Если компания хочет надежно защитить рабочие станции сотрудников то

Внимание !
Вопросы к тесту выложены исключительно в ознакомительных целях: количество вопросов может не совпадать с действительным, актуальность не поддерживается,- за решением теста Welcome to the cashier!

---

Для исключения возможности перехвата вредоносной программой систем обновления и управления антивируса:

эти системы должны быть независимы от соответствующих механизмов, используемых в операционных системах — и включены в систему самозащиты антивируса
системы обновления ОС должны быть отключены

Проверка писем сотрудников, если они используют протоколы pop3/imap4, может осуществляться:

на шлюзе (с помощью Dr.Web Mail Security Suite Антивирус + Антиспам + SMTP proxy); на почтовом сервере оставляется только обработка внутренней почты  
на почтовом сервере (фильтрация всей корпоративной почты (с помощью Dr.Web Mail Security Suite Антивирус + Антиспам) и дополнительно на шлюзе сети Интернет (протоколы POP3 и IMAP4)
оба ответа верны

Физическое лицо, воспользовавшееся вредоносным ПО (разработанным на заказ или скачанным из Интернета):

является преступником и несет уголовную ответственность согласно ч. 1 ст. 273 УК РФ
не несет ответственности согласно действующему УК РФ. Наказание возможно только за создание заведомо вредоносного ПО

Антивирусная система защиты, позволяющая практически исключить возможность проникновения вируса на компьютер во время просмотра интернет-сайтов, должна включать:

систему проверки интернет-ссылок (например, HTTP-монитор SpIDer Gate) — для проверки файлов и иных ресурсов до их открытия на компьютере
систему ограничения доступа к заведомо вредоносным сайтам (этот функционал есть, например, в Родительском контроле Dr.Web)
систему автоматического обновления не только антивирусного ПО и ОС Windows, но и всего ПО, используемого на компьютере, — для исключения проникновений вирусов через известные уязвимости
все ответы верны

Роль антивируса в современной системе антивирусной защиты — это:

Если компания действует по принципу «мы настолько малы, что никому не интересны», не использует серьезные средства защиты и не заботится о безопасности используемых приложений, это может привести к тому, что:

преступники действительно не будут проявлять к ней интерес
вредоносные программы проникнут в сеть через уязвимости

Какие сайты чаще всего являются источниками вредоносного ПО?

сайты антивирусных производителей
форумы вирусописателей
новостные и бизнес-сайты

Проверка почтового трафика должна производиться:

до попадания письма в почтовую программу
после попадания письма в почтовую программу

Как должна контролироваться стойкость паролей доступа, использующихся при работе с критически важными данными и/или денежными средствами?

Если ваши файлы зашифрованы троянцем семейства Encoder, нельзя:

пользоваться зараженным компьютером до получения инструкций от службы техподдержки «Доктор Веб» — даже если в этом есть острая необходимость
переустанавливать систему или удалять с диска какие-либо файлы или программы
предпринимать никаких необратимых действий по лечению/удалению вредоносных объектов — если вы запустили антивирусное сканирование. Нужно проконсультироваться со специалистами или сохранить копии всех модифицированных файлов
все ответы верны
верны ответы 1 и 3

К какому типу принадлежат самые распространенные на сегодняшний день вредоносные объекты?

Спам
Руткиты
Троянцы
Скрипт-вирусы

Использование средств защиты должно дополняться:

разработкой стандартных процедур на случай реализации известных рисков.
обучением пользователей правилам работы с важной информацией
верны оба ответа

Чем опасны уязвимости нулевого дня?

вирусы, находящиеся на компьютере, срабатывают, если в дате есть цифра ноль
вирусы проникают на компьютеры через эти уязвимости, т. к. те либо еще не закрыты, либо еще даже неизвестны производителю того или иного софта, зато известны хакеру, придумавшему, как их использовать

Проверка интернет-трафика должна осуществляться

до его попадания в клиентские приложения
после его попадания в клиентские приложения

Установки антивируса только на рабочие станции и файловые серверы Windows локальной сети компании:

вполне достаточно для защиты, так как вредоносные программы сначала поступают именно на рабочие станции
достаточно, так как вредоносные файлы, разработанные для других ОС, в реальной жизни не встречаются
недостаточно для защиты, так как неизвестные на момент заражения вредоносные программы могут, просканировав сеть, заразить любые интересующие злоумышленников узлы сети, а не только серверы и рабочие станции

Что может гарантировать, что антивирус на каждой рабочей станции не отключен и работает именно с теми настройками, которые задал администратор сети?

настройки соответствующих компонентов антивируса
центр управления антивирусной защитой
самозащита антивируса

Отфильтрованная почта должна:

помещаться в карантин и/или архивироваться на случай возникновения претензий по неверной фильтрации или удаления сотрудниками неких писем
немедленно уничтожаться

Если переустановить Windows, вредоносная программа:

будет уничтожена
может скрываться в файлах, хранящихся на других разделах жесткого диска и съемных носителях, и после переустановки активизируется снова. Только антивирус способен излечить систему от вируса

Какой антивирусный продукт требуется для защиты тонких клиентов, подключающихся к терминальному серверу?

никакой, т. к. тонкий клиент не имеет жесткого диска, и единственная его функция — подключение к терминальному клиенту, так что защищать там нечего
антивирус для файловых серверов — ведь работа пользователей происходит на сервере
Dr.Web Desktop Security Suite для
терминальных сессий.
верный ответ 2,3

Стойкая система самозащиты антивируса:

способна распознать и уничтожить еще неизвестные вирусной базе объекты
не позволит неизвестной вредоносной программе нарушить нормальную работу антивируса и сделает возможным его функционирование до поступления обновления, позволяющего пролечить заражение

На данный момент подавляющее количество современных угроз — это:

вирусы
троянские программы
шпионские и рекламные программы

Почему личные устройства сотрудников, с которых те входят в локальную сеть, представляют угрозу для ее безопасности?

оба ответа неверны
оба ответа верны
пользователь не производит обновления безопасности всего программного обеспечения, установленного на ПК, а в каждом ПО есть уязвимости
даже если на устройстве сотрудника установлен лицензионный антивирус, он может не обновляться регулярно, могут быть отключены некоторые важные настройки, отсутствовать важные компоненты защиты (если установлен только антивирус)

Если компания хочет надежно защитить рабочие станции сотрудников, то:

только антивируса (файлового монитора) недостаточно для предотвращения заражения неизвестными вредоносными программами. Нужно использовать комплексную защиту, включающую дополнительные по отношению к антивирусу компоненты
для предотвращения проникновения вредоносных программ достаточно антивируса. Компоненты комплексной защиты нужны для организации труда сотрудников в соответствии с требованиями законодательства

Использование антивирусных решений должно дополняться:

изоляцией внутренней сети компании от сети Интернет — разделением сети на внешнюю и внутреннюю для исключения атак на компьютеры сети и неконтролируемого выхода в Интернет
полным запретом для сотрудников на использование ресурсов Интернета

При работе с критически важными данными и/или денежными средствами:

на всех компьютерах должна использоваться актуальная версия антивирусной системы защиты. Перед запуском сессии необходимо провести обновление антивируса и сканирование системы
во время работы с важными данными и/или денежными средствами не должны запускаться иные программы, тем более неизвестного назначения и от неизвестных отправителей. Возможность посещения внешних ресурсов и сайтов должна быть дополнительно ограничена
оба ответа верны

На случай, если заражение рабочей станции все же произойдет, необходимо заблаговременно обеспечить:

журналирование действий пользователя и администратора — для проведения расследований компьютерных инцидентов
резервное копирование важной информации
верны оба ответа

Ввиду существования множества неизвестных на момент заражения сети вредоносных программ система защиты должна включать установку:

только антивирусных средств защиты на все рабочие станции и серверы сети — вне зависимости от используемой на них операционной системы
антивирусных средств защиты на все рабочие станции и серверы сети — вне зависимости от используемой на них операционной системы, а также системы контроля и ограничения доступа, системы централизованной установки обновлений, персонального брандмауэра и защиты от внутрисетевых атак

Для исключения появления в сети вредоносных программ антивирусные решения:

достаточно установить только на рабочие станции и серверы локальной сети
должны устанавливаться на все устройства и компьютеры, на которых сотрудники работают с важной информацией (в том числе и их личные устройства) и с которых злоумышленники могут получить доступ в сеть компании
должны устанавливаться на сервисы компании — в том числе почтовые, так как только антивирусные решения позволят очистить базы почтовых сообщений от ранее проникших вредоносных файлов и исключить повторное заражение
верны ответы 2 и 3
верны ответы 1 и 3

Каким образом на компьютере, изолированном от сети Интернет, могут появиться вирусы?

из спама — если используется электронная почта
с файлового сервера — если там завелся вирус и пользователь обратился на сервер за зараженным файлом
с флешек и других съемных устройств — если на компьютере разрешен доступ к ним
все ответы верны
верны только ответы 1 и 3

Каково единственно возможное действие антивируса в отношении найденного троянца?

Лечить
удалить
игнорировать

Система защиты локальной сети от вредоносных программ, включающая только антивирус, установленный на рабочих станциях и файловых серверах Windows:

достаточно надежно защищает от вредоносных файлов
может защитить только от известных типов угроз и вредоносных файлов с известными методами заражения

По какой причине ни одна антивирусная компания не может обработать ВСЕ вредоносные объекты, которые ежедневно попадают в ловушки ее системы вирусного мониторинга?

по причине огромного количества новых вредоносных объектов
по причине недостаточного количества специалистов, способных анализировать вирусы
антивирусные компании заинтересованы в том, чтобы значительная часть вирусов оставалась недетектируемой

Система сбора информации, используемая в антивирусном решении, должна:

отслеживать все действия пользователя, совершаемые им на компьютере
максимально быстро передавать в антивирусную лабораторию всю необходимую для решения проблемы информацию

Зачастую к заражению приводит «человеческий фактор». К основным проблемам можно отнести:

несоблюдение правил безопасного поведения в Интернете (в том числе отключение некоторых компонентов антивируса)
халатность и невнимательность
оба ответа верны

Если компания хочет защитить не только рабочие станции сотрудников, но и их домашние компьютеры и личные устройства, то:

достаточно использования Dr.Web Enterprise Security Suite без Центра управления
необходим Центр управления Dr.Web Enterprise Security Suite, который позволяет управлять защитой как офисных компьютеров, так и домашних устройств сотрудников, включая мобильные устройства под управлением Android и Windows Mobile

Каким образом на компьютере с запрещенным доступом к сменным носителям могут появиться троянцы — ведь эти вредоносные программы не имеют механизма саморазмножения?

из спама — при клике на вредоносную ссылку в спам-сообщении 
из Интернета — сейчас уже достаточно просто зайти на зараженный сайт, и троянец автоматически будет скачан на компьютер
с файлового сервера — если там завелся вирус и пользователь обратился на сервер за зараженным файлом
все ответы верны

По какой причине крайне небезопасно использовать один сервер для различных целей — например, совмещать функции файлового сервера и почтового сервера?

взлом одного сервера дает доступ ко всем установленным на нем сервисам сети компании
достаточно часто внесение изменений в настройки одного сервиса приводит к нарушениям в работе других
оба ответа верны

Почему мнение о том, что антивирус должен обнаруживать 100% вирусов — неверное?

