1. Определить перечень публичных (внешних) IPv4/v6-адресов,
зарегистрированных за органом (организацией) в базе данных RIPE или
полученных от провайдера сети «Интернет» и/или провайдера облачных услуг,
а также перечень доменных имен, которые используются для обеспечения
функционирования информационной инфраструктуры (информационные системы,
веб-сервисы) субъекта критической информационной инфраструктуры.
Исходными данными для определения публичных (внешних) IP-адресов,
доменных имен являются:
составленный и поддерживаемый в актуальном состоянии план сетей
(карта сети при наличии);
конфигурационные файлы пограничного оборудования (таблица
маршрутизации, правила трансляции адресов, запущенные сервисы и ACL сетевого
оборудования);
DNS-записи;
договор с провайдером.
2. В случае аренды публичных (внешних) IP-адресов необходимо запросить
у оператора связи, с которым заключен договор на оказание услуг связи, перечень
таких IP-адресов.
3. Выявить перечень сервисов (служб), функционирующих
в информационной инфраструктуре субъекта критической информационной
инфраструктуры, которые в перечне публичных (внешних) IP-адресов доступны
из сети «Интернет».
4. Определить легитимность доступных по открытым портам сервисов,
IP-адресов, сетевых служб, доступ к которым возможен за периметром
информационной инфраструктуры субъекта критической информационной
инфраструктуры. В случае невозможности отнесения таких сервисов
к легитимным, необходимо осуществить их блокировку.
5. В случае их легитимности организовать доступ к таким IP-адресам,
сервисам, сетевым службам с использованием средств межсетевого экранирования
уровня границы сети. В случае отсутствия средств межсетевого экранирования
границы сети – на уровне хоста.
6. Провести сканирование на наличие уязвимостей в сервисах (службах),
размещаемых на таких IP-адресах с использованием средств анализа
защищенности (сканеры уязвимостей). Принять исчерпывающие меры
по устранению критических уязвимостей, выявленных в ходе сканирования.
Доступ к таким сервисам необходимо организовать с использованием
средств межсетевого экранирования уровня веб-приложений.
7. Публикация новых сервисов, сетевых служб должна осуществляться
по согласованию с лицом, ответственным за обеспечение информационной
безопасности в субъекте критической информационной инфраструктуры.
8. Обеспечить доступ к внутренним сервисам субъекта критической
информационной инфраструктуры посредством виртуальных частных сетей (VPN)
с использованием двухфакторной аутентификации.
9. При реализации удаленного доступа работников к информационной
инфраструктуре субъекта критической информационной инфраструктуры
необходимо обеспечить регистрацию следующих событий безопасности:
успешные и неуспешные попытки авторизации;
успешные и неуспешные попытки доступа;
изменения конфигурации;
запуск и завершение приложений, служб, процессов как со стороны
пользователей, так и со стороны администраторов;
действия администраторов;
использование системных правил;
использование системных учетных записей;
создание и удаление системных объектов;
импорт и экспорт данных;
сетевые сбои, ошибки подключений.
10. Обеспечить постоянный мониторинг действий сотрудников,
подключенных к информационной инфраструктуре субъекта критической
информационной инфраструктуры удаленно, с использованием систем
мониторинга информационной безопасности.