Для мэтаў дадзеных рэкамендацый прымяняюцца тэрміны ў значэннях, вызначаных у Законе Рэспублікі Беларусь ад 10 лістапада 2008 г. № 455-З «Аб інфармацыі, інфарматызацыі і ахове інфармацыі», а таксама наступны тэрмін і яго вызначэнне:

аб’екты інфармацыйнай сістэмы – сродкі вылічальнай тэхнікі, сеткавае абсталяванне, сістэмнае і прыкладное праграмнае забеспячэнне, сродкі тэхнічнай і крыптаграфічнай аховы інфармацыі (далей – АІС).

Рэкамендуецца рэалізаваць наступныя меры ва ўласных інфармацыйных сістэмах (далей – ІС), а таксама кантраляваць іх выкананне падпарадкаванымі арганізацыямі.

Ахова АІС

1. Забяспечыць ахову сродкаў вылічальнай тэхнікі (далей – СВТ) ад шкоднага праграмнага забеспячэння.
2. Выкарыстоўваць крыптаграфічныя алгарытмы аховы інфармацыі, інтэграваныя ў праграмнае забеспячэнне (далей – ПЗ), у тым ліку саміх носьбітаў інфармацыі.
3. Адключыць функцыі аўтазагрузкі знешніх машынных носьбітаў інфармацыі пры іх падключэнні да СВТ.
4. Забяспечыць кантроль (аўтаматызаваны) за складам АІС.
5. Вызначыць пералік дазволенага ПЗ, рэгламентаваць і кантраляваць парадак яго ўстаноўкі і выкарыстання.
6. Рэгламентаваць парадак выкарыстання знешніх машынных носьбітаў інфармацыі, мабільных тэхнічных сродкаў.

Упраўленне доступам і ідэнтыфікацыяй карыстальнікаў

7. Выкарыстоўваць АІС з правамі карыстальніцкіх уліковых запісаў.
8. Забяспечыць упраўленне (цэнтралізаванае) (стварэнне, актывацыя, блакіроўка, знішчэнне) уліковымі запісамі карыстальнікаў для доступу да АІС.
9. Абмежаваць магчымасці выкарыстання агульных уліковых запісаў карыстальнікаў для доступу да АІС.
10. Размежаваць доступ карыстальнікаў да АІС.
11. Забяспечыць ідэнтыфікацыю і аўтэнтыфікацыю карыстальнікаў ІС.
12. Своечасова блакіраваць (знішчаць) уліковыя запісы карыстальнікаў, якія не выкарыстоўваюцца (часова не выкарыстоўваюцца).
13. Забяспечыць доступ карыстальнікаў да АІС на падставе роляў.
14. Блакіраваць доступ да АІС пасля сканчэння ўстаноўленага часу бяздзеяння (неактыўнасці) карыстальніка або па яго запросу.
15. Забяспечыць змяненне атрыбутаў бяспекі сеткавага абсталявання, ПЗ, устаноўленых па ўмаўчанні.
16. Абмежаваць колькасць непаспяховых спробаў доступу да АІС.
17. Кантраляваць выконванне правілаў генерацыі і змены пароляў карыстальнікаў.
18. Забяспечыць упраўленне фізічным доступам у памяшканні, а таксама да шкафоў з СВТ, сеткавым і іншым абсталяваннем.
19. Даваць унікальныя ўліковыя запісы прывілегіраваных карыстальнікаў для аўтарызаванага доступу да сеткавага абсталявання.
20. Даваць часовыя ўліковыя запісы карыстальнікаў для аўтарызаванага доступу ў мэтах абслугоўвання АІС неўпаўнаважанымі супрацоўнікамі (пабочнымі арганізацыямі), забяспечыць іх кантроль і адключэнне.
21. Даваць карыстальнікам аўтарызаваны доступ пры падключэнні да АІС па-за яе межамі.

Ахова паштовых сэрвераў

22. Выкарыстоўваць паслугі хостынгу ўпаўнаважаных пастаўшчыкоў інтэрнэт-паслуг.
23. Забяспечыць у рэальным маштабе часу аўтаматычную антывірусную праверку файлаў дадзеных, якія перадаюцца па паштовых пратаколах, і абясшкоджванне выяўленых шкодных праграм.
24. Забяспечыць спам-фільтрацыю паштовых паведамленняў.
25. Выкарыстоўваць механізмы шыфравання паштовых паведамленняў і (або) перадачу паштовых паведамленняў з выкарыстаннем крыптаграфічных пратаколаў перадачы дадзеных (SMTPS, STARTTLS).
26. Забяспечыць фільтрацыю паштовых паведамленняў з выкарыстаннем спіскаў нежаданых адпраўнікоў паштовых паведамленняў.
27. Выкарыстоўваць механізмы праверкі PTR-запісу паштовых сэрвісаў.
28. Выкарыстоўваць механізмы праверкі SPF-запісу паштовых сэрвісаў.
29. Выкарыстоўваць механізмы паштовай аўтэнтыфікацыі адпраўніка паштовых паведамленняў (DKIM).
30. Блакіраваць масавае рассыланне паштовых паведамленняў.

Менеджмент актываў

31. Забяспечыць цэнтралізаваны ўлік інфармацыі аб АІС, распрацаваць схемы фізічных і (або) лагічных злучэнняў гэтых аб’ектаў з указаннем актываў з высокім узроўнем важнасці.
32. Рэгламентаваць парадак выдалення інфармацыі з машынных носьбітаў інфармацыі ў выпадку вываду іх з эксплуатацыі.
33. Рэгламентаваць парадак захоўвання невыкарыстоўваемых машынных носьбітаў інфармацыі.

