Recommandations en matière de sécurité de l'information. Assurer la sécurité des informations lors de l'utilisation des ressources Internet. Que se passe-t-il sans un plan de gestion des risques de sécurité
Instructions d'utilisation pour assurer la sécurité des informations.
1. Dispositions générales
1.1. Cette Instruction définit les principaux devoirs et responsabilités de l'utilisateur autorisé à traiter des informations confidentielles.
1.2. L'utilisateur, lorsqu'il effectue des travaux dans le cadre de ses fonctions fonctionnelles, assure la sécurité des informations confidentielles et assume la responsabilité personnelle du respect des exigences des documents constitutifs sur la protection de l'information.
2. Responsabilités de base de l'utilisateur :
2.1. Se conformer aux exigences générales visant à garantir la confidentialité des travaux effectués, établies par la législation de la Fédération de Russie, les documents internes de l'organisation et les présentes Instructions.
2.2. Lorsque vous travaillez avec des informations confidentielles, positionnez l'écran du moniteur vidéo pendant le fonctionnement de manière à ce que les personnes non autorisées ne puissent pas voir les informations qui y sont affichées.
2.3. Respecter les règles de travail avec les outils de sécurité de l'information et le régime établi pour limiter l'accès aux moyens techniques, programmes, bases de données, fichiers et autres supports contenant des informations confidentielles lors de leur traitement.
2.4. Après avoir terminé le traitement des informations confidentielles dans le cadre d'une tâche, ainsi qu'à la fin de la journée de travail, effacez les informations résiduelles du disque dur de l'ordinateur personnel.
2.5. En cas d'incidents de sécurité des informations ( faits ou tentatives d'accès non autorisé à des informations traitées sur un ordinateur personnel ou sans utilisation d'outils d'automatisation) en informer immédiatement la Direction de la Sécurité Economique, à la demande du chef d'unité, rédiger une note adressée au chef d'unité et participer à un audit interne de cet incident.
2.6. N’installez vous-même aucun matériel ou logiciel sur votre ordinateur personnel.
2.7. Connaître les modes de fonctionnement normaux des logiciels, les principaux modes de pénétration et de propagation des virus informatiques.
2.9. Mémorisez vos mots de passe et identifiants personnels, gardez-les secrets, ne laissez pas les supports les contenant sans surveillance et conservez-les dans un tiroir de bureau ou un coffre-fort verrouillé. Changez votre mot de passe à intervalles réguliers ( mots de passe).
2.10. Lorsque vous utilisez des supports de stockage externes, avant de commencer à travailler, vérifiez-les pour détecter la présence de virus informatiques à l'aide d'un ordinateur personnel.
2.11. Connaître et suivre strictement les règles de travail avec les outils de sécurité de l'information installés sur son ordinateur personnel ( antivirus, outils de contrôle d'accès, outils de protection cryptographique, etc.) conformément à la documentation technique de ces fonds.
2.12. Transférez votre dispositif d'identification personnel pour stockage conformément à la procédure établie ( Touchez Mémoire, Carte à puce, Proximité, etc.), d'autres détails de contrôle d'accès et supports d'informations clés uniquement au chef du service ou à la personne responsable de la sécurité de l'information.
2.13. Conservez votre sceau personnel en toute sécurité et ne le transférez à personne.
2.14. Avertissez immédiatement la Direction de la Sécurité Economique et le chef d'unité si vous découvrez :
- violations de l'intégrité des scellés ( autocollants, violation ou inadéquation des numéros de sceau) sur le matériel ou d'autres faits de tentatives d'accès non autorisées en son absence à l'ordinateur personnel protégé qui lui est attribué ;
- mauvais fonctionnement des mesures techniques de sécurité installées sur un ordinateur personnel ;
- déviations dans le fonctionnement normal du système et des logiciels d'application qui entravent le fonctionnement d'un ordinateur personnel, panne ou fonctionnement instable des composants ou des périphériques de l'ordinateur personnel ( lecteurs de disque, imprimante, etc.), ainsi que les interruptions du système d'alimentation électrique.
