері және қызыл командалық жаттығулар | ||
| Қолдану | 20.1 | Кәсіпорын жүйелерін сәтті пайдалану үшін пайдалануға болатын осалдықтар мен шабуыл векторларын анықтау үшін тұрақты түрде сыртқы және ішкі ену тесттерін өткізіңіз. Сыртқы және инсайдерлік шабуылдарды имитациялау үшін енудің сынағы желінің периметрі бойынша тыс болуы керек (яғни, Интернеттен немесе ұйымның айналасындағы сымсыз жиіліктерден), сондай-ақ оның шекарасынан (яғни, ішкі желіден). |
| Қолдану | 20.2 | Ену тестілеуін өткізу үшін пайдаланылатын кез-келген пайдаланушы немесе жүйелік тіркелгілер оларды тек заңды мақсаттарда пайдаланылатындығына көз жеткізу үшін бақылануы және бақылануы керек, және тестілеу аяқталғаннан кейін жойылады немесе қалыпты жұмыс қалпына келеді. |
| Қолдану | 20.3 | Шабуылдарды анықтау және тоқтату немесе жылдам әрі тиімді әрекет етуге ұйымдық дайындықты тексеру үшін Қызыл команданың мерзімді жаттығуларын орындаңыз. |
| Қолдану | 20.4 | Шабуыл жасаушылар үшін пайдалы болатын қорғалмаған жүйелік ақпарат пен артефактілердің бар-жоғын тексеруді, соның ішінде желілік диаграммаларды, конфигурация файлдарын, ескі ену сынағы туралы есептерді, электрондық пошта хабарларын немесе құпия сөздерді немесе басқа жүйелік жұмыс үшін маңызды ақпаратты қамтитын құжаттарды қосыңыз. |
| Қолдану | 20.5 | Мақсатты машинаны немесе мақсатты активті анықтай отырып, аралас шабуылдарды ескере отырып, ену сынағының нақты мақсаттарын жоспарлаңыз. APT стиліндегі көптеген шабуылдар көптеген векторларды қолданады - көбінесе әлеуметтік инженерия веб немесе желіні қанаумен біріктіріледі. Айналмалы және көп векторлы шабуылдарды түсіретін Қызыл команданың қолмен немесе автоматтандырылған тестілеуі қауіпсіздік позициясы мен маңызды активтерге қауіптіліктің шынайы бағасын ұсынады. |
| Қолдану | 20.6 | Концертте осалдықты сканерлеу және енуді тексеру құралдарын қолданыңыз. Осалдықты сканерлеуді бағалау нәтижелері енуді сынау күштерін бағыттау және бағыттау үшін бастапқы нүкте ретінде қолданылуы керек. |
| Қолдану | 20.7 | Мүмкіндігінше, Қызыл командалардың нәтижелері ашық, машинада оқылатын стандарттар (мысалы, SCAP) арқылы құжатталғандығына көз жеткізіңіз. Нәтижелерді уақыт бойынша салыстыруға болатындай етіп Қызыл команданың жаттығуларының нәтижелерін анықтайтын баллдық әдісті ойлап табыңыз. |
| Қолдану | 20.8 | Өндірісте тексерілмеген элементтерге, мысалы, қадағалау бақылауы мен деректерді жинауға және басқа басқару жүйелеріне қарсы шабуылдар сияқты нақты ену сынақтары мен Red Team шабуылдары үшін өндірістік ортаны имитациялайтын сынақ төсегін жасаңыз. |
Пайдаланылған әдебиеттер
- ^ Cisecurity.org сайтындағы v6.0 баспасөз релизі
- ^ Руан, Кейун (2019-05-29). Активті сандық бағалау және киберлік тәуекелді өлшеу: киберномиканың принциптері. Академиялық баспасөз. ISBN 978-0-12-812328-7.
Сыртқы сілтемелер
- «Тиімді кибер қорғаныс үшін жиырма маңызды қауіпсіздік бақылауы» веб-сайты (Интернет қауіпсіздігі орталығы)
- ТМД ХҚКО-ның тікелей нұсқасы 6 pdf (Archive.org сайтындағы Интернет қауіпсіздігі орталығы)
- ТМД ХҚКО 6.1 нұсқасына тікелей сілтеме pdf (Archive.org сайтындағы Интернет қауіпсіздігі орталығы)