тел:8 (800) 775-99-90

Личный кабинет

Выйти из системы

Сменить пользователя

Блог компании Cortel > Информационная безопасность > CIS: принципы и практики построения информационной безопасности в компании

By 26.12.2024 Информационная безопасность 0 Comments

CIS: принципы и практики построения информационной безопасности в компании

После 30 ноября 2024 года утечка персональных данных может привести к оборотному штрафу или уголовной ответственности. Теперь информационная безопасность – главная задача и, в то же время, головная боль для российских организаций. 

Ситуацию осложняет дефицит квалифицированных ИБ-кадров, отсутствие полноценных аналогов некоторых зарубежных средств защиты информации и понимания, пошаговой инструкции, что делать для того, чтобы защититься со всех сторон. Неудивительно, что 82% компаний и организаций планируют отдать на аутсорсинг свою защиту от кибератак в 2025 году.

А вот о том, как защищаются те, КОМУ передают, в том числе и мы, а также о принципах построения ИБ в организации для каждой компании – расскажем сегодня.

Центр безопасности в Интернете

Вопрос инструкций решил CIS (Center for Internet Security) – некоммерческая организация, которая разрабатывает контрольные показатели и рекомендации по информационный безопасности. Инициатива направлена ​​на создание базовых уровней конфигурации безопасности систем, которые обычно встречаются во всех организациях. Сегодня им следуют компании по всему миру, в том числе, мы. 

И сразу – с пользы. Прямо здесь и сейчас можно скачать более 20 бесплатных гайдлайнов по безопасной настройке систем – от Linux до Docker и Kubernetes.

А теперь – подробно о принципах ИБ, которыми руководствуемся. Их можно использовать как чек-лист и пошаговую инструкцию для проверки и обеспечения безопасности систем. Будем ориентироваться на «Critical Security Controls Version 8.1», опубликованную в июне 2024 года.

Рассмотрим первые шесть критических элементов управления безопасностью (CIS.1 – CIS.6).

CIS.1 – Инвентаризация и управление активами

Шаг 1: Собираем список всех ИТ-активов:

– устройства (серверы, рабочие станции, мобильные устройства, IoT-устройства);

– программное обеспечение (операционные системы, приложения, библиотеки);

– сетевые устройства (роутеры, коммутаторы, межсетевые экраны);

– облачные ресурсы (виртуальные машины, базы данных, сервисы).

Идентифицируем по критичности: критичные, например, серверы с базами данных; и некритичные, например, устройства для разработчиков. 

Назначаем метки для физических устройств и идентификаторы к активам в цифровой среде, чтобы упростить их учёт. Это позволяет быстро находить и отслеживать активы в случае инцидентов или изменений.

Шаг 2: Внедряем инструменты для управления активами

Здесь выбираем и настраиваем:

– автоматизированный сбор данных о подключенных устройствах и их характеристиках; 

– регулярное сканирование сети, чтобы автоматически обнаруживать новые устройства;

– политики сетевого контроля доступа (NAC), которые автоматически блокируют неизвестные устройства, ограничивая их возможности подключаться к критическим системам;

– процесс регистрации и проверки новых активов перед подключением. 

Назначаем и проводим регулярные аудиты. Сверяем записи в системе управления с фактическим состоянием сети. 

Шаг 3: Интегрируем, контролируем и учитываем

Важно иметь возможность генерировать отчёты о состоянии активов для анализа, чтобы оценить количество новых или устаревших активов, выявить тенденции изменений в сети и обнаружить возможные нарушения. 

Благодаря интеграции с другими системами, например, SIEM, возможен централизованный мониторинг и автоматическое оповещение о подозрительных действиях.

CIS.2 – Управление программным обеспечением

Шаг 1: Проводим инвентаризацию

Здесь создаём полный перечень ПО, установленного на всех устройствах, подключенных к инфраструктуре компании. Используем системы, которые собирают данные об ОС, приложениях и их версиях.

Шаг 2: Разрабатываем политику управления ПО

В ней определяем «белый список» — разрешённые программы, которые соответствуют требованиям безопасности и бизнес-задачам организации.

Установка нового ПО должна проходить через механизм ограничения запуска программ. Любые попытки установки или запуска несанкционированных программ должны фиксироваться в логах.

Обновляем все устаревшие программы. ПО, которое не попало в белый список, удаляем.

Шаг 3: Налаживаем процесс обновления

Регулярное обновление ПО снижает вероятность эксплуатации известных уязвимостей. Для этого налаживаем централизованный процесс управления патчами, включающий автоматизацию установки обновлений на критически важные приложения. Перед массовым внедрением тестируем обновления в изолированной среде.

Эффективное управление программным обеспечением обязательно интегрировать с другими системами безопасности. Так, системы управления конфигурациями могут автоматически синхронизировать изменения. А связь с системами управления уязвимостями позволяет оперативно выявлять критические уязвимости и принимать меры по обновлению или удалению уязвимого ПО.

И помним про организационные меры — обучаем сотрудников, проводим регулярную инвентаризацию установленного ПО.

CIS.3 – Защита данных

Потеря или компрометация данных приведёт к финансовому и репутационному ущербу, а также к нарушению нормативных требований и, соответственно, штрафам или уголовной ответственности. Чтобы предотвратить инциденты, минимизировать риски и обеспечить соответствие законодательным нормам, необходимо следовать нескольким принципам.

Шаг 1. Классифицируем данные

Это позволяет понять, какие данные являются наиболее важными и требуют усиленной защиты.

Для этого разделяем данные на категории: персональные данные, конфиденциальная информация, критически важные для бизнеса, публичные данные и т.д. Определите принципы и меры защиты данных для каждой категории. Например, персональные данные необходимо обрабатывать и защищать в соответствии со 152-ФЗ. Как это сделать — поэтапно рассказывали здесь.