Менеджмент сеткі

34. Забяспечыць сегментацыю (ізаляцыю) сеткі доступу ў Інтэрнэт ад сеткі перадачы дадзеных (далей – СПД) ІС.
35. Забяспечыць сегментацыю (ізаляцыю) сеткі ўпраўлення АІС сістэмамі відэаназірання, СКУД і іншымі аб’ектамі ад СПД ІС.
36. Забяспечыць сегментацыю (ізаляцыю) сеткі доступу ў Інтэрнэт іншых карыстальнікаў ад СПД ІС.
37. Абмежаваць уваходны і выходны трафік (фільтраванне) пэўных дадаткаў и сэрвісаў (месенджэры, сацыяльныя сеткі, онлайн-маркеты, ананімайзэры і інш.).
38. Абмежаваць уваходны і выходны трафік (фільтраванне) ІС толькі неабходнымі злучэннямі (выкарыстанне міжсеткавага экрану).
39. Адключыць невыкарыстоўваныя парты сеткавага абсталявання.
40. Выяўляць і прадухіляць уварванні ў ІС (IPS/IDS).
41. Забяспечыць доступ карыстальнікаў у сетку Інтэрнэт з прымяненнем тэхналогіі праксіравання сеткавага трафіку.
42. Выкарыстоўваць АІС лакальнай сістэмы даменных імёнаў
    (DNS-сэрвер), у тым ліку для доступу ў сетку Інтэрнэт, або сістэмы даменных імёнаў, якая размешчана на тэрыторыі Рэспублікі Беларусь.

Менеджмент уразлівасцяў

43. Перыядычна, але не менш за адзін раз у год ажыццяўляць кантроль адсутнасці або немагчымасці выкарыстання парушальнікам улавасцівасцяў праграмных, праграмна-апаратных сродкаў, якія могуць быць выпадкова ініцыяваныя (актываваныя) ці наўмысна выкарыстаныя
    для парушэння інфармацыйнай бяспекі сістэмы і звесткі аб якіх пацверджаныя вытворцамі (распрацоўшчыкамі) гэтых АІС.
44. Забяспечыць абнаўленне ПЗ АІС.
45. Забяспечыць выпраўленне выяўленых уразлівасцяў АІС.

Аўдыт бяспекі

46. Распрацаваць і ўкараніць план рэагавання на інцыдэнты інфармацыйнай бяспекі.
47. Арганізаваць узаемадзеянне з падраздзяленнямі інфармацыйнай бяспекі (камандамі рэагавання на камп’ютарныя інцыдэнты) па пытаннях упраўлення падзеямі (інцыдэнтамі) інфармацыйнай бяспекі.
48. Сфармаваць падраздзяленні або прызначыць супрацоўніка(аў), якія нясуць адказнасць за інфармацыйную бяспеку.
49. Забяспечыць цэнтралізаваны збор і захоўванне не менш за адзін год інфармацыі аб функцыянаванні СВТ, сродкаў аховы інфармацыі, сеткавага абсталявання, сістэм, сэрвісаў (netflow-трафік, лог-файлы запытаў карыстальнікаў да лакальных сістэм даменных імёнаў, лог-файлы сістэмы праксіравання падключэння да сеткі Інтэрнэт, лог-файлы прадастаўлення карыстальнікам дынамічных ip-адрасоў, лог-файлы працы сервераў друку і інш.), аб дзеяннях карыстальнікаў, а таксама аб падзеях інфармацыйнай бяспекі.
50. Перыядычна, але не менш за адзін раз у нядзелю ажыццяўляць маніторынг (прагляд, аналіз) падзей інфармацыйнай бяспекі, функцыянавання АІС.
51. Забяспечыць ахову ад несанкцыяніраванага доступу да рэзервовых копій, параметраў налады сеткавага абсталявання і сістэмнага ПЗ, сродкаў аховы інфармацыі і падзей бяспекі.
52. Ажыццяўляць кантроль за знешнімі падлучэннямі да ІС.

Рэзерваванне інфармацыі

53. Вызначыць склад і змест інфармацыі, якая падлягае рэзерваванню (у тым ліку канфігурацыйных файлаў сеткавага абсталявання, лог-файлаў службаў и сэрвісаў).
54. Забяспечыць рэзерваванне інфармацыі.

Дадатковыя рэкамендацыі

55. Ажыццяўляць сінхранізацыю сістэмнага часу ад адзінай крыніцы.

Ахова віртуальнай інфраструктуры

56. Забяспечыць ахову віртуальнай інфраструктуры ад несанкцыяніраванага доступу і сеткавых нападаў з віртуальнай і фізічнай сеткі, а таксама віртуальных машын.

Інфармаванне і навучанне персаналу

57. Ажыццяўляць навучанне супрацоўнікаў правілам выкарыстання паштовых сэрвісаў ІС, вызначэння фішынгавых паведамленняў і інш.
58. Вызначаць палітыкі і працэдуры інфармавання і навучання персаналу, меры адказнасці за парушэнне патрабаванняў па інфармацыйнай бяспецы.
59. Перыядычна, але не менш за адзін раз у квартал інфармаваць персанал аб пагрозах інфармацыйнай бяспекі, правілах бяспечнай работы з АІС.
60. Перыядычна, але не менш за адзін раз у год праводзіць з персаналам практычныя заняткі па правілах бяспечнай работы з АІС.
61. Перыядычна, але не менш за адзін раз у паўгоддзе кантраляваць дасведчанасць персаналу аб пагрозах інфармацыйнай бяспекі і аб правілах бяспечнай работы з АІС.