Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления

Приказ ФСТЭК России № 31 от 14.03.2014

ЗИС

Для проведения оценки соответствия по документу войдите в систему.
ЗИС.5 Организация демилитаризованной зоны
Обязательно для класса защищенности К1 К2 К3
ЗИС.6 Управление сетевыми потоками
Необязательное требование
ЗИС.9 Создание гетерогенной среды
Необязательное требование
ЗИС.13 Защита неизменяемых данных
Обязательно для класса защищенности К1 К2
ЗИС.16 Защита от спама
Обязательно для класса защищенности К1 К2
ЗИС.17 Защита информации от утечек
Необязательное требование
ЗИС.19 Защита информации при ее передаче по каналам связи
Обязательно для класса защищенности К1 К2 К3
ЗИС.20 Обеспечение доверенных канала, маршрута
Обязательно для класса защищенности К1 К2 К3
ЗИС.23 Контроль использования мобильного кода
Обязательно для класса защищенности К1 К2
ЗИС.24 Контроль передачи речевой информации
Обязательно для класса защищенности К1 К2
ЗИС.25 Контроль передачи видеоинформации
Обязательно для класса защищенности К1 К2
ЗИС.27 Обеспечение подлинности сетевых соединений
Обязательно для класса защищенности К1 К2
ЗИС.28 Исключение возможности отрицания отправки информации
Обязательно для класса защищенности К1 К2
ЗИС.29 Исключение возможности отрицания получения информации
Обязательно для класса защищенности К1 К2
ЗИС.31 Защита от скрытых каналов передачи информации
Обязательно для класса защищенности К1
ЗИС.32 Защита беспроводных соединений
Обязательно для класса защищенности К1 К2 К3
ЗИС.33 Исключение доступа через общие ресурсы
Обязательно для класса защищенности К1
ЗИС.34 Защита от угроз отказа в обслуживании (DOS, DDOS-атак)
Обязательно для класса защищенности К1 К2 К3
ЗИС.35 Управление сетевыми соединениями
Обязательно для класса защищенности К1 К2
ЗИС.38 Защита информации при использовании мобильных устройств
Обязательно для класса защищенности К1 К2 К3

Связанные защитные меры

Название Дата Влияние
Community
9 25 / 62
Выделение ключевых систем в отдельную сеть (сегментация сети)
Разово Вручную Техническая Превентивная
03.05.2022
03.05.2022 9 25 / 62
Цель: защита ключевых активов от несанкционированного доступа на сетевом уровне.

Размещение ключевых систем в отдельных безопасных зонах / контурах безопасности и ограничение доступа в эти выделенные сегменты позволяет защитить наиболее критичные системы в случае компрометации основных сегментов сети компании.
В зависимости от особенностей компании в отдельные сегменты выделяют:
  • Технологические, производственные сети
  • Банковские системы
  • Инфраструктуру SWIFT
  • ПК руководства
  • Ключевые бизнес-системы
  • Системы персональных данных
Способы сегментации: 
  • Логический, с помощью технологий VLAN на сетевом оборудовании
  • Логический, на уровне управления виртуальной инфраструктурой
  • Физический, путем создания отдельных ЛВС для ключевых сегментов
Сегментирование предполагает ограничение/контроль доступа между сегментами на базовом уровне. Использование расширенного контроля средствами межсетевого экранирования выделено в отдельную защитную меру.

Рекомендации к заполнению карточки:
  • Указать перечень сегментов и их назначение 
  • Пояснить способы/технологии сегментации
  • Описать как настроено ограничение доступа (ACL)
  • Если сети учитываются в реестре активов - привязать их к карточке в качестве инструментов (тип актива Локальная сеть).
Community
1 5 / 17
Блокировка обращений по черному списку рефереров средствами NGINX
Разово Техническая Превентивная Компенсирующая
09.03.2022
09.03.2022 1 5 / 17
Цель: снизить нагрузку на веб сервер заблокировав мусорные и спам обращения.
Реализация через конфигурацию NGINX.
1. Берем готовый файл конфигурации со списком плохих рефереров отсюда:
Примечание: Необходимо загрузить проект через git, либо в виде архива, затем использовать из него файл referral-spam.conf
Так стоит сделать, чтобы не сбилась оригинальная кодировка файла, т.к. там встречаются UTF-8 символы в названиях доменов.

2. Дополняем черный список по рекомендациям НКЦКИ
Источник: https://safe-surf.ru/specialists/news/676114/ 

3. Далее преобразуем список плохих рефереров в регулярные выражения, как это сделано в файле referral-spam.conf. Он получится таким:
# ukraine
"~*cyber\-yuzh\.com" 1;
"~*ukraine\.is\-great\.org" 1;
"~*stop\-russia\.rf\.gd" 1;
"~*stop\-russia\.synergize\.co" 1;
"~*fuck\-desinformation\.netlify\.app" 1;
"~*stop\-\-russian\-\-desinformation\-near\-page\.translate\.goog" 1;
"~*stop\-russian\-desinformation\.near\.page" 1;
"~*stop\-russia\.great\-site\.net" 1;
"~*the\-list\.ams3\.cdn\.digitaloceanspaces\.com" 1;
"~*slavaukraini\.000webhostapp\.com" 1;
"~*the\-list\.ams3\.cdn\.digitaloceanspaces\.com" 1;
"~*stop\-russian\-desinformation\.near\.page" 1;
"~*fly\.freecluster\.eu" 1;
"~*ovh1\.vanagas\.tech" 1;
"~*freeanon\.xyz" 1;
"~*mwl\.vdl\.pl" 1;
"~*norussian\.tk" 1;
"~*dstat\.sorryy\.me" 1;
"~*jebacruskich\.page" 1;
"~*81g6bk\.csb\.app" 1;
"~*vug\.pl" 1;
"~*kaszaniok\.github\.io" 1;
"~*dildouslugi\.ga" 1;
Примечание: список на сайте НКЦКИ обновляется, следует брать список от туда.
Дополняем общий список нашим списком и сохраняем файл referral-spam.conf.