ни одна антивирусная компания не способна проанализировать все вирусы — их ежедневно появляется слишком много
антивирус умеет обнаруживать только известные его вирусной базе объекты, а из неизвестных далеко не все можно обнаружить с помощью несигнатурных технологий 
перед выпуском вирусов в «живую природу» вирусописатели тестируют свои творения на всех известных антивирусах — поэтому всегда есть шанс, что антивирус какое-то время не будет детектировать тот или иной вирус
все ответы верны
верны ответы 1 и 3

Вирусам легче проникнуть в сеть, если:

пользователи работают в Windows с правами администратора
пользователи работают, используя простые пароли, взлом которых не составляет труда
пользователи не производят обновления безопасности всего программного обеспечения, установленного на ПК
все ответы верны
верны ответы 2 и 3

Выберите верное утверждение:

антивирус, обновления которого могут отключаться пользователями или производятся от случая к случаю, не способен надежно защищать
благодаря эвристическим технологиям антивирус способен надежно защищать, даже если его обновления производятся не ежедневно

Для проникновения на компьютеры во многих случаях используются уязвимости, которые:

еще неизвестны производителям программного обеспечения
известны уже несколько лет
оба ответа верны

Необходима ли установка антивируса там, где используются другие (неантивирусные) средства защиты от проникновений?

необходима: запускаясь на инфицированной машине, вредоносные программы предпринимают целый ряд действий для того, чтобы обмануть средства контроля и наблюдения. Обнаружить их сможет только антивирус, равно как и излечить систему
в этом нет необходимости, других средств вполне достаточно

Достаточно ли защиты почтового сервера для обеспечения безопасности всего почтового трафика компании?

достаточно, так как вся почта обязательно проходит через корпоративный почтовый сервер
недостаточно, так как пользователь (либо программы, на установку которых он согласился, не зная их возможностей) может отправлять и получать письма напрямую на почтовые серверы сети Интернет по протоколу SMTP (если в сети открыт 25-й порт), а также на почтовые службы сервисов типа mail.ru/gmail.com — по протоколам pop3/imap4

Использование централизованной системы обновлений позволяет

в режиме реального времени контролировать отсутствие известных уязвимостей на защищаемых рабочих станциях и сервера
полностью защитить сеть от проникновения вредоносных программ как через известные, так и неизвестные уязвимости

Локальная служба технической поддержки на русском языке:

неоправданно увеличивает стоимость антивирусной системы защиты
позволяет оказывать помощь максимально оперативно и квалифицированно

Какая мера безопасности позволит на 100% устранить риск заражения компьютера, на котором установлена система дистанционного банковского обслуживания?

отключение компьютера от сети Интернет
установка антивирусного программного обеспечения
запрет использования съемных носителей
отключение автозапуска
ни одна из этих мер сама по себе проблемы не решает — решает только комплекс этих мер

Обработка почты на шлюзе:

повышает безопасность сети — отсутствие прямого доступа к почтовому серверу из сети Интернет не позволит злоумышленникам воспользоваться уязвимостями
повышает стабильность работы системы проверки почты в целом 
оба ответа верны

Повышается ли качество фильтрации почты, если защита установлена на почтовом шлюзе?

нет, лишь снижается нагрузка на внутренние почтовые серверы и рабочие станции
да, за счет отсутствия ограничений, накладываемых почтовыми серверами

Система контроля и ограничения доступа, препятствующая активации вредоносной программы, еще неизвестной антивирусу, должна включать:

Если компания использует не подключенные к сети компьютеры, то:

использование антивируса для них необязательно
использование антивируса для них обязательно, так как вирусы могут проникать иными путями — например, с флеш-носителей

Большинство современных вредоносных программ разрабатываются:

антивирусными компаниями
хакерами-одиночками — любителями жанра
хорошо организованными преступными сообществами, вовлекающими в свою преступную деятельность высококвалифицированных разработчиков ПО

Если троянец-блокировщик заблокировал Windows:

нужно заплатить требуемую сумму
нужно воспользоваться бесплатным сервисом компании «Доктор Веб» по разблокировке Windows от троянца
нужно обратиться с заявлением в полицию — для возбуждения в отношении злоумышленников уголовного дела правоохранительным органам необходим процессуальный повод
верны ответы 2 и 3

Антивирусы определяют вредоносные программы только по сигнатурам (записям в вирусных базах)?

да
нет, по записям невозможно поймать наиболее сложные вредоносные программы — в том числе изменяющиеся при каждом запуске — полиморфные

Чем сегодня опасны вредоносные программы?

зачастую они действуют незаметно для пользователя, который может долго не догадываться, что его компьютер заражен
большинство из них создаются для извлечения незаконной коммерческой выгоды
они способны долго оставаться незамеченными даже антивирусными программами и другими средствами контроля и мониторинга
все ответы верны

Система защиты от вредоносных программ, включающая только антивирус:

Какой антивирусный продукт Dr.Web требуется для защиты клиентов, подключающихся к виртуальному серверу?

Постоянное обновление всего установленного ПО необходимо, так как:

любую ошибку (уязвимость) в программе можно использовать для причинения вреда системе в целом
это позволяет поддерживать актуальность системы требованиям законов

Для противостояния наиболее опасным вредоносным программам используемый антивирус должен:

иметь систему лечения активных заражений, в том числе сложных руткитов
иметь систему экстренного выпуска обновлений для вредоносных программ, эксплуатируемых на территориях распространения
оба ответа верны

Для обеспечения безопасности локальной сети компьютеры, с которых производится работа с системой банковского дистанционного обслуживания:

Каковы причины роста хищений, совершаемых с помощью вредоносных компьютерных программ?

Почему сравнительные тестирования антивирусов на обнаружение с использованием коллекций вредоносных объектов не отражают реальную картину?

ни один тестировщик не может гарантировать, что в огромной коллекции находятся только вредоносные программы и отсутствует мусор, ошибочно принятый за вирус
тесты показывают только одну из функций антивируса — обнаружение (детектирование) угроз, но не лечение. При огромных размерах коллекций оценить качество лечения невозможно
такие тесты не показывают, умеет ли антивирус обнаруживать неизвестные угрозы
верны ответы 2 и 3

Должна ли антивирусная система защиты иметь систему обновлений, находящуюся под контролем системы самозащиты антивирусной системы?

это необязательно
должна, поскольку это позволяет не использовать для обновлений компоненты операционной системы, которые могут быть скомпрометированы

Для обнаружения вредоносных программ:

достаточно файлового монитора — все полученные файлы для активации должны запуститься, что позволит файловому монитору их обнаружить
кроме файлового монитора необходимо также использовать систему проверки трафика. Должны проверяться все поступающие из локальной сети файлы до момента получения их используемыми приложениями, что исключает использование вредоносными программами неизвестных уязвимостей данных приложений
кроме файлового монитора и системы фильтрации трафика необхожимо использовать поведенческий анализатор, позводяющий обнаруживать еще непопавшие на анализ образцы вредоносных программ

Для наилучшей защиты сети предприятия антивирусные решения должны быть установлены:

на все компьютеры, расположенные в сети предприятия
на те компьютеры сети, где велика вероятность заражения вирусам

Почему сравнительные тестирования на обнаружение с помощью эвристических механизмов не отражают реальную картину?

такие тесты показывают только то, насколько хорошо антивирус обнаруживает уже известные семейства вредоносных программ
такие тесты не показывают, насколько хорошо ведет себя антивирус в реальных условиях заражения компьютера вирусом, как он умеет лечить тот или иной вирус
оба ответа верны

Что может гарантировать, что на рабочей станции будут производиться регулярные обновления антивируса и сканирования?

центр управления антивирусной защитой
настройки сканера
расписание сканирований, установленное в планировщике на рабочей станции

Если компания ограничивается защитой только рабочих станций сотрудников, то защита от вредоносных программ:

достаточно надежная
ненадежная, так как сотрудники, как правило, работают еще и на домашних компьютерах и личных устройствах. При защите только рабочих мест компания не контролирует уровень безопасности

Для противодействия современным угрозам использование антивируса должно дополняться:

изоляцией внутренней сети компании от Интернета — разделением сети на внешнюю и внутреннюю
усилением службы безопасности компании

Основная причина легкости проникновения вредоносных программ в сеть заключается в том, что:

пользователи выходят в Интернет с рабочего компьютера, на котором стоит ПО, имеющее уязвимости
киберпреступники всегда на шаг впереди разработчиков средств защиты

Достаточно ли в случае заражения просто переустановить ОС?

да, заражения случаются достаточно редко, поэтому постоянное присутствие антивируса не нужно — можно обойтись резервным копированием данных и переустановкой ОС
нет. Вредоносная программа может скрываться в файлах, хранящихся на других разделах жесткого диска и съемных носителях. В этом случае переустановка ОС ничего не даст

Для исключения установки неизвестных, а также вредоносных программ:

работа пользователя должна происходить только под учетной записью с ограниченными правами
должна использоваться система контроля и ограничения доступа

Чем опасно любое программное обеспечение, которое не обновляется пользователями или автоматическими средствами обновления?

производители любого ПО периодически выпускают заплатки, закрывающие уязвимости. Поэтому обновления важны
необновляемое ПО не получает вовремя изменений в функционале, что приводит к невозможности совместной работы различных пользователей 

Какой антивирусный продукт Dr.Web требуется для защиты виртуального файлового сервера?

Уязвимость — это:

Сегодня вирусы не просто способны помешать нормальной работе компьютера, они:

способны похищать конфиденциальную информацию, в том числе пароли, данные для доступа к банковским и платежным системам, денежные средства с банковских счетов
могут загружать другие вредоносные программы и даже вывести операционную систему из строя
могут полностью парализовать работу компьютера по команде злоумышленника
все ответы верны

Особая опасность неизвестных на момент заражения сети вредоносных программ — в том…

что на совершение преступных действий требуется меньше времени, чем на обнаружение вредоносной программы в «дикой природе» и выпуск соответствующего обновления антивирусного ПО
что для удаления уже активной вредоносной программы, распространившейся по сети, требуется гораздо больше усилий, чем для предотвращения заражения
оба ответа верны

Если компания использует решения на основе ОС Linux или Мас OS X, то

использование антивируса для них необязательно — количество вирусов под эти платформы мало
для них необходим антивирус — количество вирусов под эти платформы мало, но ботнеты существуют и для них. Тенденцией трех последних лет стал резкий рост количества атак на операционные системы Linux
любая незащищенная машина может стать источником вирусов
верны ответы 2 и 3

Антивирус, имеющий последние версии вирусных баз, может НЕ обнаружить вредоносный файл потому, что:

вирусописатели проверили вредоносную программу на обнаружение антивирусом перед выпуском в «живую природу», и этот вирус еще не попал на анализ в антивирусную лабораторию
пользователь, имеющий права администратора, отключил антивирус
на ПК есть незакрытые уязвимости операционной системы, которые позволили вирусу обойти антивирус
все ответы верны
верны только ответы 1 и 3

Существует ли риск внедрения вредоносных программ в разрыв между защищенным каналом и клиентской программой при использовании облачных сервисов?

Компания использует файловый сервер под управлением ОС Unix. На сервере установлен сервис Samba. Какой антивирусный продукт Dr.Web нужно использовать для защиты?

только антивирус для файловых серверов
антивирус для файловых серверов и антивирус для защиты самого сервера — для защиты как файлов ОС Unix, так и файлов, обрабатываемых сервисом Samba

Внимание !
Вопросы к тесту выложены исключительно в ознакомительных целях: количество вопросов может не совпадать с действительным, актуальность не поддерживается,- за решением теста Welcome to the cashier!

---

Можно ли заметить «невооруженным глазом», что вирус заразил систему?

да, и это позволяет во многих случаях не использовать антивирус
нет, многие вредоносные программы рассчитаны на долговременное скрытое присутствие в системе, предпринимают целый ряд действий для того, чтобы обмануть средства контроля и наблюдения, парализовать антивирусную защиту

Каким образом на компьютере, изолированном от локальной сети, могут появиться вирусы?

