Советы Центра интернет-безопасности по улучшению защищенности организации

Существует некоммерческая организация CIS (Центр интернет-безопасности), разрабатывающая рекомендации, позволяющие компаниям совершенствовать свои системы безопасности. Перечислим некоторые советы по обеспечению информационной безопасности:

• Распределите информацию в сети между разными ее сегментами, настройте между ними сетевые экраны и уровни доступа пользователей;
• Используйте шифрование в средствах коммуникаций;
• Шифруйте информацию в системе в связке с дополнительной авторизацией, не встроенной в систему;
• Ведите журнал аудита доступа к информации конфиденциального характера;
• Бэкапы должны храниться на отдельных системах;
• Используйте шифрование уровня AES (как минимум) и защиту не ниже WPA2;
• Обеспечьте защиту учетных записей, используя протокол EAP/TLS;
• Организуйте отдельный VLAN для BYOD (Bring your own device) и прочих ненадежный устройств;
• Проверьте и установите сроки истечения действия для учетных записей;
• Настройте блокировку экрана для систем, которые не обслуживаются;
• Следите за неактивными аккаунтами и отключайте ни за кем незакрепленные;
• Настройте блокировку учетной записи после определенного числа неудачных попыток авторизации;
• Используйте многофакторную авторизацию для учетных записей, имеющих доступ к конфиденциальным данным;
• Настройте шифрование файлов авторизации и убедитесь, что информация про авторизацию передается по зашифрованным каналам связи;
• Обучите персонал необходимым навыкам по информационной безопасности и обеспечьте контроль выполнения установленных норм;
• Следите за обновлениями в программном обеспечении и устанавливайте свежие обновления и патчи;
• Отключите показ сообщений об ошибках обычным пользователям;
• Защитите сетевыми экранами веб-приложения;
• Определите ответственных лиц по обработке инцидентов и организуйте процесс принятие решений;
• Стандартизируйте механизмы по информированию об инцидентах;
• Организуйте публикацию по выявленным инцидентам внутри компании;
• Периодически проводите тесты на проникновение ваших систем.

Это всего-лишь краткий список основных советов в организации безопасности вашей IT-инфраструктуры. Комбинируя их и модифицируя под вашу организацию, вы можете добиться повышения уровня защищенности и целостности конфиденциальных данных