Шаг 2. Определяем уровни доступа к данным

Для начала реализовываем модель минимальных привилегий — сотрудники должны иметь доступ только к данным, необходимым для работы. Ролевая модель доступа (RBAC) позволит предоставлять его на основе роли сотрудника в организации.

Затем внедряем многофакторную аутентификацию (MFA), особенно для доступа к критически важным или конфиденциальным данным.

Шаг 3. Обеспечиваем шифрование данных

Используем шифрование на уровне хранения (data-at-rest) и передачи (data-in-transit). Для передачи — протоколы TLS или IPsec.

Используем специальные решения для управления ключами, регулярно их обновляем и используем только для одного типа данных.

Не забываем про шифрование бэкапов!

Шаг 4. Обеспечиваем мониторинг

Логи доступа собираем и анализируем, чтобы выявлять подозрительные действия. Настраиваем автоматическое уведомление отедла ИБ о попытках несанкционированного доступа или перемещения данных.

Шаг 5. Защищаем данные в облаке

Если данные хранятся или обрабатываются в облачных системах, необходимо учитывать дополнительные меры безопасности. Например, убедиться в том, что ЦОДы поставщика облачных услуг находятся строго на территории РФ. Подробно о защите данных в облаке рассказывали тут.

Шаг 6. Обучаем сотрудников

Говоря на языке регуляторов — внедряем организационные меры защиты. Чем и как обучать сотрудников — рассказывали здесь.

CIS.4 – Управление конфигурациями

Шаг 1: Создаем базовые конфигурации

Которые станут стандартом для всех компонентов инфраструктуры. Например, для серверов рекомендуется отключить неиспользуемые порты, включить запись журналов событий и настроить шифрование данных. Шаблоны конфигураций должны документироваться для прозрачности и удобства применения.

Шаг 2: Внедряем и управляем

Определяем правила создания, утверждения, изменения и тестирования конфигураций. Эти процессы должны быть понятны всем участникам: от разработчиков и администраторов до отдела ИБ. В том числе, назначаем ответственных за настройку и обновление конфигураций.

Внедряем базовые конфигурации. Используем инструменты автоматизации — Ansible, Puppet или Chef — чтобы массово применять настройки. Настраиваем сетевые политики, ограничивающие доступ к устройствам.

Обеспечиваем мониторинг и контроль. Системы File Integrity Monitoring (например, Tripwire), помогают отслеживать изменения в конфигурациях и уведомлять команду безопасности о любых отклонениях от стандарта.

Для повышения надёжности конфигураций важно создать резервные копии настроек всех систем.

CIS.5 – Управление учетными записями и доступом

Учетные записи — это ворота в ИТ-инфраструктуру организации. Поговорим о том, как сделать этот процесс эффективным и здесь же разберём CIS.6 — контроль использования административных привилегий — основных целей злоумышленников.

Шаг 1. Создаём и управляем учетными записями

Управление учетными записями начинается с их строгого учета и обеспечения правил создания. Создаём каталог учетных записей. Для управления используем централизованные системы, например, Active Directory (AD).

Затем определяем, кто имеет право создавать новые учетные записи и в каком порядке это делается. Убеждаемся, что каждый пользователь получает уникальную учетную запись для идентификации.

Новые учетные записи должны иметь минимально необходимые права для выполнения своих задач.

Сервисные учетные записи должны использоваться только для автоматизированных процессов. Общие учетные записи должны быть исключены, чтобы каждый пользователь мог быть однозначно идентифицирован.

Шаг 2. Управляем доступом

О ролевой модели доступа и многофакторной аутентификации мы говорили выше. Помимо этого, рекомендуется:

  1. Ограничить доступ по времени и месту.
    • Для учетных записей, которым не требуется круглосуточный доступ, установить временные ограничения.
    • Ограничить доступ к определённым системам из неавторизованных географических местоположений.
  2. Обеспечить контроль доступа к данным — использовать механизмы шифрования для защиты данных и предоставлять доступ только по запросу.

Шаг 3. Защищаем учетные записи

  1. Настраиваем сложные политики паролей — длина не менее 12 символов с комбинацией букв, цифр и специальных символов. Ограниченные сроки действия паролей, например, смена каждые 90 дней. Рекомендуем сотрудникам хранить пароли в защищённых менеджерах паролей.
  2. Удаляем неактивные учетные записи и максимально ограничиваем сроки действия временных учетных записей.
  3. Обеспечиваем защиту привилегированных учетных записей, например, с помощью Privileged Access Management (PAM) для управления учётными записями с повышенными правами.
  4. Шифруем учетные данные — все хранилища паролей и ключей.
  5. Автоматизируем управление учетными данными — особенно для сервисных учетных записей.
  6. Назначаем владельцев SSH-ключей, следим за их использованием и ограничиваем доступ.
  7. Обучаем сотрудников — информируем, например, о рисках фишинга и других методов компрометации учетных данных.

Шаг 4. обеспечиваем мониторинг и контроль активности

Для этого:

  1. Включаем журналирование всех операций с учетными записями — входы, изменения привилегий, создание и удаление учетных записей.
  2. Настраиваем уведомления о подозрительных действиях — например, многочисленных попыток входа или входа с необычных IP-адресов.
  3. Используем SIEM-системы, чтобы выявлять аномалии или угрозы в режиме реального времени.

Эти принципы можно использовать для построения и поддержания уровня ИБ в компании. Или же можно обратиться, например, к нам для делегирования вопросов ИБ — просто заполните форму

А в следующем материале разберём ещё шесть критических элементов управления безопасностью (CIS.7 – CIS.12).