из Интернета — если компьютер от него не отключен
из спама — если используется электронная почта
с флешек и других съемных устройств — если на компьютере разрешен доступ к ним
все ответы верны
верны только ответы только 2 и 3

На случай возникновения инцидентов информационной безопасности нужно заблаговременно:

Проверка компьютера антивирусным сканером позволяет:

На компьютере, на котором производится работа с критически важными данными и/или денежными средствами

должны быть удалены системы и сервисы удаленного управления, заблокирована возможность удаленных подключений на время работы критичных для бизнеса систем
должны протоколироваться все события, в том числе все действия администраторов и пользователей компьютера
оба ответа верны

Наиболее часто для проникновения используются уязвимости:

ОС Windows как наиболее распространенной
ОС Linux, Mac OS X и Android — считается, что под эти ОС вирусов нет, поэтому там их искать не будут
приложений, устанавливаемых большинством пользователей, — Adobe Reader, Flash и Java

Антивирусная система защиты, позволяющая практически исключить возможность проникновения вируса на компьютер через съемные носители информации (флешки, цифровые фотоаппараты и т. д.), должна включать:

систему ограничения доступа со сменных носителей информации — для исключения возможности проникновения вирусов с флешек
систему проверки трафика до его получения клиентским ПО — для исключения возможности использования вредоносным ПО незакрытых уязвимостей

Для атак на компьютерные системы предприятий кибермошенники успешно эксплуатируют:

недостатки построения антивирусных систем защиты всех узлов корпоративной сети или полное отсутствие антивирусной системы защиты
отсутствие, недостатки или несоблюдение сотрудниками предприятий политик ИБ по причинам неграмотности в этих вопросах, неосознания проблемы, халатности
оба ответа верны

Компания арендует файловый сервер в дата-центре. Для связи с сервером не используется защищенный канал. Какой антивирусный продукт Dr.Web нужно использовать для защиты?

только антивирус для файловых серверов
антивирусы для файловых серверов и для интернет-шлюзов, что не позволит получить, передать или подменить при передаче зараженный файл

Сервер какой роли не требует антивирусной защиты?

почтовый сервер, если он совмещен с сервером другой роли
файловый сервер, если он совмещен с сервером другой рол
сервер любой роли нуждается в защите антивирусом

Антивирусная система защиты, позволяющая практически исключить возможность проникновения вируса на компьютер через спам, должна включать:

файловый антивирус — для проверки всех открываемых файлов, которые уже поступили на машину 
систему проверки почтового трафика до его получения почтовой программой
систему автоматического обновления не только антивирусного ПО и ОС Windows, но и всего ПО, используемого на компьютере, — для исключения проникновений вирусов через известные уязвимости
все ответы верны

Если ваши файлы зашифрованы троянцем семейства Encoder, то при запросе в техподдержку нужно:

сообщить как можно больше информации о том, как произошло заражение, в том числе требования злоумышленников
прикрепить к комментарию в запросе несколько зашифрованных файлов
если троянец был получен по электронной почте — вложить копию письма в eml-формате
все ответы верны
верны ответы 1 и 2

На уровень безопасности компьютеров, расположенных в сети предприятия, влияют следующие факторы:

С каких устройств руководители предприятий могут подключаться к системе дистанционного банковского обслуживания?

Современные вредоносные программы рассчитаны на длительное присутствие на зараженной машине и потому:

не видны пользователю
могут в момент проникновения не обнаруживаться ни одним антивирусом
оба ответа верны

Выберите верное утверждение:

Для максимальной защиты антивирус должен:

уметь лечить поступающие (неактивные) вредоносные программы
уметь лечить уже запущенные, но ранее неизвестные вирусной базе вредоносные программы
уметь и то и другое

Антивирус на почтовом сервере в первую очередь нужен:

для снижения уровня спама в почтовом трафике
для задания правил обработки почты в зависимости от потребностей каждого сотрудника, а также для удаления ранее неизвестных вирусов из почтовых ящиков

Каким образом на сервере, установленном у провайдера в дата-центре, могут появиться вирусы?

через уязвимости, имеющиеся в любом ПО, — в том числе в установленных на сервере приложениях
из-за неверных настроек безопасности
при работе пользователя под правами администратора
из-за деятельности инсайдеров, работающих на стороне дата-центра
с иных виртуальных машин, работающих на том же сервере
из-за того, что данные вирусы не обнаруживаются используемым антивирусом
все ответы верны

Каким образом вредоносная программа может проникнуть на файловый сервер?

через уязвимости, имеющиеся в любом ПО, — в том числе в установленных на сервере приложениях
из-за неверных настроек безопасности
при работе пользователя под правами администратора
из-за того, что программа не обнаруживается используемым антивирусом
все ответы верны

Какой антивирусный продукт Dr.Web требуется для защиты терминального сервера, если вход на сервер осуществляется с обычных рабочих станций?

Причиной эксплуатации киберпреступниками давно известных уязвимостей служат:

широкое распространение не обновляемых пиратских версий операционных систем и ПО
неспособность или нежелание производителей ПО эти уязвимости закрыть           
оба варианта верны

В каком ПО не бывает уязвимостей?

в операционной системе Linux
в операционной системе Mac OS X
в Adobe Reader
в Google Chrome
уязвимости есть в любом ПО

В связи с тем, что наиболее опасные вредоносные программы не обнаруживаются антивирусами в момент заражения:

используемый антивирус должен иметь систему самозащиты, способную противостоять попыткам вредоносной программы нарушить его работу до момента получения обновления
избежать заражения новейшими вредоносными программами невозможно

Если при антивирусном сканировании было найдено большое количество вирусов, то это означает, что:

используется не очень хороший антивирус
найдены неизвестные на момент проникновения, до сих пор не активировавшиеся угрозы
проверка сканером проводится на бóльшую глубину, чем проверка фоновым файловым монитором — именно поэтому иногда случается, что сканер обнаруживает вирусы, не увиденные файловым монитором
все ответы верны
верны ответы 2 и 3

Выберите верное утверждение:

регулярные обновления и актуальное состояние компонентов антивирусной защиты можно обеспечить только с помощью централизованного управления
регулярные обновления и актуальное состояние компонентов антивирусной защиты можно решить с помощью планировщика антивируса

Троянцы проникают на компьютеры жертв:

с заведомо зараженных сайтов
через известные уязвимости
через уязвимости нулевого дня
люди сами переносят троянцев, например, на флешках
со взломанных массово и часто посещаемых сайтов, например, новостных
все ответы верны

На данный момент основными путями проникновения вредоносных программ в сеть компании служат:

Сайты новостной и финансовой тематики
Порнографические сайты
Сайты, размещающие взломанные программы и хакерские инструменты
Сменные носители
Личные устройства и домашние компьютеры сотрудников, на которых они работают с ресурсами компании
Спам
Все ответы верны

В случае необходимости проведения компьютерного расследования:

нужно опросить сотрудников, имеющих доступ к системе, и попытаться составить картину произошедшего
нельзя обновлять систему и установленные продукты, проводить сканирование и настройку
нельзя удалять с диска какие-либо файлы или программы
нужно выключить компьютер, выдернув вилку из розетки      
все ответы верны

Выберите верное утверждение:

антивирус является единственной программой, способной излечивать систему от уже проникших вирусов, включая автоматическое исправление реестра Windows, удаление вредоносных служб, руткитов и буткитов
никакое современное ПО, кроме антивирусного, не умеет очищать почтовые базы от вредоносного ПО, проникшего через почту
оба утверждения верны

Каким образом на компьютере, изолированном от локальной сети, могут появиться вирусы?

Антивирус, имеющий актуальные версии вирусных баз, обнаруживает:
все вредоносные файлы, существующие на данный момент     
только вредоносные файлы, попавшие в антивирусную лабораторию на анализ
вредоносные файлы, проанализированные в антивирусной лаборатории, а также вредоносные файлы, обнаруживаемые с помощью эвристических технологий

Как известно, большой поток вредоносных программ идет со сменных носителей. При этом к сменным носителям относятся:

флеш-карты
любые устройства, которые используют USB-порт для подключения к ПК

Для исключения проникновения через уязвимости:

должна использоваться централизованная система установки обновлений. Должна быть исключена ситуация, когда решение о необходимости установки обновления принимает пользователь
достаточно использования системы контроля и ограничения доступа

Вы можете обратится к нам напрямую, через:

По Skype: molodoyberkut
По Telegram: @MolodoyBerkut
По ICQ: 657089516
По Viber: molodoyberkut

Или через форму обратной связи на нашем сайте

1. Введение 

Настоящие правила предназначены для обязательного ознакомления выделенному в организации сотруднику, отвечающему за информационную безопасность при использовании средств криптографической защиты информации и работе в защищенной телекоммуникационной системе.

2. Основные понятия

Система − автоматизированная информационная система передачи и приема информации в электронном виде по телекоммуникационным каналам связи в виде юридически значимых электронных документов с использованием средств электронной подписи.
Автоматизированное рабочее место (АРМ) – ПЭВМ, с помощью которой пользователь осуществляет подключение для работы в Системе.

Cредство криптографической защиты информации (СКЗИ) − средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности.

Электронная подпись (ЭП) − информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. В Системе для подписания электронных документов электронной подписью используется технология электронно-цифровой подписи (ЭЦП) в инфраструктуре открытых ключей.

Ключ ЭП — уникальная последовательность символов, предназначенная для создания электронной подписи. Ключ ЭП хранится пользователем системы в тайне. В инфраструктуре открытых ключей соответствует закрытому ключу ЭЦП.

Ключ проверки ЭП — уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи. Ключ проверки ЭП известен всем пользователям системы и позволяет определить автора подписи и достоверность электронного документа, но не позволяет вычислить ключ электронной подписи. Ключ проверки ЭП считается принадлежащим пользователю, если он был ему выдан установленным порядком. В инфраструктуре открытых ключей соответствует открытому ключу ЭЦП.

Сертификат ключа проверки ЭП — электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Удостоверяющий центр — юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные законодательством.

Владелец сертификата ключа проверки ЭП — лицо, которому в установленном порядке выдан сертификат ключа проверки электронной подписи.
Средства ЭП − шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций — создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.

Сертификат соответствия − документ, выданный по правилам системы сертификации для подтверждения соответствия сертифицированной продукции установленным требованиям.

Подтверждение подлинности электронной подписи в электронном документе − положительный результат проверки соответствующим средством ЭП принадлежности электронной подписи в электронном документе владельцу сертификата ключа проверки подписи и отсутствия искажений в подписанном данной электронной подписью электронном документе.

Компрометация ключа − утрата доверия к тому, что используемые ключи обеспечивают безопасность информации. К событиям, связанным с компрометацией ключей, относятся, включая, но не ограничиваясь, следующие:

• Потеря ключевых носителей.
• Потеря ключевых носителей с их последующим обнаружением.
• Увольнение сотрудников, имевших доступ к ключевой информации.
• Нарушение правил хранения и уничтожения (после окончания срока действия) закрытого ключа.
• Возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи.
• Нарушение печати на сейфе с ключевыми носителями.
• Случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что, данный факт произошел в результате несанкционированных действий злоумышленника).

3. Риски использования электронной подписи

При использовании электронной подписи существуют определенные риски, основными из которых являются следующие:

1. Риски, связанные с аутентификацией (подтверждением подлинности) пользователя. Лицо, на которого указывает подпись под документом, может заявить о том, что подпись сфальсифицирована и не принадлежит данному лицу.
2. Риски, связанные с отрекаемостью (отказом от содержимого документа). Лицо, на которое указывает подпись под документом, может заявить о том, что документ был изменен и не соответствует документу, подписанному данным лицом.
3. Риски, связанные с юридической значимостью электронной подписи. В случае судебного разбирательства одна из сторон может заявить о том, что документ с электронной подписью не может порождать юридически значимых последствий или считаться достаточным доказательством в суде.
4. Риски, связанные с несоответствием условий использования электронной подписи установленному порядку. В случае использования электронной подписи в порядке, не соответствующем требованиям законодательства или соглашений между участниками электронного взаимодействия, юридическая сила подписанных в данном случае документов может быть поставлена под сомнение.
5. Риски, связанные с несанкционированным доступом (использованием электронной подписи без ведома владельца). В случае компрометации ключа ЭП или несанкционированного доступа к средствам ЭП может быть получен документ, порождающий юридически значимые последствия и исходящий от имени пользователя, ключ которого был скомпрометирован.