2.15. Une fois les travaux de modification de la configuration matérielle et logicielle de l'ordinateur personnel qui lui est attribué, vérifiez ses performances.
3. Assurer la sécurité antivirus
3.1.Les principaux moyens par lesquels les virus pénètrent dans les informations et le réseau informatique d'une organisation sont les suivants : les supports de stockage amovibles, le courrier électronique, les fichiers reçus d'Internet et les ordinateurs personnels précédemment infectés.
3.2. Si vous soupçonnez un virus informatique ( message d'un programme antivirus, fonctionnement atypique des programmes, apparition d'effets graphiques et sonores, corruption de données, fichiers manquants, apparition fréquente de messages d'erreur système, etc.) l'utilisateur doit effectuer une analyse antivirus extraordinaire de son ordinateur personnel.
3.3. Si, lors d'une analyse antivirus, des fichiers infectés par des virus informatiques sont détectés, l'utilisateur DOIT:
- arrêt ( suspendre) travail;
- informer immédiatement votre supérieur immédiat responsable de la sécurité de l'information, ainsi que les services concernés qui utilisent ces fichiers dans leur travail, de la découverte de fichiers infectés par un virus ;
- évaluer la nécessité d'une utilisation ultérieure des fichiers infectés par un virus ;
- désinfecter ou détruire les fichiers infectés ( si nécessaire, pour remplir les exigences de ce paragraphe, vous devez impliquer l'administrateur système).
3.4. À l'utilisateur INTERDIT:
- désactiver les outils de protection des informations antivirus ;
- sans autorisation, copier des fichiers, installer et utiliser tout logiciel non destiné à effectuer des tâches officielles.
4. Assurer la sécurité des données personnelles
4.1. La base pour permettre à un employé d'une organisation de traiter des données personnelles dans le cadre de ses fonctions fonctionnelles est la liste des postes approuvés par le directeur de l'organisation et la description de poste de l'employé. La base de la résiliation de l'accès aux données personnelles est l'exclusion de la liste des postes approuvée par le directeur de l'organisation et ( ou) modification de la description de poste du salarié.
4.2. Chaque employé de l’organisation qui participe au traitement des données personnelles et a accès au matériel, aux logiciels et aux bases de données du système de l’organisation est un utilisateur et est personnellement responsable de ses actes.
4.3. Utilisateur DOIT:
- connaître les exigences des documents constitutifs sur la protection des données personnelles ;
- traiter les informations protégées en stricte conformité avec les instructions technologiques approuvées ;
- respecter strictement les règles établies pour assurer la sécurité des données personnelles lorsque vous travaillez avec des logiciels et du matériel.
4.5. À l'utilisateur INTERDIT:
- utiliser des composants logiciels et matériels à des fins autres que celles prévues ( à des fins non officielles);
- utiliser des outils de développement et de débogage de logiciels pour les logiciels standard à usage général ( MS Office, etc.);
- apporter sans autorisation des modifications à la configuration du matériel et des logiciels d'un ordinateur personnel ou installer tout logiciel ou matériel supplémentaire ;
- traiter des données personnelles en présence d'étrangers ( pas autorisé à cette information) personnes ;
- enregistrer et stocker des données personnelles sur des supports de stockage amovibles non enregistrés ( disquettes, lecteurs flash, etc.), effectuer une impression non autorisée de données personnelles ;
- laissez votre ordinateur personnel allumé sans surveillance sans activer la protection contre les accès non autorisés ( verrouillage temporaire de l'écran et du clavier);
- laisser votre dispositif d'identification personnel, vos supports et vos imprimés contenant des données personnelles sans surveillance personnelle sur le lieu de travail ou ailleurs ;
- utiliser intentionnellement des fonctionnalités non documentées et des erreurs dans les logiciels ou dans les paramètres de sécurité pouvant conduire à des violations de la sécurité des données personnelles. Si de telles erreurs sont détectées, informez-en le responsable de la sécurité de l'information et le chef du service.
