Bezpečnosť IS organizácie
Odporúčané postupy pre zníženie pravdepodobnosti výskytu alebo dopadov niektorých štandardných rizík na informačnú infraštruktúru.
Tiež by sme chceli upozorniť na fakt, že aj ochrana koncových staníc je veľmi dôležitá. Viac informácií o ochrane koncových staníc je možné nájsť tu Ochrana koncových staníc.
1. Konfigurácia serverov
Pre bezpečnú konfiguráciu serverov sa odporúča :
- Všetky služby, ktoré nie sú potrebné pre chod servera a plnenie jeho úloh vypnúť alebo znefunkčniť.
- Vypnúť banery jednotlivých služieb.
- Na každom serveri je potrebné mať nainštalovaný firewall, ktorý je nadefinovaný tak, že povoľuje iba potrebné služby iba pre určených klientov. V prípade, že je to možné je potrebné týchto klientov určovať čo najšpecifickejšie.
- Na každom serveri prevádzkovať antivírusové riešenie.
- Všetky dôležité dáta ako aj nastavenia, konfiguračné skripty a súbory pravidelne zálohovať na bezpečné miesto.
- V prípade, že to nie je absolútne nevyhnutné nepoužívať nezabezpečené kanály na komunikáciu a prenos súborov (napríklad ftp a telnet).
- Každú zmenu konfigurácie (softvérovej alebo hardvérovej) riešiť prostredníctvom štandardného postupu v rámci ktorého je potrebné zabezpečiť podrobnú dokumentáciu vykonaných zmien.
- Prihlasovanie a komunikácia správcov so serverom musí byť iba prostredníctvom zabezpečeného kanála (napríklad ssh).
- Odstrániť zo servera všetkých nepotrebných používateľov a používateľov, ktorí nemajú naďalej oprávnený prístup k serveru. Túto operáciu je potrebné vykonávať pravidelne pri každej zmene statusu používateľa.
- Vytvoriť oddelené prostredia (testovacie, predprodukčné, produkčné, školiace, vývojové) a jednotlivé činnosti vykonávať v prostredí, do ktorého daná činnosť prináleží.
- Minimalizovať práva jednotlivých používateľov. Každý používateľ by mal mať minimálne práva, ktoré mu umožňujú vykonávať jeho činnosti.
- Separovať dáta jednotlivých používateľov.
- Vykonávať pravidelné aktualizácie operačných systémov a aplikácií na aktuálne verzie.
- Pred nasadením updatov OS, AMS a pod. do produkčného prostredia je potrebné otestovať funkčnosť a stabilitu aktualizácií v testovacom prostredí.
- Software je potrebné inštalovať a aktualizovať iba z dôveryhodných zdrojov.
- Mať zavedené procedúry prideľovania a odoberania oprávnení používateľom, ďalej pri prijímaní nových zamestnancov, ukončovaní prac. pomeru a zmenách zaradenia.
- Vynucovať od používateľov a zvlášť administrátorov používanie silných hesiel.
2. Logovanie
Logovanie je činnosť, ktorá uľahčuje analýzu a vyhodnotenie existencie a závažnosti incidentu. Minimálna množina udalostí, ktorá by sa mala logovať sa líši v závislosti od typu zariadenia. Vo všeobecnosti možno rozdeliť zariadenia na:
- Aktívne sieťové prvky
- Servery
- Pracovné stanice
Pre jednotlivé zariadenia je potrebné logovať udalosti v závislosti od typu a účelu zariadenia. Pre všetky typy zariadení by sa mali logovať minimálne nasledujúce udalosti:
Úspešné prihlásenia
Pokusy o neúspešné prihlásenia
Vypnutie alebo reštart zariadenia
Zmena konfigurácie a podobne
V operačných systémoch Windows je možné tieto udalosti monitorovať v nástroji Event Viewer. V operačnom systéme Linux / Unix je možné tieto udalosti sledovať v súboroch v adresári /var/log .
2.1. Ukladanie logov
Logy z jednotlivých zariadení sa odporúča ukladať na vzdialené zariadenie, ktoré bude nastavené iba na zapisovanie. Toto nastavenie zabráni útočníkovi, prípadne aj administrátorom ostatných zariadení vymazať logy a tak prípadne zahladiť stopy. Logy by sa po zaplnení miesta na tomto zariadení nemali zmazať, ale uložiť v archíve.
Je dôležité na všetkých zariadeniach generujúcich logovacie záznamy udržiavať synchronizovaný čas, aby bolo možné bez komplikácií logy analyzovať a určiť časovú postupnosť udalostí.
2.2. Inšpekcia logov
Uložené informácie je potrebné pravidelne skúmať z bezpečnostného hľadiska aspoň na týždennej báze.
V prípade rozsiahlejších záznamov je možné použiť rôzne programové nástroje určené na analýzu a vyhodnocovanie logov.
2.3. Vykonanie opatrení
Na základe analýzy logov je potrebné vykonať potrebné opatrenia.
3. Sieťová bezpečnosť
- Sieť by mala byť vybudovaná modulárne a jednotlivé logické celky by maly byť oddelené v samostatných podsieťach s implementovaným riadením prístupu medzi nimi (napríklad pomocou virtuálnych sieťí VLAN).
- Sieť by mala byť primárne rozdelená aspoň do dvoch častí. Tieto časti by mali byť oddelené firewallom / firewallmi:
Časť prístupná z Internetu alebo vonkajších sietí.
Vnútorná časť siete. Do vnútornej časti by nemalo byť možné pripojiť sa priamo z vonkajšej siete. - Používať na serveroch host-based IDS (Intrusion Detection System).
- Na sieti používať aspoň jeden sieťový IDS.
- Na sieťových prvkoch nepoužívať prednastavené konfigurácie a heslá. Tieto treba zmeniť ešte pred inštaláciou do produkčného prostredia organizácie.
- Jednotlivé segmenty siete by mali byť navzájom oddelené firewallmi.
- Všetky firewally je potrebne nakonfigurovať podľa konceptu zakázať všetky spojenia a následne povoľovať jednotlivé potrebné služby, pričom každá potrebná služba a spojenie musí byť určené čo najšpecifickejšími pravidlami.
4. Šifrovanie dát
- Všetky dôležité dáta, ktoré majú pre organizáciu cenu a zálohy dát sa odporúča uchovávať na šifrovaných médiách.
- V organizácií by mala byť vytvorená a zavedená politika popisujúca prácu so šifrovacími prostriedkami, manažmentom kľúčov a prideľovaní prístupu k jednotlivým šifrovaným dátam.
- Všetky zariadenia a pamäťové médiá, ktoré opúšťajú budovu organizácie alebo sa nachádzajú v priestoroch pre verejnosť by mali byť zašifrované prostredníctvom technológie full-disk encryption.
- Zálohy šifrovacích kľúčov by mali byť uložené v trezore.