Для снижения данных рисков или их избежания помимо определения порядка использования электронной подписи при электронном взаимодействии предусмотрен комплекс правовых и организационно-технических мер обеспечения информационной безопасности.

4. Общие принципы организации информационной безопасности в Системе

Криптографическая подсистема Системы опирается на отечественное законодательство в области электронной подписи, инфраструктуры открытых ключей и защиты информации, в том числе, на действующие ГОСТ и руководящие документы ФСБ и ФСТЭК, а также на международный стандарт X.509, определяющий принципы и протоколы, используемые при построении систем с открытыми ключами.

Инфраструктура открытых ключей − это система, в которой каждый пользователь имеет пару ключей − закрытый (секретный) и открытый. При этом по закрытому ключу можно построить соответствующий ему открытый ключ, а обратное преобразование неосуществимо или требует огромных временных затрат. Каждый пользователь Системы генерирует себе ключевую пару, и, сохраняя свой закрытый ключ в строгой тайне, делает открытый ключ общедоступным. С точки зрения инфраструктуры открытых ключей, шифрование представляет собой преобразование сообщения, осуществляемое с помощью открытого ключа получателя информации. Только получатель, зная свой собственный закрытый ключ, сможет провести обратное преобразование и прочитать сообщения, а больше никто сделать этого не сможет, в том числе − и сам отправитель шифрограммы. Электронная подпись в инфраструктуре открытых ключей − это преобразование сообщения с помощью закрытого ключа отправителя. Любой желающий может для проверки подписи провести обратное преобразование, применив общедоступный открытый ключ (ключ проверки ЭП) автора документа, но никто не сможет имитировать такой документ, не зная закрытого ключа (ключа ЭП) автора.

Обязательным участником любой инфраструктуры открытых ключей является Удостоверяющий центр, выполняющий функции центра доверия всей системы документооборота. При этом Удостоверяющий центр обеспечивает выполнение следующих основных функций:

• выпускает сертификаты ключей проверки электронных подписей и выдает их пользователям;
• выдает пользователям средства электронной подписи;
• создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;
• получает и обрабатывает сообщения о компрометации ключей; аннулирует выданные этим удостоверяющим центром сертификаты ключей проверки электронных подписей, доверие к которым утрачено;
• ведет реестр выданных и аннулированных этим удостоверяющим центром сертификатов ключей проверки электронных подписей (далее — реестр сертификатов), в том числе включающий в себя информацию, содержащуюся в выданных этим удостоверяющим центром сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях таких прекращения или аннулирования и обеспечивает доступ лиц к информации, содержащейся в реестре сертификатов;
• проверяет уникальность ключей проверки электронных подписей в реестре сертификатов;
• осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей;
• определяет порядок разбора конфликтных ситуаций и доказательства авторства электронного документа.

Свою деятельность Удостоверяющий центр осуществляет в строгом соответствии с законодательством, собственным регламентом и соглашениями между участниками электронного взаимодействия. Благодаря соблюдению необходимых требований исключаются риски, связанные с юридической значимостью документов, подписанных электронной подписью, и снижаются риски несоответствия условий использования электронной подписи установленному порядку.

Сертификат ключа проверки ЭП заверяется электронной подписью Удостоверяющего центра и подтверждает факт владения того или иного участника документооборота тем или иным ключом проверки ЭП и соответствующим ему ключом ЭП. Благодаря сертификатам, пользователи Системы могут опознавать друг друга, а, кроме того, проверять принадлежность электронной подписи конкретному пользователю и целостность (неизменность) содержания подписанного электронного документа. Таким образом исключаются риски, связанные с подтверждением подлинности пользователя и отказом от содержимого документа.

Преобразования сообщений с использованием ключей достаточно сложны и производятся с помощью специальных средств электронной подписи. В Системе для этих целей используется СКЗИ, имеющее сертификат соответствия установленным требованиям как средство электронной подписи. Данное СКЗИ − это программное обеспечение, которое решает основные задачи защиты информации, а именно:

• обеспечение конфиденциальности информации − шифрование для защиты от несанкционированного доступа всех электронных документов, которые обращаются в Системе;
• подтверждение авторства документа — применение ЭП, которая ставится на все возникающие в Системе электронные документы; впоследствии она позволяет решать на законодательно закрепленной основе любые споры в отношении авторства документа;
• обеспечение неотрекаемости − применение ЭП и обязательное сохранение передаваемых документов на сервере Системы у отправителя и получателя; подписанный документ обладает юридической силой с момента подписания: ни его содержание, ни сам факт существования документа не могут быть оспорены никем, включая автора документа;
• обеспечение целостности документа − применение ЭП, которая содержит в себе хэш-значение (усложненный аналог контрольной суммы) подписываемого документа; при попытке изменить хотя бы один символ в документе или в его подписи после того, как документ был подписан, будет нарушена ЭП, что будет немедленно диагностировано;
• аутентификация участников взаимодействия в Системе − каждый раз при начале сеанса работы сервер Системы и пользователь предъявляют друг другу свои сертификаты и, таким образом, избегают опасности вступить в информационный обмен с анонимным лицом или с лицом, выдающим себя за другого.

Уровень защищенности Системы в целом равняется уровню защищенности в ее самом слабом месте. Поэтому, учитывая то, что система обеспечивает высокий уровень информационной безопасности на пути следования электронных документов между участниками документооборота, для снижения или избежания рисков необходимо так же тщательно соблюдать меры безопасности непосредственно на рабочих местах пользователей.

В следующем разделе содержатся требования и рекомендации по основным мерам информационной безопасности на рабочем месте пользователя.

5. Требования и рекомендации по обеспечению информационной безопасности на рабочем месте пользователя

Рабочее место пользователя Системы использует СКЗИ для обеспечения целостности, конфиденциальности и подтверждения авторства информации, передаваемой в рамках Системы. Порядок обеспечения информационной безопасности при работе в Системе определяется руководителем организации, подключающейся к Системе, на основе рекомендаций по организационно-техническим мерам защиты, изложенным в данном разделе, эксплуатационной документации на СКЗИ, а также действующего российского законодательства в области защиты информации.

5.1 Персонал

Должен быть определен и утвержден список лиц, имеющих доступ к ключевой информации.

К работе на АРМ с установленным СКЗИ допускаются только определенные для эксплуатации лица, прошедшие соответствующую подготовку и ознакомленные с пользовательской документацией на СКЗИ, а также другими нормативными документами по использованию электронной подписи.

К установке общесистемного и специального программного обеспечения, а также СКЗИ, допускаются доверенные лица, прошедшие соответствующую подготовку и изучившие документацию на соответствующее ПО и на СКЗИ.

Рекомендуется назначение в организации, эксплуатирующей СКЗИ, администратора безопасности, на которого возлагаются задачи организации работ по использованию СКЗИ, выработки соответствующих инструкций для пользователей, а также контролю за соблюдением требований по безопасности.

Должностные инструкции пользователей АРМ и администратора безопасности должны учитывать требования настоящих Правил.

В случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей сотрудника, имевшего доступ к ключевым носителям (ЭП и шифрования), должна быть проведена смена ключей, к которым он имел доступ.

5.2 Размещение технических средств АРМ с установленным СКЗИ 

Должно быть исключено бесконтрольное проникновение и пребывание в помещениях, в которых размещаются технические средства АРМ, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе в указанных помещениях. В случае необходимости присутствия таких лиц в указанных помещениях должен быть обеспечен контроль за их действиями.

Рекомендуется использовать АРМ с СКЗИ в однопользовательском режиме. В отдельных случаях, при необходимости использования АРМ несколькими лицами, эти лица должны обладать равными правами доступа к информации.

Не допускается оставлять без контроля АРМ при включенном питании и загруженном программном обеспечении СКЗИ после ввода ключевой информации. При уходе пользователя с рабочего места должно использоваться автоматическое включение экранной заставки, защищенной паролем. В отдельных случаях при невозможности использования парольной защиты, допускается загрузка ОС без запроса пароля, при этом должны быть реализованы дополнительные организационно-режимные меры, исключающие несанкционированный доступ к АРМ.

Рекомендуется предусмотреть меры, исключающие возможность несанкционированного изменения аппаратной части АРМ, например, опечатывание системного блока АРМ администратором. Также возможно в этих целях применение специальных средств защиты информации — аппаратных модулей доверенной загрузки.

Рекомендуется принять меры по исключению вхождения лиц, не ответственных за администрирование АРМ, в режим конфигурирования BIOS (например, с использованием парольной защиты).

Рекомендуется определить в BIOS установки, исключающие возможность загрузки операционной системы, отличной от установленной на жестком диске: отключается возможность загрузки с гибкого диска, привода CD-ROM, исключаются прочие нестандартные виды загрузки ОС, включая сетевую загрузку.

Средствами BIOS должна быть исключена возможность работы на ПЭВМ, если во время его начальной загрузки не проходят встроенные тесты.

5.3 Установка программного обеспечения на АРМ

На технических средствах АРМ с установленным СКЗИ необходимо использовать только лицензионное программное обеспечение фирм-изготовителей, полученное из доверенных источников.

На АРМ должна быть установлена только одна операционная система. При этом не допускается использовать нестандартные, измененные или отладочные версии операционной системы.

Не допускается установка на АРМ средств разработки и отладки программного обеспечения. Если средства отладки приложений необходимы для технологических потребностей пользователя, то их использование должно быть санкционировано администратором безопасности. В любом случае запрещается использовать эти средства для просмотра и редактирования кода и памяти приложений, использующих СКЗИ. Необходимо исключить попадание в систему средств, позволяющих осуществлять несанкционированный доступ к системным ресурсам, а также программ, позволяющих, пользуясь ошибками ОС, получать привилегии администратора.

Рекомендуется ограничить возможности пользователя запуском только тех приложений, которые разрешены администратором безопасности.

Рекомендуется установить и использовать на АРМ антивирусное программное обеспечение.

Необходимо регулярно отслеживать и устанавливать обновления безопасности для программного обеспечения АРМ (Service Packs, Hot fix и т п.), обновлять антивирусные базы.