4.6. Caractéristiques du traitement des données personnelles sans utilisation d'outils d'automatisation.
4.6.1. Le traitement des données personnelles est considéré comme non automatisé s’il est effectué sans recours à la technologie informatique.
4.6.2. L'admission au traitement non automatisé des données personnelles s'effectue conformément à la Liste des postes d'employés de l'organisation ayant accès aux données personnelles et qui sont chargés de mettre en œuvre les exigences visant à assurer la sécurité des données personnelles.
4.6.3. Les données personnelles, lors du traitement et du stockage non automatisés, doivent être séparées des autres informations en les enregistrant sur des supports tangibles distincts dans des sections spéciales ou dans des champs de formulaire ( formulaires).
4.6.4. Lors de l'enregistrement de données personnelles sur des supports matériels, il n'est pas permis d'enregistrer des données personnelles sur un seul support matériel dont les finalités sont évidemment incompatibles avec le traitement.
4.6.6. Le stockage des supports matériels de données personnelles est effectué dans des armoires spéciales ( coffres-forts, coffres-forts, etc.), assurer la sécurité des supports matériels et exclure tout accès non autorisé à ceux-ci.
5. Assurer la sécurité des informations lors de l'utilisation des ressources Internet
5.1. Les ressources Internet peuvent être utilisées pour répondre aux exigences de la législation de la Fédération de Russie, la maintenance à distance, l'obtention et la diffusion d'informations liées aux activités de l'organisation ( notamment en créant un site Internet d'information), travaux d'information et d'analyse dans l'intérêt de l'organisation, échange de messages électroniques, ainsi que conduite de ses propres activités commerciales. Toute autre utilisation des ressources Internet, dont la décision n'a pas été prise par la direction de l'organisation de la manière prescrite, est considérée comme une violation de la sécurité de l'information.
5.2. Afin de limiter l'utilisation d'Internet à des fins non précisées, un nombre limité de forfaits sont attribués contenant une liste de services et de ressources Internet à la disposition des utilisateurs. Donner aux employés d'une organisation le droit d'utiliser un package spécifique s'effectue conformément à leurs responsabilités professionnelles.
5.3.Caractéristiques de l'utilisation d'Internet :
- Internet n'a pas un seul organe directeur ( hors service de gestion des espaces de noms et des adresses) et n'est pas une personne morale avec laquelle un accord pourrait être conclu ( accord). Fournisseurs ( intermédiaires) Les réseaux Internet ne peuvent fournir que les services qu'ils vendent directement ;
- Les garanties visant à assurer la sécurité des informations lors de l'utilisation d'Internet ne sont fournies par aucune autorité.
5.4. Lors de la gestion électronique des documents, en raison des risques accrus de sécurité des informations lors de l'interaction avec Internet, l'organisation utilise des mesures de sécurité des informations appropriées ( pare-feu, outils antivirus, outils de protection des informations cryptographiques, etc.), assurant la réception et la transmission des informations uniquement dans le format établi et uniquement pour une technologie spécifique.
5.5. L'échange postal d'informations confidentielles via Internet s'effectue dans le cadre de mesures de protection.
5.6. Le courrier électronique de l'organisation fait l'objet d'un archivage périodique. L'accès aux archives n'est autorisé qu'au département ( affronter) dans l'organisation chargée d'assurer la sécurité de l'information. Les modifications apportées aux archives ne sont pas autorisées.
5.7. Lors de l'interaction avec Internet, le Département des technologies de l'information fournit des logiciels et du matériel pour contrer les attaques des pirates informatiques et la propagation du spam. .
