Best Practice: Online Trust Alliance-Передовой опыт в области укрепления безопасности и защиты неприкосновенности частной жизни

ONLINE TRUST ALLIANCE

Передовой опыт в области укрепления безопасности и защиты неприкосновенности частной жизни

Для того, чтобы завоевать доверие потребителей и защитить репутацию своего бренда, организациям, действующим на рынке, следует обратить внимание на три основополагающие вопросы онлайн-безопасности: 1) Безопасность; 2) Защита неприкосновенности частной жизни; 3) Защита торговой марки (бренда). Те организации, которые предусматривают комплексное решение этих трех вопросов, оказываются наиболее подготовленными к тому, чтобы предохранить себя самих и своих клиентов от неприятных инцидентов. В ситуации резкого роста киберпреступности и хакерства применение адекватных контрольных мер и использование передового опыта становится насущной необходимостью.

Online Trust Alliance (далее — OTA) проанализировал примерно 500 взломов компьютерных систем, о которых сообщалось в 2014 году, и пришел к выводу, что 90% из них можно было бы избежать в случае применения элементарных мер безопасности и использования передового опыта защиты систем и данных. Т.к. в последнее время сильно возрастает зависимость организаций от облачных технологий и аутсорсинга (внешнего подряда), компании все в большей мере полагаются своих подрядчиков, надеясь на то, что те обеспечат безопасность хранения данных, будут соблюдать свои собственные правила защиты личной и деловой информации, одновременно постоянно помня о необходимости дальнейшего развития комплексных систем контроля безопасности и деятельности по защите данных.

Организации могут понести значительные финансовые и репутационные потери в случае взлома информационных систем и кражи данных у подрядчика. Поэтому и сами компании, и их подрядчики должны согласовать матрицу обязательств сторон, которая регулировала бы вопросы ответственности и подходы в решении проблем в соответствии с федеральными законами и постановлениями, а также законами и постановлениями штата, принципами защиты неприкосновенности частной жизни, а также отраслевыми стандартами и руководствами.

Организациям следует предусмотреть специальные защитные положения в контрактах с подрядчиками, имеющими доступ к их данным, ограниченным для распространения: 1) определить стандарт безопасности провайдера и его обязательства в области использования персональной информации и других конфиденциальных данных; а также 2) минимизировать собственные риски и уровень ответственности в случае взлома системы безопасности провайдера, либо другого возможного неавторизированного использования персональной информации. Такие положения в контракте должны предусматривать требования об оповещении в случае нарушения систем безопасности, информировании об изменении систем и подходов в обеспечении безопасности, а также положения об обязательных регулярных внутренних аудитах ежегодных оценках эффективности.

Работники и отделы, несущие ответственность за внутреннюю защиту данных и обеспечение безопасности должны как минимум ежегодно пересматривать условия и положения контрактов для того, чтобы своевременно включать в новые контракты положения, соответствующие наиболее передовому опыту обеспечения безопасности. Настоящий документ с самыми последними обновлениями постоянно доступен по адресу: https://otalliance.org/2015BestPractices

ПЕРЕДОВОЙ ОПЫТ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Утеря и кража персональных данных становятся результатом все более изощренных мошеннических практик. Прикладная социология с криминальным уклоном, фальшивые электронные сообщения, вредоносная реклама, фишинг, а также киберсквоттерство развиваются как никогда активно. Собрав рекомендации и советы всех заинтересованных сторон, ОТА разработал список рекомендуемых мероприятий, несложных для реализации и правления во всех секторах отрасли. Кроме того, мы рекомендуем организациям регулярно проверять наличие изменений в других важных документах, таких как Критически важные контрольные меры для эффективной киберзащиты (Critical Security Controls for Effective Cyber Defense), который публикуется Советом по кибербезопасности (Council on Cyber Security). Этот набор мер, совместно с передовым опытом, изложенным ниже, предлагается как набор основных действий для обеспечения предотвращения, обнаружения и нейтрализации самых актуальных угроз безопасности данных.