5.4 Настройка операционной системы АРМ 

Администратор безопасности должен сконфигурировать операционную систему, в среде которой планируется использовать СКЗИ, и осуществлять периодический контроль сделанных настроек в соответствии со следующими требованиями:

• Правом установки и настройки ОС и СКЗИ должен обладать только администратор безопасности.
• Всем пользователям и группам, зарегистрированным в ОС, необходимо назначить минимально возможные для нормальной работы права.
• У группы Everyone должны быть удалены все привилегии.
• Рекомендуется исключить использование режима автоматического входа пользователя в операционную систему при ее загрузке.
• Рекомендуется переименовать стандартную учетную запись Administrator.
• Должна быть отключена учетная запись для гостевого входа Guest.
• Исключить возможность удаленного управления, администрирования и модификации ОС и ее настроек, системного реестра, для всех, включая группу Administrators.
• Все неиспользуемые ресурсы системы необходимо отключить (протоколы, сервисы и т п.).
• Должно быть исключено или ограничено с учетом выбранной в организации политики безопасности использование пользователями сервиса Scheduler (планировщик задач). При использовании данного сервиса состав запускаемого программного обеспечения на АРМ согласовывается с администратором безопасности.
• Рекомендуется организовать затирание временных файлов и файлов подкачки, формируемых или модифицируемых в процессе работы СКЗИ. Если это невыполнимо, то ОС должна использоваться в однопользовательском режиме и на жесткий диск должны распространяться требования, предъявляемые к ключевым носителям.
• Должны быть установлены ограничения на доступ пользователей к системному реестру в соответствии с принятой в организации политикой безопасности, что реализуется при помощи ACL или установкой прав доступа при наличие NTFS.
• На все директории, содержащие системные файлы Windows и программы из комплекта СКЗИ, должны быть установлены права доступа, запрещающие запись всем пользователям, кроме Администратора (Administrator), Создателя/Владельца (Creator/Owner) и Системы (System).
• Должна быть исключена возможность создания аварийного дампа оперативной памяти, так как он может содержать криптографически опасную информацию.
• Рекомендуется обеспечить ведение журналов аудита в ОС, при этом она должна быть настроена на завершение работы при переполнении журналов.
• Рекомендуется произвести настройку параметров системного реестра в соответствии с эксплуатационной документацией на СКЗИ.

Рекомендуется разработать и применить политику назначения и смены паролей (для входа в ОС, BIOS, при шифровании на пароле и т д.), использовать фильтры паролей в соответствии со следующими правилами:

• длина пароля должна быть не менее 6 символов;
• в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
• пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии и т д.), а также общепринятые сокращения (USER, ADMIN, ALEX и т д.);
• при смене пароля новое значение должно отличаться от предыдущего не менее чем в 4-x позициях;
• личный пароль пользователь не имеет права сообщать никому;
• не допускается хранить записанные пароли в легкодоступных местах;
• периодичность смены пароля определяется принятой политикой безопасности, но не должна превышать 6 месяцев;
• указанная политика обязательна для всех учетных записей, зарегистрированных в ОС.

 5.5 Установка и настройка СКЗИ

Установка и настройка СКЗИ на АРМ должна выполняться в присутствии администратора, ответственного за работоспособность АРМ.

Установка СКЗИ на АРМ должна производиться только с дистрибутива, полученного по доверенному каналу.

Установка СКЗИ и первичная инициализация ключевой информации осуществляется в соответствии с эксплуатационной документацией на СКЗИ.

При установке ПО СКЗИ на АРМ должен быть обеспечен контроль целостности и достоверность дистрибутива СКЗИ.

Рекомендуется перед установкой произвести проверку ОС на отсутствие вредоносных программ с помощью антивирусных средств.

По завершении инициализации осуществляются настройка и контроль работоспособности ПО.

Запрещается вносить какие-либо изменения, не предусмотренные эксплуатационной документацией, в программное обеспечение СКЗИ.

5.6 Подключение АРМ к сетям общего пользования

При использовании СКЗИ на АРМ, подключенных к сетям общего пользования, должны быть предприняты дополнительные меры, исключающие возможность несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют СКЗИ, и к компонентам СКЗИ со стороны указанных сетей. В качестве такой меры рекомендуется установка и использование на АРМ средств межсетевого экранирования. Должен быть закрыт доступ ко всем неиспользуемым сетевым портам.

В случае подключения АРМ с установленным СКЗИ к общедоступным сетям передачи данных необходимо ограничить возможность открытия и исполнения файлов и скриптовых объектов (JavaScript, VBScript, ActiveX и т д.), полученных из сетей общего пользования, без проведения соответствующих проверок на предмет содержания в них программных закладок и вредоносных программ.

5.7 Обращение с ключевыми носителями

В организации должен быть определен и утвержден порядок учета, хранения и использования носителей ключевой информации с ключами ЭП и шифрования, который должен исключать возможность несанкционированного доступа к ним.

Для хранения ключевых носителей в помещениях должны устанавливаться надежные металлические хранилища (сейфы), оборудованные надежными запирающими устройствами.

Запрещается:

• Снимать несанкционированные администратором безопасности копии с ключевых носителей.
• Знакомить с содержанием ключевых носителей или передавать ключевые носители лицам, к ним не допущенным, а также выводить ключевую информацию на дисплей (монитор) АРМ или принтер.
• Устанавливать ключевой носитель в считывающее устройство ПЭВМ АРМ в режимах, не предусмотренных функционированием системы, а также устанавливать носитель в другие ПЭВМ.
• Использовать бывшие в работе ключевые носители для записи новой информации без предварительного уничтожения на них ключевой информации средствами СКЗИ.

5.8 Обращение с ключевой информацией

Владелец сертификата ключа проверки ЭП обязан:

• Хранить в тайне ключ ЭП (закрытый ключ).
• Не использовать для электронной подписи и шифрования ключи, если ему известно, что эти ключи используются или использовались ранее.
• Немедленно требовать приостановления действия сертификата ключа проверки ЭП при наличии оснований полагать, что тайна ключа ЭП (закрытого ключа) нарушена (произошла компрометация ключа).
• Обновлять сертификат ключа проверки ЭП в соответствии с установленным регламентом.

5.9 Учет и контроль

Действия, связанные с эксплуатацией СКЗИ, должны фиксироваться в «Журнале пользователя сети», который ведет лицо, ответственное за обеспечение информационной безопасности на АРМ. В журнал кроме этого записываются факты компрометации ключевых документов, нештатные ситуации, происходящие в системе и связанные с использованием СКЗИ, проведение регламентных работ, данные о полученных у администратора безопасности организации ключевых носителях, нештатных ситуациях, произошедших на АРМ, с установленным ПО СКЗИ.

В журнале может отражаться следующая информация:

• дата, время;
• запись о компрометации ключа;
• запись об изготовлении личного ключевого носителя пользователя, идентификатор носителя;
• запись об изготовлении копий личного ключевого носителя пользователя, идентификатор носителя;
• запись об изготовлении резервного ключевого носителя пользователя, идентификатор носителя;
• запись о получении сертификата ключа проверки ЭП, полный номер ключевого носителя, соответствующий сертификату;
• записи, отражающие выдачу на руки пользователям (ответственным исполнителям) и сдачу ими на хранение личных ключевых носителей, включая резервные ключевые носители;
• события, происходившие на АРМ пользователя с установленным ПО СКЗИ, с указанием причин и предпринятых действий.

Пользователь (либо администратор безопасности) должен периодически (не реже одного раза в два месяца) проводить контроль целостности и легальности установленных копий ПО на всех АРМ со встроенной СКЗИ с помощью программ контроля целостности, просматривать сообщения о событиях в журнале EventViewer операционной системы, а также проводить периодическое тестирование технических и программных средств защиты.

В случае обнаружения «посторонних» (не зарегистрированных) программ, нарушения целостности программного обеспечения либо выявления факта повреждения печатей на системных блоках работа на АРМ должна быть прекращена. По данному факту должно быть проведено служебное расследование комиссией, назначенной руководителем организации, где произошло нарушение, и организованы работы по анализу и ликвидации негативных последствий данного нарушения.

Рекомендуется организовать на АРМ систему аудита в соответствии с политикой безопасности, принятой в организации, с регулярным анализом результатов аудита.

6. Заключение

Настоящие правила составлены на основе:

• Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
• Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• приказа ФАПСИ от 13.06.2001 № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»;
• приказа ФСБ от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)».
• эксплуатационной документации на СКЗИ, которое используется в Системе.

Защита информации в корпоративных сетях – это комплекс мер по предотвращению утечки корпоративных данных, персональных данных (ПНд) сотрудников и клиентов, отражение атак на ресурсы компании. Современные методы защиты включают в себя идентификацию и аутентификацию, разграничение прав доступа и управление доступом к данным, криптографию и создание межсетевых экранов.

Защита информации в корпоративных системах требуется:

• для организаций и предприятий со сложной административно-территориальной структурой: банков, торговых сетей, государственных и транснациональных компаний, производственных комплексов;
• а также предприятий любого уровня, использующих облачные технологии, он-лайн кассы, IP-телефонию, Интернет-банки, системы электронного документооборота (ЭДО).

Организация процедур комплексной защиты корпоративной информации в сетях крупных компаний осложнена использованием оборудования разных поколений и разных производителей, различных баз данных, локальных сетей (LAN).

Что такое Интернет сегодня?.. Миллионы компьютеров, серверов, объединенных в одну большую глобальную сеть. В сети Интернет ежесекундно проходят терабайты информации: фотографии, файлы, личные сообщения, денежные транзакции и т.д. Если информация важная, то за нее можно получить деньги. А места, в которых можно быстро и без усилий заработать деньги привлекают злоумышленников.

И если на заре развития сети Интернет в 90-е годы обычное платежное банковское поручение можно было отправить по электронной почте незашифрованным письмом, то сегодня такое письмо может содержать информацию, изменённую злоумышленниками в корыстных целях. Да, совершенствуются методы защиты передачи информации, но и инструменты, которые применяют злоумышленники не стоят на месте.  Тем не менее методы атаки всегда остаются прежними, как и узкие места защиты.

Технологии защиты корпоративной информации

Система корпоративной защиты информации должна отражать любые типы атак:

• попытки взлома хакерами;
• несанкционированный доступ к конфиденциальным данным, в т.ч. ПНд;
• заражение вредоносным программным обеспечением (ПО): вирусами, троянскими программами, «червями»;
• загрузке и установке шпионских программ, рекламного софта;
• спаму, фишинг-атакам;
• взлому сайтов (CMS), корпоративных групп в социальных сетях.

При этом применяемые средства и технологии защиты корпоративных данных не должны препятствовать нормальному функционированию информационных систем (ИС) предприятия, включая доступность данных из ИС для авторизованных пользователей. В целом, система комплексной защиты корпоративных данных должна отвечать требованиям:

• доступности для авторизованных, идентифицированных пользователей;
• целостностью, т.е. полноты и достоверности возвращаемых на запрос сведений;
• конфиденциальностью – предоставлением данных согласно уровню доступа пользователя.

Технология защиты корпоративных данных подразумевает:

• использование межсетевых экранов (программных и аппаратных) – современные решения позволяют настраивать VPN, интегрироваться с антивирусами;
• установку антивирусной защиты с закрытием почтовых шлюзов, прокси-серверов (зачастую одновременно применяется 2–3 антивирусные программы с различными методами обнаружения вредоносного ПО);
• настройку систем обнаружения атак (IDS);
• создание единой консоли управления информационной безопасности.

Комплексная защита корпоративной информации

Современная система защиты корпоративных данных в сетях должна противодействовать случайным и преднамеренным атакам, внутренним и внешним источникам угрозы (направленным на данные, программы, аппаратуру, поддерживающую инфраструктуру).

Также не следует трактовать защиту корпоративных данных исключительно только как предотвращение несанкционированного доступа со стороны злоумышленников. Часто перед специалистами ставится задачи:

• при выборе оператора облачного сервиса, виртуального сервера (хостинг-провайдера) – отслеживать uptime сервера (объективно он не может быть равен 100%, однако для ответственных решений существует правило 4-х и ли 5-и девяток, т.е. доступности сервера в 99,99% или 99,999% времени), особенно если остановка его (сервера) работы может привести к серьезным потерям;
• устранение последствий технических сбоев, потерь данных в случае техногенных катастроф, случайного или умышленного нарушения правил эксплуатации информационной системы (ИС), при превышении расчетного числа запросов к БД, пропускной способности каналов связи и т.д.;
• устранения ошибок конфигурирования, топологии сети, отказов аппаратных или программных модулей, физического разрушения (износа) аппаратной части системы и т.п.

Однако настоящие проблемы являются, как правило, прозрачными и прогнозируемыми. В то время как попытки взлома, несанкционированного доступа потенциально более опасны, непредсказуемы.

