Администрирование и инфраструктура
Безопасность ОС: Windows, Linux
🔐 Базовый hardening для обеих ОС:
✅ Общие меры:
• Минимизация установленных пакетов/служб (принцип наименьшей функциональности)
• Регулярное обновление: патчи безопасности в течение 72 часов после выхода
• Отключение ненужных сетевых сервисов и портов
• Настройка политик паролей: длина ≥12, сложность, история, блокировка после неудачных попыток
• Включение расширенного логирования (аудит входа, изменений, привилегий)
🔹 Windows специфика:
• Использование Group Policy для централизованного управления
• Настройка LAPS для управления паролями локальных админов
• Включение Credential Guard и Application Control (WDAC)
• Отключение SMBv1, настройка SMB signing
🔹 Linux специфика:
• Применение SELinux/AppArmor для мандатного контроля доступа
• Настройка sudo с принципом наименьших привилегий
• Использование auditd для детального аудита
• Конфигурация SSH: отключение root-логина, ключевая аутентификация, ограничение попыток
Чек-лист соответствия:
Требование | Инструмент проверки | Стандарт/источник |
Отсутствие уязвимостей | OpenSCAP, Lynis, Microsoft Baseline Security Analyzer | CIS Benchmarks, ФСТЭК №21 |
Контроль целостности | AIDE, Tripwire, Wazuh FIM | Приказ ФСТЭК №21, п. 8.7 |
Аудит действий привилегированных пользователей | auditd (Linux), Advanced Audit Policy (Windows) | ФСТЭК №21, п. 8.2 |
Управление доступом и правами
🎭 Модель RBAC (Role-Based Access Control):
📋 Принципы реализации:
• Принцип наименьших привилегий (PoLP): выдавать только необходимые права
• Разделение обязанностей (SoD): критичные действия требуют участия ≥2 лиц
• Регулярный пересмотр прав (access review): минимум раз в квартал
• Автоматизация жизненного цикла учётных записей:
onboarding → role assignment → periodic review → offboarding
🔧 Технические механизмы:
• Active Directory / LDAP: группы, GPO, делегирование
• PAM-решения: управление привилегированным доступом (CyberArk, Wallix, отечественные аналоги)
• MFA: обязательна для администраторов и доступа извне
• JIT-доступ (Just-In-Time): выдача прав на ограниченное время по запросу
⚠️ Типичная ошибка: Использование общих учётных записей (admin, root) для нескольких сотрудников — нарушает принцип неотказуемости (non-repudiation) и усложняет расследование инцидентов.
Резервное копирование и восстановление
🗂️ Стратегия 3-2-1-1-0:
✅ 3 копии данных (оригинал + 2 резервные)
✅ 2 разных типа носителей (например, диск + облако)
✅ 1 копия вне площадки (offsite)
✅ 1 копия с неизменяемым хранением (WORM/immutable backup)
✅ 0 ошибок при тестовом восстановлении (регулярные проверки)
📊 Параметры резервного копирования:
Параметр | Описание | Рекомендация для критичных систем |
RPO (Recovery Point Objective) | Максимально допустимая потеря данных | ≤15 минут (непрерывная репликация) |
RTO (Recovery Time Objective) | Максимальное время восстановления | ≤1 часа (автоматизированный failover) |
Частота бэкапов | Как часто создаются копии | Полные: еженедельно; инкрементальные: ежедневно; транзакционные: непрерывно |
Шифрование бэкапов | Защита резервных копий | Обязательно, ключи хранятся отдельно от данных |
Тестирование восстановления | Проверка работоспособности бэкапов | Ежеквартально, с документированием результатов |
🛡️ Защита от ransomware:
🔒 Immutable backups: использование хранилищ с защитой от удаления/изменения (WORM)
🔐 Изоляция: резервные копии не должны быть доступны из производственной сети по умолчанию
👁️ Мониторинг: алерты при аномальной активности с бэкапами (массовое удаление, шифрование)
🧪 Регулярные учения: восстановление из резервной копии в изолированной среде
Аудит и логирование
📝 Требования к логам (согласно ФСТЭК №21, п. 8.13):
✅ Обязательные события для регистрации:
• Успешные и неудачные попытки входа в систему
• Изменения прав доступа и учётных записей
• Запуск/остановка критичных служб
• Изменения в конфигурации СЗИ
• Доступ к конфиденциальным данным
✅ Технические требования:
• Синхронизация времени (NTP) для всех источников
• Защита логов от модификации (запись в WORM, цифровая подпись)
• Хранение: минимум 1 год для ПДн, 3 года для КИИ
• Централизованный сбор в защищённое хранилище (не на защищаемом узле)
🔍 Аналитика логов:
-- Пример запроса для выявления подозрительной активности (псевдокод):
SELECT
user_id, source_ip, COUNT(*) as failed_attempts,
MIN(timestamp) as first_attempt, MAX(timestamp) as last_attempt
FROM auth_logs
WHERE status = 'FAILED'
AND timestamp > NOW() - INTERVAL 1 HOUR
GROUP BY user_id, source_ip
HAVING COUNT(*) > 5
ORDER BY failed_attempts DESC;Конфигурационный менеджмент и hardening
🔄 Infrastructure as Code (IaC) для безопасности:
🛠️ Инструменты:
• Ansible / Terraform: автоматизация настройки и проверка соответствия
• OpenSCAP / InSpec: декларативная проверка конфигураций на соответствие стандартам
• GitOps: версионирование конфигураций, code review изменений
📋 Пример hardening-правила (Ansible, псевдокод):
name: Disable unnecessary services
systemd:
name: "{{ item }}"
state: stopped
enabled: no
loop:telnet.socket
rsh.socket
ftp.socket
tags: [hardening, cis-level1]
📚 Стандарты конфигурационной безопасности:
Стандарт | Область | Применение в РФ |
CIS Benchmarks | Международные рекомендации по hardening | Ориентир для внутренних политик, адаптируется под требования ФСТЭК |
ФСТЭК: Базовый набор мер | Обязательные меры для ИСПДн/ГИС | Юридически обязательный для сертифицированных систем |
DISA STIGs | Стандарты для госсектора США | Используется как референс для сложных сценариев |