ОТА рекомендует всем организациям реализовать и соблюдать изложенные ниже меры передового опыта:

1. Используйте эффективную политику управления паролями. Взлом и кража паролей с использованием обычного взлома, перехвата, взлома внутренней архитектуры систем или краж баз данных паролей являются основными направлениями так злоумышленников, против которых следует применять эффективные системы контроля управления паролями. Наиболее эффективными мерами управления паролями являются:
2. Использование многофакторной аутентификации (например, одноразовые ПИН-коды) для доступа к четным записям с правами администратора. Учетные записи с правами администратора должны быть уникальны и их следует отслеживать на предмет аномальной активности; они должны использоваться исключительно для администрирования;
3. Требуйте, чтобы все пользователи заводили отдельный пароль для работы с внешними информационными системами подрядчиков, а также избегали использования одинаковых паролей при работе с внутренними информационными системами и для личных целей при использовании ресурсов Интернет;
4. Требуйте создания сложных рабочих паролей, состоящих как минимум из 8 знаков, включающих буквы и числа, а также требуйте обязательной смены пароля каждые 90 дней, с ограничением использования ранее применявшихся паролей;
5. Разверните систему обнаружения неавторизированного входа в систему, которая будет отслеживать входы, их количество и частоту; использование серверных паролей, отсылаемых пользователю (cookies); идентификационные номера компьютеров, используемых для входа (ID), а также другие необходимые для обеспечения безопасности данные;
6. Избегайте хранения паролей за исключением случаев абсолютной необходимости и храните только пароли и файлы с использованием соль-хеширования или других криптографических методов;
7. Удалите все сохраненные данные для автоматического входа в учетные записи со всех рабочих станций, и проводите регулярные проверки для того, чтобы убедиться, что четные записи с такими данными не могли войти в вашу систему;
8. Немедленно аннулируйте права доступа для всех сотрудников с момента их увольнения, а также для всех третьих сторон и лиц, или подрядчиков и их представителей с момента, когда у них пропадает необходимость доступа к вашей инфраструктуре.