Задача 1-я: защита корпоративных данных от атак

Самое узкое место в защите передачи информации – это белый IP адрес, через который передается и принимается информация. Большинство атак в сети Интернет направленно на выявление незащищенных портов на устройстве (далее Firewall (файрволл)), к которому привязан данный белый IP адрес.

Атакующий перебирает все популярные протоколы передачи информации (SSH, RDP, FTP, HTTP, SMTP и другие) и сканируя открытые порты устройства.

Найдя такие порты, злоумышленник начинает перебирать известные логины сотрудников организации и сопоставляя скомпрометированные пароли отправляя запросы на авторизацию на устройстве.

Как узнать логин пользователя организации? Все просто – это первая часть корпоративной электронной почты до символа @, вторая часть электронной почты после символа @ обычно является именем корпоративного домена. К примеру, ivanovii@domen.ru злоумышленник будет использовать при атаке следующим образом – domen.ruivanovii + пароли.

Где злоумышленники находят электронные адреса сотрудников? Везде:

• на сайте организации в разделах: контакты, закупки (тендера), вакансии и другие;
• на сайтах объявлений, hh.ru и подобных;
• покупают базы электронных адресов.

Задача 2-я: доступ к информации в корпоративных системах

Помимо защиты от атак извне необходим доступ к корпоративной информации организации сотрудников вне пределов периметра организации через сеть Интернет. Используя FTP-сервера, RDP подключение к рабочему компьютеру, мы просто упрощаем работу злоумышленника. Правильнее сегодня использовать VPN (Virtual Private Network) сети. Почему? RDP подключение использует для соединения один порт устройства, и если удаленных сотрудников 10, 20, 100 – то нужно открыть 10, 20, 100 портов на файрволле. В случае организации подключения через VPN – открытый порт будет один.

Задача 3: управление каналом Интернет при защите корпоративных данных

Чем больше сотрудников в организации, работающих в сети Интернет, тем больше нагрузка на основной канал. А ширина канала Интернет всегда ограничена, да и сотрудник организации должен работать, а не сидеть в социальных сетях, развлекательных, игровых сайтах. Для этого вырабатываем правила использования сети Интернет внутри организации – идет градация сотрудников. Например, можно назначить три вида доступа:

1. Обычный – ограниченный: запрещены доступы к социальным сетям, сайтам типа YouTube*, rutube, игровым и т.д.;
2. Привилегированный – неограниченный доступ к сети Интернет, но через специальную систему фильтр (о ней поговорим дальше);
3. Прямой доступ – доступ к сети интернет минуя все корпоративные системы защиты информации. Обычно такой доступ предоставляли системам дистанционного банковского обслуживания, системам корпоративной видеосвязи.

Большинство пользователей организации заходят на одни и те же сайты и каждый раз открывая одну и ту же страницу в Интернет создают дополнительную нагрузку на канал. В целях экономии трафика рекомендуется использовать прокси-сервер.

Задача 4: фильтрация трафика в корпоративных сетях

Пользователи через канал Интернет получают различную информацию – файлы, сообщения электронной почты и многое другое. Злоумышленник постарается прислать для взлома корпоративной сети вирус, троян, ссылку на фишинговый сайт.

Логично, что необходимо фильтровать весь входящий и исходящий в единой общей точке.

Задача 5: анализ данных

В организациях каждая служба (кадровая, служба безопасности и другие) хочет понимать, чем живет и дышит их сотрудник, какие сайты посещает.  К примеру, частое посещение сотрудником сайтов типа hh.ru будет означать, что сотрудник хочет поменять место работы, а если это ключевой сотрудник, то по определенным направления работы организации будет провал.

Необходимо знать, сколько времени сотрудник проводит в сети Интернет, отрываясь от основной работы. Поэтому работу сотрудника в сети Интернет необходимо тщательно анализировать.

Вышеперечисленные задачи всегда в определенный момент времени возникают перед службой ИТ и каждый начинает решать их по-своему. И если использовать разнообразные системы, то на их поддержку уйдет много времени и потребуется не один сотрудник.

 Но существуют комплексные решения управления и защиты интернет трафика, которые содержат в себе – программный файрвол, систему фильтрации трафика, интеграция с антивирусом для фильтрации входящего и исходящего трафика, прокси-сервер, VPN-сервер, систему обнаружения и предотвращения вторжений (IPS).

Самым удачным продуктом был Microsoft Forefront Threat Management Gateway. К сожалению, он перестал продаваться в 2012 году. Снятие его с продаж вызвало недоумение у всего ИТ-шного мира. Но это решение крупной компанию. Чем заменить и что использовать?

1. Kerio Control
2. iDeco
3. UserGate
4. CheckPoint
5. Sophos UTM
6. FORTIGATE

Наиболее доступными из решений являются Kerio, Ideco, UserGate. Решения Checkpoint, Sophos, Fortigate относятся к классу Enterprise. Большинство решений являются независимыми аппаратно-программными комплексами, что сказывается на их цене. Решения поддерживают интеграцию с большинством известных антивирусов, содержат мощный инструмент отчетности и анализа.

Следует понимать, что не существует ПО, которое обеспечивало бы 100% уровень защиты. Более того, пользователь (системный администратор) зачастую не может повлиять на уязвимости в конкретном продукте (иначе как отказаться от его использования). Поэтому при выборе инструментов защиты корпоративных данных следует использовать ПО, уязвимости которого либо не несут пользователю ощутимой угрозы, либо их реализация с точки зрения злоумышленника бесполезна.

На что обращать внимание при выборе таких систем:

• функционал;
• требования к аппаратной части;
• юзабилити (удобство использования);
• возможность анализировать https трафик;
• работа без агентов;
• интеграция с существующим в организации антивирусом;
• обязательно просмотрите встроенную отчетность. в случае Microsoft TMG докупалась лицензию на систему анализа логов – Internet Access Monitor;
• возможность резать канал интернет на полосы;
• на возможность решения поставленных перед вами задач.

Перед внедрением разверните тестовую версию продукта и протестируйте на ограниченном круге лояльных пользователей.

* — компания нарушает законы РФ.

Использование ненадёжных паролей и общих учётных записей при доступе к серверам, а также отсутствие у пользователей и администраторов централизованно управляемого доступа к сервисам размещённым в «облаке» — с этим может столкнуться бизнес любого масштаба, использующий гибридную инфраструктуру. Расскажем о том, как можно защитить серверы и устройства сотрудников, в том числе в территориально распределённых компаниях.

Современная гибридная ИТ-инфраструктура состоит из ряда неоднородных компонентов — систем, микросервисов, серверов и рабочих станций, — которые находятся как внутри защищённого контура, так и за его пределами. К первой группе компонентов относятся рабочие станции сотрудников, которые работают в офисе, и серверы в локальной (on-premise) инфраструктуре. Во вторую группу входят серверы в облачных инфраструктурах и корпоративные ноутбуки той части команды, что работает удалённо.

У такой инфраструктуры, безусловно, немало преимуществ. Низкие капитальные затраты на аренду облачных сервисов, возможность быстрого наращивания вычислительных мощностей, доступ к инновационным облачным инструментам — лишь некоторые из них. В сегодняшних реалиях востребованность гибридной ИТ-инфраструктуры растёт вместе с популярностью гибридного формата работы: многие предпочитают большую часть времени работать удалённо, лишь периодически посещая офис. Кроме того, компании стали намного чаще нанимать сотрудников из других регионов, что также повышает востребованность гибридной ИТ-инфраструктуры.

Гибридная ИТ-инфраструктура: есть нюансы

В условиях гибридной ИТ-инфраструктуры не всегда просто защитить доступ к корпоративным информационным системам, серверам и рабочим станциям. Во-первых, как правило, сотрудники используют для доступа и к корпоративному ноутбуку, и к рабочей станции всего лишь пароль — и не всегда надёжный. Его компрометация приводит к тому, что злоумышленник может получить доступ не только к устройству, на котором зачастую хранятся критически важные для бизнеса данные: одновременно компрометируются учётные записи в большом количестве информационных систем, с которыми работает пользователь. При этом, если мы говорим о ноутбуках, администратор не всегда может оперативно помочь сотруднику — иногда он просто не узнаёт о проблемах с безопасностью. К сожалению, ситуация, когда у администратора есть запись в базе инвентаризации, что устройство выдано, но нет полноценного и безопасного доступа к нему — не редкость. Во-вторых, часто для доступа администраторов к серверам в гибридных окружениях используются общие учётные записи (УЗ), так как персональные требуют значительных ресурсов на сопровождение. Это не самый безопасный подход: например, администратор может покинуть компанию, но сохранить данные учётной записи и, следовательно, доступ к серверам за пределами контролируемого периметра.

С учётом того что в дальнейшем удалённый формат работы с периодическими визитами в офис наверняка сохранит свою популярность, бизнесу крайне важно защитить доступ к серверам и рабочим станциям в условиях гибридной ИТ-инфраструктуры.

Какие подходы к защите доступа к серверам и рабочим станциям существуют?

Проблему с общими учётными записями в облачных инфраструктурах можно решить несколькими путями. Один из них — применение решения класса Privileged Access Management (PAM), которое позволяет фиксировать действия привилегированных пользователей, к которым относятся системные администраторы, и анализировать эти действия, что упрощает расследование возможных инцидентов. Однако такой контроль со стороны PAM-решения не всегда необходим в полном объёме. При этом сохраняется проблема выдачи персональных учётных записей для всех остальных элементов инфраструктуры помимо управляемых PAM-решением серверов. Второй путь — использовать решение класса Identity & Access Management (IAM), которое будет осуществлять централизованный контроль учётных записей. Система удостоверяет личности администраторов с использованием персональных УЗ для работы с каждым сервисом, а также, поскольку они являются привилегированными пользователями, обеспечивает для них надёжную многофакторную аутентификацию. Благодаря защите аутентификации всегда можно отключить администратора от доступа к серверу или системе. Ещё одним преимуществом является то, что решение IAM позволяет централизовать аутентификацию и контроль доступа применительно не только к серверам, но и к другим компонентам инфраструктуры — рабочим станциям, ноутбукам и информационным системам.

Чтобы защитить ноутбук сотрудника, необходимо взять под контроль аутентификацию в операционной системе и на корпоративных ресурсах. Это возможно с помощью IAM-решений с поддержкой аутентификации в операционных системах и на рабочих станциях. Администраторы получают контроль надо всеми корпоративными операционными системами в части аутентификации, в том числе могут обеспечить надзор за ноутбуками сотрудников за пределами защищённого периметра и корпоративного домена. В случае компрометации устройства сотрудника либо «дистанционного» увольнения последнего можно централизованно отключить ему доступ ко всем устройствам и ресурсам. Если, например, работник потерял ноутбук, злоумышленник не сможет попасть в систему без прохождения аутентификации под контролем сотрудника и администраторов. IAM-решения, предоставляющие возможности для автоматизации контроля доступа в связке с SIEM-системами и платформами Incident Response, позволяют автоматизировать реагирование на подозрительную активность, что даёт администраторам возможность максимально быстро принимать необходимые меры. Ещё один важный элемент защиты корпоративных устройств — использование многофакторной аутентификации. Поскольку ноутбук всегда находится в недоверенной среде, без неё вряд ли можно обойтись.

Что касается защиты рабочих станций, то в этом случае вопрос ограничения доступа к устройству не стоит. Важнее использовать многофакторную аутентификацию: даже если пароль будет скомпрометирован, злоумышленник, пусть даже внутренний, не сможет получить доступ к устройству сотрудника без участия последнего.