Добавить referral-spam.conf в /etc/nginx и включить его глобально в /etc/nginx/nginx.conf:

http {
    include referral-spam.conf;
}

Добавить следующие параметры в файлы конфигураций всех сайтов /etc/nginx/site-available/your-site.conf которые требуют защиты:

server {
    if ($bad_referer) {
        return 444;
    }
}

Т.е. кладем файл referral-spam.conf в папку /etc/nginx, подключаем его в файле /etc/nginx/nginx.conf. Далее в блоке server каждого сайта, который требуется защитить, добавляем возврат кода 444 при условии определения переменной $bad_referer.

Рекомендации к заполнению карточки:
  • Создать шаблон регулярной задачи на актуализацию черного списка рефереров 
Community
1 8 / 22
Блокировка аудио и видео каналов при удаленном подключении к ОС Windows по RDP
Разово Автоматически Техническая Превентивная
16.02.2022
16.02.2022 1 8 / 22
Цель: ограничение каналов утечки информации по аудиовизуальным каналам.

1. Запрет пользователям производить звукозапись при подключении к удаленному рабочему столу.
По умолчанию пользователи могут осуществлять запись звука на удаленном компьютере в сеансе служб удаленных рабочих столов.
Пользователи могут настроить запись звука на удаленном компьютере с помощью параметров удаленного звука на вкладке «Локальные ресурсы» в диалоговом окне «Подключение к удаленному рабочему столу». Пользователи могут записывать звук, используя входное аудиоустройство на локальном компьютере, например встроенный микрофон.

Настройка с помощью групповой политики: 
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Перенаправление устройств и ресурсов.
Параметр: Разрешить перенаправление звукозаписи.
Значение: Отключен

2. Запрет пользователям перенаправлять воспроизведение звука и видео при подключении к удаленному рабочему столу.

Настройка с помощью групповой политики: 
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Перенаправление устройств и ресурсов.
Параметр: Разрешить перенаправление воспроизведения звука и видео.
Значение: Отключен

Рекомендации к заполнению карточки:
Community
1 9 / 72
Блокировка доступа к несанкционированным сетевым папкам в локальной сети
Постоянно Автоматически Техническая Превентивная
12.11.2021
12.11.2021 1 9 / 72
Цель: 
  • сокращение каналов утечки информации
  • уменьшение возможностей для горизонтального перемещения в локальной сети;
  • снизить возможность загрузки ВПО с несанкционированной общей сетевой папки SMB;
  • противодействие атакам на перехват сессии и кражу паролей (SCF File Attacks).
На уровне источника (ПК и серверы) нужно ограничить исходящие соединения к сетевым папкам (SMB shared folder), оставив доступ только к списку легитимных сетевых папок.
Варианты реализации:
  • Локальный межсетевой экран
  • DLP с функцией контроля SMB протокола, например КИБ SearchInform
Общий алгоритм действий
  1. Определить перечень легальных SMB шар и узлов, к которым необходимо подключаться по SMB
  2. Настроить белый список на локальных СЗИ
  3. Включить блокировку 
Важно: SMB один из ключевых протоколов для локального взаимодействия в доменной инфраструктуре. Перед включением блокировки необходимо провести тщательный аудит всех информационных потоков по протоколу SMB.

Рекомендации к заполнению карточки:
  • Описать в карточке общую политику в отношении сетевых файловых ресурсов,
  • Средство защиты, которым осуществляется блокировка, присоединить к карточке как Инструмент,
  • Добавить Инструкцию (например, в заметках к мере) по добавлению/исключению каталогов из доступа 
  • Если ведется учет (реестр) сетевых файловых ресурсов - вести его в разделе Объекты файловой системы \ Файлы и папки 
  • Создать шаблон регулярной задачи на актуализацию списка общих сетевых папок и прав.
Community
3 11 / 68
Выделение периферийного оборудования и IP телефонов в отдельную сеть (сегментация сети)
Разово Вручную Техническая
29.07.2021
29.07.2021 3 11 / 68
Цель: защита ключевых активов от несанкционированного доступа на сетевом уровне со стороны периферийного оборудования и IP телефонов.
 
К периферийному оборудованию могут относятся принтеры, сканеры, IP телефоны и иные устройства подключаемые к локальной сети компании.
Обязательным условием сегментации является ограничение доступа в выделенный сегмент и из него.
Пример политики ограничения доступа к сегменту периферийного оборудования:
  • доступом к выделенному сегменту могут обладать только серверы управления (сервер IP телефонии, сервер печати). 
  • Доступ из выделенного сегмента возможен также только к серверам управления. Доступ к локальным сетям с рабочими станциями и доступ в интернет заблокированы.
Часто мера в части ограничения доступа сложно реализуема. Например если подключение рабочих станций к принтерам осуществляется по сети напрямую а не через сервер печати. Или если IP телефон подключен в одну сетевую розетку с рабочей станцией. В таких случаях следует настроить более широкие права доступа к сегменту и из него.
Реализация: настройкой сетевого оборудования (VLAN).
После реализации защитной меры следует внедрить меру по регулярному поиску периферийных устройств в локальных сетях, с целью их переноса в выделенный сегмент.

Рекомендации к заполнению карточки:
  • Указать перечень сегментов и их назначение 
  • Описать способы/технологии сегментации
  • Описать как настроено ограничение доступа (ACL)
  • Если сети учитываются в реестре активов - привязать их к карточке в качестве инструментов (тип актива Локальная сеть).