2. Минимальные возможные права доступа (МВП, Least privilege user access, LUA) – является основным стратегическим компонентом, в соответствии с которым все учетные записи должны обладать минимальным необходимым набором прав. МВП рассматривается как один из важнейших факторов обеспечения безопасности данных. Такой подход также рассматривается как защита от злоупотреблений и системных ошибок. Так, к примеру, у конкретного пользователя могут быть права для редактирования определенного рода документов или проведения рекламных рассылок, но недостаточно прав для просмотра данных о выплатах или уровне зарплат, или списка клиентов. МВП также позволит минимизировать эффект от утери пароля сотрудником или его/ее вредоносного поведения.
3. Повысьте безопасность рабочих станций клиентов, установив на них многоуровневые брандмауэрные системы защиты (как клиентские, так и аппаратные интернет-брандмауэры), используя современные антивирусные системы с актуальными базами данных, запрещая использование дисков с общим доступом и сохраненных данных для входа в учетную запись. Обеспечьте автоматическую установку обновлений для операционных систем, приложений (в том числе мобильных и веб-приложений) и встроенных программ. Все информационные порты должны по умолчанию быть блокированы для входящего трафика. Автоматическая активация всех внешних устройств должна быть отключена (USB и внешние диски и прочее). На всех ноутбуках, мобильных устройствах и системах, хранящих конфиденциальные данные, должна быть установлена система криптографии всей информации на жестких дисках.
4. Проводите регулярные тесты на уязвимость для взлома и выявление уязвимых мест системы в рамках всей инфраструктуры для того, чтобы определить слабые места и минимизировать риски, связанные с ними, а также быть готовыми к вторжению в систему на самых вероятных направлениях. Регулярно проверяйте уровень безопасности у ваших поставщиков облачных систем, выявляя их возможные слабые места и связанные с ними риски ражи или утери данных. Разверните решения, которые позволили бы отслеживать аномальные потоки данных, что поможет определить вторжение злоумышленников и получение ими доступа к закрытым данным.
5. Требуйте обязательной идентификации всех входящих и исходящих потоков электронной почты, что поможет вам определить вредоносные и мошеннические сообщения, включая фишинговые письма и сообщения с фальсифицированными отправителями или подписями. Всем организациям следует:
6. Идентифицировать всю исходящую почту при помощи расширения SPF или метода DKIM, в том числе для писем с ящиков припаркованных или делегированных суб-доменов;
7. Принять и использовать политику отказа или карантина сообщений на основе спецификаций идентификации сообщений, создания отчётов и определения соответствия по доменному имени (DMARC) после того, как будет установлено, что производится идентификация всех исходящих потоков электронной почты;
8. Реализуйте идентификацию всей входящей почты с использованием SPF, DKIM и DMARC;
9. Стимулируйте своих бизнес-партнеров идентифицировать электронные сообщения, отправляемые в вашу организацию, чтобы минимизировать риск получения фишинговых писем и сообщений с фальсифицированными отправителями или подписями;
10. Требуйте идентификацию полного цикла, от отправителя до получателя, с использованием SPF, DKIM и политики отказа или карантина DMARC для всех потоков корреспонденции, управляемых или отправленных с ящиков, размещенных на хостинге третьих сторон.
11. Создайте и реализуйте программу безопасности для мобильных устройств, сделав обязательной идентификацию пользователя для разблокировки устройства, полную блокировку устройства после пяти неудачных попыток разблокировки, использование криптографии хранимых данных и корреспонденции, а также задействовав системы удаленного форматирования жестких дисков в случае кражи или утери мобильных устройств.
12. На постоянной основе в режиме реального времени отслеживайте уровень безопасности инфраструктуры вашей организации, в том числе посредством сбора и анализа реальном времени всего сетевого трафика, анализа центральных логов (в том числе брандмауэра, IDS/IPS, VPN и аудиовизуальный трафик) с использованием систем управления логами, а также просмотра сетевой статистики. Определяйте аномальные действия, расследуйте их, в соответствии с результатами, пересматривайте свое видение аномальной деятельности на будущее.
13. Разверните веб-брандмауэры для определения и предотвращения атак хакеров, таких как межсайтовый скриптинг, внедрение SQL кода или бактракинг. Изучите список 10 наиболее вероятных угроз для веб-приложений, составленный Open Web Application Security Project (OWASP, Открытый проект безопасности веб-приложений) и минимизируйте возможность возникновения таких опасностей для ваших приложений. Если вы пользуетесь услугами хостинга третьей стороны, требуйте установки брандмауэров.
14. Разрешение на беспроводное подсоединение к вашей сети должно быть только у авторизированных устройств, это касается также и торговых терминалов, терминалов для расчетов пластиковыми картами; а коммуникации с такими беспроводными устройствами как роутеры и принтеры должны быть зашифрованы. Пропускайте весь «гостевой» интернет-трафик через отдельные сервера и устройства доступа, оснащенные мощными системами шифрования, например, WPA2 с шифрованием AES, либо используйте сеть VPN с протоколом IPSec.
15. Обеспечьте постоянную работу SSL (Always on, AOSSL) для всех серверов, с обязательной идентификацией при соединении и сбором данных о входе и пользователях. AOSSL не позволяет передавать перехваченные данные между устройствами, точками беспроводного доступа и устройствами-посредниками.
16. Проверьте качество сертификатов, принимаемых вашим сервером и снизьте вероятность взлома ваших доменов. Хакеры часто используют SSL сертификаты типа “Domain Validated” (DV), чтобы бманом заявить о себе как о коммерческом сайте и обмануть потребителей. В настоящее время владельцам сайтов рекомендуется использовать более современные сертификаты типа “Organizationally Validated” (OV) или “Extended Validation” (EVSSL). Достоверность владельцев сертификатов OV и EVSSL подтверждается Сертифицирующим органом. Сертификаты типа EV SSL обеспечивают высочайший уровень достоверности сайта и его владельца. Сертификат EV SSL предоставляет пользователям высочайший уровень уверенности в том, что владелец сайта – именно тот, кто себя им называет, обозначая достоверность этого зеленой линией в адресной строке браузера.
17. Разработайте, протестируйте и постоянно обновляйте план реагирования на взлом базы данных. Регулярно пересматривайте и оптимизируйте план параллельно с изменениями в используемых информационных технологиях, технике сбора данных и систем безопасности. После любого инцидента найдите время провести «разбор полетов» и на его основе внесите изменения в ваш план. Проводите регулярные учения в реальном времени для проверки действенности плана и готовности вашего персонала.