Важно, чтобы выбранное решение поддерживало работу с разными операционными системами. Сейчас мы видим, что в силу разных причин бизнес активно использует как Windows — для ноутбуков и рабочих станций, так и Linux — для серверов. На фоне импортозамещения многие компании рассматривают переход на ОС на базе Linux для рабочих станций пользователей, поэтому поддержка подключаемых модулей аутентификации (Pluggable Authentication Modules) в Linux и Unix (Linux PAM во всех Linux-системах, OpenPAM для Mac OS X) на сегодня является критически значимым требованием к IAM.

Выстраиваем защиту доступа к серверам и рабочим станциям: как это работает?

Описанные выше трудности актуальны для средних и крупных организаций, которые столкнулись с необходимостью перевода значительной части сотрудников на режим удалённой работы. Рассмотрим то, как с ними справиться, на конкретном примере.

Описание ситуации в компании: модернизация ИТ-инфраструктуры

Организация провела модернизацию инфраструктуры в связи с переводом большого числа сотрудников в режим удалённой работы. Теперь порядка 30 % информационных систем расположены в облаке, а значительная часть сотрудников — больше 70 % — работает с использованием корпоративных ноутбуков в режиме домашнего офиса. Штат территориально распределён: филиальная сеть компании представлена несколькими регионами, сотрудники находятся в разных городах. В компании все АРМ сотрудников в офисе и более 70 % ноутбуков работают под управлением ОС Windows, порядка 30 % ноутбуков — под управлением Linux-систем. В части серверной инфраструктуры используется более 10 виртуальных машин в локальном (on-premise) исполнении и порядка 40 виртуальных машин распределённых между тремя PaaS-провайдерами.

Проблемные задачи, с которыми столкнулась компания

По итогам модернизации инфраструктуры и перехода на гибридный режим работы ИТ- и ИБ-руководители компании столкнулись со следующими проблемами:

1. Для обеспечения интеграции расположенных в облаке информационных систем с локальными сервисами была организована синхронизация паролей на основе домена. Теперь компрометация паролей в домене, расположенном за пределами защищённого периметра организации, может привести к непредвиденным последствиям для всей инфраструктуры компании.

2. Корпоративные ноутбуки сотрудников, которые работают удалённо, оказались вне защищённого контура организации. Возросла угроза утечек информации и компрометации учётных записей. При этом администраторы не могут обеспечить контроль за доступом сотрудников к корпоративным устройствам.

3. Рабочие станции сотрудников в офисе также оказались недостаточно защищены: для входа требовался только пароль.

4. Администраторам требовались дополнительные инструменты, которые позволили бы оперативно решать возникающие на стороне пользователей вопросы, а также обеспечили бы безопасный доступ к устройствам и достаточный их контроль в части управления правилами аутентификации.

5. Облачные инфраструктуры не связаны между собой, а синхронизация локальных учётных записей из домена обеспечивается только для одной из PaaS-инфраструктур. Остальные инфраструктуры управлялись вручную, что было весьма затратно с точки зрения сопровождения и не позволяло ИБ-специалистам отслеживать доступ сотрудников ко критически важным элементам облачной инфраструктуры.

Использование «штатного» облачного решения для многофакторной аутентификации оказалось чрезмерно затратным, при этом оно позволяло защитить аутентификацию лишь для незначительного ряда систем — только вход в ОС на базе Windows и только компоненты расположенные в одном из используемых PaaS. Для всех остальных систем и элементов инфраструктуры, размещённых локально, этот механизм был негативно воспринят блоком ИБ, так как возникала зависимость всей внутренней инфраструктуры от сервиса размещённого в интернете.

Таким образом, перед компанией стояла цель: обеспечить информационную безопасность в условиях сложной и новой для себя гибридной инфраструктуры, решить описанные выше проблемы.

Достигаем цели: пять главных шагов

Основным решением стало внедрение единой корпоративной системы аутентификации локально (on-premise). В ходе работ компания использовала несколько инструментов:

1. При доступе ко внутренним информационным системам была обеспечена защита VPN (Cisco AnyConnect) при доступе к локальной инфраструктуре. Исходно аутентификация осуществлялась с использованием доменного пароля, поэтому с целью повышения безопасности VPN был подключён к системе аутентификации. В качестве второго фактора используется механизм OTP. Система позволяет тем сотрудникам, у которых не выполнена настройка приложения-аутентификатора, использовать в качестве запасного второго фактора одноразовый код, доставляемый посредством SMS. Для решения этой задачи была выполнена актуализация личных и корпоративных телефонных номеров для всех сотрудников. Для доставки SMS был выбран и подключён к системе аутентификации один из предлагаемых на рынке SMS-шлюзов с поддержкой HTTP для отправки сообщения. Далее планируется полный переход всех сотрудников на обязательную аутентификацию в VPN с использованием приложения-аутентификатора в качестве второго фактора.

2. С целью повышения контроля за «мобильной» инфраструктурой была проведена работа по подключению корпоративных ноутбуков к системе аутентификации. В комплекте внедряемой системы поставлялся набор компонентов Logon Providers, которые обеспечивали централизованную аутентификацию при входе в операционную систему. Как и в случае с VPN, в качестве второго фактора использовался код, который отправлялся сотруднику по SMS. Теперь пользователи Windows и Linux проходят двухфакторную аутентификацию: указывают логин и пароль, а затем вводят одноразовый SMS-код или подтверждают запрос на аутентификацию через мобильное приложение. В случае недоступности сети сотрудники могут аутентифицироваться по одноразовым кодам восстановления.

   Часть пользователей работали под доменными учётными записями, а часть — под локальными. Для централизованной доставки Logon Provider на доменные компьютеры под управлением Windows был использован механизм Group Policy от Microsoft Active Directory. Для компьютеров с локальными учётными записями установка производилась вручную администраторами. Доставка Logon Provider (в виде подключаемого модуля аутентификации) на ноутбуки и рабочие станции под управлением Linux обеспечивалась используемой в организации системой администрирования конфигурации Linux-инфраструктуры.

   Было важно, что Logon Provider корректно поддерживает работу с локальными учётными записями и с доменными УЗ из нескольких LDAP-каталогов для проверки паролей. Это позволило без проблем подключить филиалы со своей разрозненной инфраструктурой к единой системе аутентификации. Защита передачи данных между филиалами обеспечивалась VPN-соединением, при этом филиалы пользуются услугой аутентификации от системы размещённой в головном офисе.

3. Третье решение касалось компьютеров в офисе. В качестве фактора на автоматизированном рабочем месте использовалась аутентификация по сертификатам на токенах сотрудников. Для этого решение по аутентификации было интегрировано с системой управления PKI в части загрузки сертификатов пользователей.

4. Четвёртое решение касалось интеграции PaaS-инфраструктур с локальной системой аутентификации. Благодаря тому что все используемые провайдеры поддерживали удостоверение личности по протоколу SAML, было принято решение интегрировать их с локальной системой в части доступа администраторов и пользователей. За счёт этого удалось полностью отказаться от общих учётных записей и встроить доступ к управлению PaaS-инфраструктурой в общий процесс аутентификации.

5. Наконец, формируемые системой аутентификации ИБ-события стали направляться по протоколу Syslog в SIEM-систему для контроля со стороны администраторов.

Практические преимущества единой системы аутентификации

Сотрудники благодаря внедрённому решению смогли пользоваться единым набором факторов аутентификации для доступа как к рабочим станциям в офисе и носимым устройствам, так и к информационным системам компании.

Специалисты по ИБ получили не только контроль над инфраструктурой, но и возможность отслеживать попытки доступа ко всем её элементам в динамике и в рамках единой платформы аутентификации, а также анализировать статистику и использование ресурсов компании сотрудниками.

Администраторы получили возможность управлять доступами сотрудников в разрезе информационных систем, а также в рамках пользовательских устройств вне зависимости от их расположения — в защищённом периметре организации или за его пределами.

Также администраторам стало значительно проще сопровождать пользователей и сбрасывать их пароли. Каждый сотрудник смог самостоятельно управлять своими аутентификаторами и восстанавливать доступ к учётным записям. Участие администратора стало требоваться только в самых серьёзных случаях. Это помогло обеспечить бесперебойную удалённую работу сотрудников — в том числе из других регионов.

За счёт централизации аутентификации появилась возможность автоматизированного реагирования на инциденты. Это немаловажно для организаций, которые используют SIEM-решения, а также для тех, к кому предъявляются требования согласно федеральному закону о критической информационной инфраструктуре (КИИ).

Выводы

Реализованный проект показал важность своевременно принятого решения о внедрении системы аутентификации. Проект реализовывался параллельно с переводом части сотрудников на постоянную удалённую работу, что позволило значительно снизить сложность подготовки устройств пользователей.

Администраторы инфраструктуры получили инструмент для контроля всех доступов сотрудников к большинству критически важных компонентов. Для блокировки доступа работника ко всем системам, в том числе носимым корпоративным устройствам, теперь достаточно заблокировать его учётную запись в системе аутентификации.

Дмитрий Грудинин, системный архитектор компании «Аванпост»

Компания, понимающая ценность информации как актива, должна прилагать все усилия для обеспечения конфиденциальности данных. Ключевым звеном каждого процесса становятся участвующие в нем люди, сотрудники организации. Деятельность персонала по защите ИБ должны обеспечивать правила информационной безопасности на предприятии. Они различаются в зависимости от того, идет речь об офисе или о производстве. Специальные правила требуется вводить для обеспечения безопасности при работе на удаленном доступе.

Необходимость внедрения правил информационной безопасности

Киберугрозы стали привычной частью окружающего мира, каждый день СМИ приносят сообщения о хакерских атаках и сбоях в работе банков или почтовых серверов. Степень реальной опасности отдельный сотрудник компании мало представляет, пока не столкнется с тем, что утекли охраняемые персональные данные или конкуренты при помощи DDoS-атаки остановили работу прибыльного интернет-магазина. Данные утекают у таких мировых гигантов информационной индустрии, как IBM, Yahoo!, Uber, Amazon, Equifax вне зависимости от уровня защищенности их информационных систем. Часто в этом виноваты китайские хакеры или транснациональные хакерские группировки. Российскому бизнесу, чьи объекты не относятся к критически важным для информационной инфраструктуры страны, не стоит опасаться именно их, но и национальные группировки способны доставить немало неприятностей. Но наибольший риск несет несанкционированный доступ к данным со стороны сотрудников, часто не представляющих реальной ценности сознательно передаваемой или случайно уничтожаемой ими информации.

Тщательная разработка правил информационной безопасности для офиса и производства частично способны снизить степень риска. Обучение сотрудников основам ИБ проводят даже на АЭС, где персонал априори должен быть подготовлен к неожиданностям. Все это говорит о первоочередной необходимости информирования сотрудников и регламентации их поведения при работе с защищаемыми информационными массивами и объектами сетевой инфраструктуры.

Правила ИБ в офисе

Правила информационной безопасности для офиса не самые сложные, но степень ответственности сотрудников не всегда гарантирует их безусловное выполнение. Это значит, что внедрение правил должно сопровождаться мотивационными мерами, стимулирующими их выполнение, и депремированием, дисциплинарной ответственностью в случае невыполнения.

Информирование

Первым правилом ИБ в офисе должно стать информирование сотрудников. Инсайдерские утечки данных не менее опасны, чем внешние нападения. Менеджеры по продажам, увольняясь, уносят с собой базы данных клиентов, а сотрудники мобильных операторов с легкостью торгуют детализацией телефонных разговоров абонентов. О размере риска говорит объем рынка даркнета, измеряемый сотнями миллионов долларов в год только для российских ресурсов. Известный российский рынок торговли краденой информацией, Hydra, даже собирался провести ICO.

Всем пользователям корпоративной системы должны быть известны простые правила безопасности:

• использовать и периодически менять сложные пароли, никогда не передавать средства идентификации – пароль и логин – другим сотрудникам;
• не хранить в «облаках» конфиденциальную информацию, даже если нужно поработать с годовым отчетом из дома;
• уничтожать ненужные документы в шредере;
• не передавать информацию без официального запроса;
• не смешивать корпоративную и личную почту;
• архивировать важные файлы;
• блокировать компьютер перед уходом с рабочего места;
• уметь распознавать фишинговые письма;
• ознакомиться с практиками социальной инженерии и не поддаваться им.

Тестирование в игровой форме на знание правил информационной безопасности на предприятии позволит превратить теоретические сведения в сложившиеся навыки. Вторым важным способом поддержания необходимого уровня информационной безопасности в офисе станет контроль доступа.

Контроль доступа

Это решение реализуется на физическом, аппаратном и программном уровнях. Действует правило: никто не должен иметь больше привилегий, чем допускается его должностной инструкцией. Юристу не нужен доступ к бухгалтерским программам, а программисту – к чату руководства. Системные администраторы должны реализовать дифференцированную модель доступа, назначив каждому пользователю и группе пользователей роль, при которой доступными ему окажутся только определенные файлы и ресурсы. То же относится к правам администраторов.

Комплексный подход

Это правило должно стать незыблемым для системных администраторов и разработчиков структур информационной безопасности. Невозможно устранять уязвимости и недочеты частичными решениями, латая прорехи одну за другой до тех пор, пока администрирование системы станет невозможным. Необходимо с самого начала выстраивать ИБ как единую с систему с учетом возможностей ее роста и прогнозированием направлений дальнейшего развития. Система должна включать единый комплекс организационных, технических и программных средств и контролироваться как единое целое.

Правила ИБ при работе на удаленном доступе к сети

Самостоятельной проблемой становится регламентация работы сотрудников на удаленном доступе. Современному бизнесу присуще стремление к минимизации затрат, на компанию могут работать сотни разработчиков и программистов, находящихся в разных странах и на одной виртуальной площадке занимающихся разработкой программного обеспечения. Такое размывание периметра информационной безопасности очень опасно, так как конкуренты всерьез заинтересованы в несанкционированном доступе к новым разработкам.

В 2016 году на выставке Mobile World Congress разработчик антивируса с открытым кодом Avast провела небольшой эксперимент, создав три открытые точки подключения Wi-Fi со знакомыми именами Starbucks, MWC Free WiFi и Airport_Free_Wifi_AENA. К ним подключилось 2 000 человек, декларирующих себя профессионалами в сфере информационных технологий. По завершении выставки был проведен доклад, из которого следовало, что авторам схемы удалось получить данные о трафике всех подключившихся, а 63 % раскрыли свои логины, пароли, адреса электронной почты. Это говорит о том, что удаленное подключение через общедоступную Сеть редко бывает безопасным.

Во многих компаниях даже штатные сотрудники зачастую работают на удаленном доступе, находясь в командировке или в отпуске. 

Существуют правила, позволяющие сделать такие удаленные рабочие отношения максимально безопасными:

• исключить возможность использования удаленными сотрудниками для подсоединения к корпоративной сети открытых Wi-Fi-сетей, в которых возможен перехват трафика;
• домашние сети сотрудников должны быть защищены паролями и шифрованием как минимум уровня WPA2. В компании необходимо разработать правила информационной безопасности для удаленных сотрудников для защиты домашних сетей;
• подключение для мобильных устройств к корпоративной сети должно происходить только по каналам VPN. Компании желательно самой выбрать надежного поставщика услуг VPN и обеспечить сотрудникам на удаленном доступе возможность работать с этим сервисом;
• для работы необходимо иметь отдельное мобильное устройство и не смешивать частную и корпоративную информацию, система ИБ компании должна предусматривать меры защиты таких удаленных устройств;
• сведения о работе на удаленном доступе не должны публиковаться в социальных сетях, чтобы не вызвать интерес злоумышленников. Устное и письменное разглашение конфиденциальных данных недопустимо;
• пароли на ресурсах, связанных с работой на удаленном доступе, необходимо регулярно менять;
• плагины и программное обеспечение, содержащие известные хакерам уязвимости (например, Adobe Flash, Acrobat Reader, Java и другие), должны регулярно обновляться;
• компьютер и мобильные устройства нужно защищать паролем даже дома, чтобы гость или ремонтный рабочий не смогли похитить или случайно повредить данные.

Эти правила необходимо оговаривать с каждым работником на удаленном доступе на первом этапе сотрудничества. От компании требуется организовать собственную систему мер, позволяющую обезопасить работу с любым сотрудником на удаленном доступе, штатным или внештатным:

• внедрить механизм аутентификации пользователей (пароли, аппаратные средства-токены, биометрические данные);
• организовать единую систему управления доступом (централизованное управление доступом к IT-ресурсам компании);
• системно использовать средство организации собственных протоколов VPN (аппаратные устройства, программные решения, расширения брандмауэра);
• внедрить средства противостояния атакам (защита внутренней сети и сотрудников от атак).

Программа защиты удаленного доступа актуальна и для информационной безопасности на производстве, где многие объекты управляются по каналам беспроводной связи.

ИБ на производстве

Правила информационной безопасности приобретают особую актуальность, когда касаются производства и автоматизированных систем управления (АСУ ТП). Системы управления отвечают за работу таких объектов, как домны, прокатные станы, гидроэлектростанции. Любое внешнее вмешательство в их информационную инфраструктуру способно вызвать аварии и человеческие жертвы. Поэтому требования к ИБ АСУ строятся на собственных принципах, отличных от принципов управления информационными системами в общем. Угрозы таким системам могут исходить от террористических группировок, в том числе исламской направленности. Прямого корыстного интереса у обычных хакеров к ним не возникает. Такие системы часто поражаются специально созданными вирусами, направленными на вывод из строя объектов промышленной инфраструктуры и использующих уязвимости в классических информационных системах. 

АСУ ТП требует наивысшей степени защиты в тех отраслях, аварии в которых способны причинить ущерб наибольшему количеству людей и имущества:

• электроэнергетика;
• предприятия топливно-энергетического комплекса;
• транспорт;
• металлургия;
• машиностроение.

Основной проблемой создания системы ИБ становится то, что использование современных программных решений может навредить общей надежности системы, поэтому часто основной задачей становится максимальное ограждение АСУ от контактов с внешним миром по любым типам подключений, в том числе установка межсетевых экранов и создание демилитаризованных зон на границах с офисными сетями.

В 2015 году в Германии было совершено нападение на систему управления сталелитейным бизнесом. Доменная печь была выведена из строя, компания надолго встало из-за того, что хакерам удалось заразить вредоносным ПО офисную сеть. На Украине хакеры проникли в локальную сеть и удалили данные с жестких дисков на рабочих станциях и SCADA-серверах и изменили настройки источников бесперебойного питания, что оставило без электроэнергии более 200 000 человек.

Регламенты создания системы информационной безопасности АСУ ИП утверждены в виде международных стандартов и российских ГОСТов. В качестве одного из основополагающих документов эту сферу регулирует Приказ ФСТЭК РФ № 31. 

При разработке правил информационной безопасности промышленного производства применительно к АСУ надо учитывать, что система имеет три уровня управления:

• уровень операторского (диспетчерского) управления (верхний уровень);
• уровень автоматического управления (средний уровень);
• уровень ввода (вывода) данных исполнительных устройств (нижний (полевой) уровень).

Объектами защиты для АСУ, согласно нормам Приказа № 31, являются:

• информация (данные) о параметрах (состоянии) управляемого (контролируемого) объекта или процесса (входная (выходная) информация, управляющая (командная) информация, контрольно-измерительная информация, иная критически важная (технологическая) информация);
• программно-технический комплекс, включающий технические средства (автоматизированные рабочие места, промышленные серверы, телекоммуникационное оборудование, каналы связи, программируемые логические контроллеры, исполнительные устройства), программное обеспечение (в том числе микропрограммное, общесистемное, прикладное), а также средства защиты информации.

Защита этих объектов возможна только на основе комплексного подхода, предусматривающего:

• систематический аудит степени АСУ ТП путем интервьюирования специалистов организации, изучения проектной документации, анализа структуры и архитектуры информационных систем;
• организацию технического анализа защищенности для нахождения уязвимостей при помощи программ-сканеров;
• ручной и программный анализ рисков;
• выявление и мониторинг новых типов угроз, представляющих опасность для функционирования объекта.

Стандартная архитектура АСУ ТП обычно не предполагает наличия большого количества ресурсов для размещения программ, отвечающих за безопасность. Предполагается использование только двух типов – систем мониторинга активности и обнаружения угроз и систем предотвращения угроз, подразумевающих управление доступом.

Системы мониторинга активности и обнаружения угроз

Наибольшие риски для АСУ ТП несут сотрудники-инсайдеры, допущенные к управлению и использующие съемные устройства, которые могут быть заражены вирусом. Но если система подключена к офисной, возможны внешние риски. Системы мониторинга ограничены в функционале, они не допущены к процессам управления АСУ ТП и не могут блокировать действия пользователей. Они способны только отслеживать всплески подозрительной активности и уведомлять о них по заданному алгоритму. Их функции:

• обнаружение внешних атак и аномалий в поведении элементов сети;
• мониторинг инцидентов информационной безопасности;
• пассивный анализ уязвимостей;
• анализ конфигураций оборудования, правил доступа сетевого оборудования;
• контроль целостности данных и программного обеспечения.

Системы анализируют сетевые потоки, выявляют аномалии и неизвестные IP-адреса, атаки на не запротоколированные ранее уязвимости.

Системы предотвращения угроз

Эти программные средства носят проактивный характер: они не только информируют, но и действуют. В основном они управляют доступом пользователей, имея полномочия на блокировку неавторизованных действий. В случае неопределенной трансакции они вправе запросить ее авторизацию у руководителя более высокого уровня и в его отсутствие блокируют операцию.

Ответственность за нарушение правил ИБ

Компания может применять к сотруднику за нарушение правил информационной безопасности меры дисциплинарной ответственности. Это замечание, выговор, иногда увольнение. Серьезным стимулом скрупулезно выполнять правила является депремирование. Решение о привлечении к ответственности принимает руководитель организации по представлению непосредственного начальника виновника. При выборе меры ответственности нужно предполагать, что нарушения правил информационной безопасности могут носить пассивный и активный характер.

Пассивные:

• получение информации нарушителем для использования в своих целях;
• анализ характеристик информации без доступа к самой информации.

Активные:

• изменение информации;
• внесение ложной информации;
• нарушение (разрушение) информации;
• нарушение работоспособности системы обработки информации.

Активные нарушения несут больше опасности для бизнеса и говорят о более высокой степени вины нарушителя, они должны наказываться строже. Иногда от мер корпоративной ответственности приходится переходить к гражданско-правовой, подав на нарушителя в суд с требованием о возмещении ущерба или заявление в правоохранительные органы о возбуждении уголовного дела. Утрата или намеренное разглашение конфиденциальной информации могут стать основанием для взыскания с виновника ущерба, и его размер может достигать миллионов рублей.

Целесообразным решением становится периодическое проведение проверок подразделений компании с целью определения степени выполнения правил безопасности всеми пользователями – от наладчика оборудования до генерального директора. Менеджеры чаще пренебрегают правилами, именно поэтому они являются основными источниками угроз. Результаты проверки могут стать основой для служебных расследований или переаттестации по профессиональной пригодности, поэтому они имеют дополнительный дисциплинирующий характер.

Вне зависимости от того, в каких условиях работают правила информационной безопасности предприятия, они должны соблюдаться неукоснительно. Только это приведет к тому уровню ИБ, который позволит избежать ущерба и аварий.

06.02.2020