5.8. Lors de l'utilisation des ressources Internet INTERDIT:
- utiliser d'autres canaux d'accès d'un ordinateur personnel à Internet sur le lieu de travail, à l'exception de celui établi ;
- modifier de manière indépendante la configuration du matériel et des logiciels d'un ordinateur personnel connecté à Internet ;
- envoyer des messages électroniques contenant des informations confidentielles via des canaux ouverts ;
- utiliser des boîtes aux lettres autres que professionnelles pour la correspondance électronique ;
- ouvrir les fichiers accompagnant un message électronique si la source de ce message n'est pas connue ;
- transférer des informations documentées reçues via Internet sous forme électronique vers d'autres ordinateurs sans les vérifier avec des programmes antivirus ;
- télécharger depuis Internet, y compris par courrier électronique, des informations contenant des modules exécutables, des programmes, des pilotes, etc., sans l'accord préalable du Service informatique ;
- utiliser Internet en dehors des tâches officielles, visiter des sites Internet non liés à l'exercice de fonctions officielles.
6. Procédure de travail avec les supports d'informations clés
6.1. Dans certains sous-systèmes de l'organisation, pour assurer le contrôle de l'intégrité des documents électroniques transmis via les canaux technologiques ( plus loin - ED ), et des outils de signature électronique peuvent être utilisés pour confirmer leur authenticité et leur paternité ( plus loin - PE ).
6.2. Un employé de l'organisation ( au propriétaire de la clé ES), qui, conformément à ses fonctions officielles, a le droit d'apposer sa signature électronique sur l'ED, se voit délivrer un support de stockage de clé personnelle sur lequel sont enregistrées des informations clés uniques ( Touche ES), appartenant à la catégorie des informations à diffusion limitée.
6.3. Les supports clés sont marqués d'étiquettes appropriées, qui reflètent : le numéro d'enregistrement du support et, si possible, la date de fabrication et la signature de l'employé autorisé qui a fabriqué le support, le type d'informations clés - copie standard ou de travail , nom, prénom, patronyme et signature du propriétaire de la clé de signature électronique.
6.4. Support clé personnel ( copie maîtresse et copie de travail) le propriétaire de la clé doit conserver la signature électronique dans un endroit spécial garantissant sa sécurité.
6.5. Les clés de vérification de signature électronique sont enregistrées dans l'annuaire " ouvrir» clés permettant de vérifier l'authenticité des documents à l'aide des signatures électroniques installées sur ceux-ci.
6.6. Propriétaire de la clé DOIT:
- sous la signature dans " Journal des médias clés » procurez-vous les supports clés, assurez-vous qu'ils sont correctement étiquetés et qu'ils sont protégés en écriture ;
- utilisez uniquement une copie de travail de vos médias clés pour le travail ;
- remettez vos supports de clés personnels pour stockage temporaire au chef de service ou au responsable de la sécurité de l'information pendant la période d'absence du lieu de travail ( par exemple, pendant les vacances ou un voyage d'affaires);
- en cas d'endommagement de la copie de travail du support clé ( par exemple, s'il y a une erreur de lecture) le propriétaire de la signature électronique est tenu de la transmettre à un employé autorisé, qui doit, en présence du contractant, réaliser une nouvelle copie de travail du support clé à partir de la norme existante et la délivrer à la place de celle endommagée. Une copie de travail endommagée du support clé doit être détruite.
6.7. Au propriétaire de la clé ES INTERDIT:
- laisser les médias clés sans surveillance personnelle ;
- transférer vos médias clés ( copie maîtresse ou copie de travail) à d'autres personnes ( sauf stockage par le chef de service ou le responsable de la sécurité de l'information);
- faire des copies non comptabilisées du support clé, imprimer ou copier des fichiers de celui-ci sur un autre support de stockage ( par exemple, le disque dur d'un ordinateur personnel), supprimer la protection en écriture, apporter des modifications aux fichiers situés sur le support clé ;
- utiliser des supports clés sur un disque dur et/ou un ordinateur personnel délibérément défectueux ;
- signez tous les messages et documents électroniques avec votre clé ES personnelle, à l'exception des types de documents réglementés par le processus technologique ;
- fournir à des tiers des informations sur la propriété de la clé de signature électronique pour un processus technologique donné.
6.8. Mesures à prendre si les clés sont compromises
6.8.1. Si le propriétaire d'une signature électronique soupçonne que son support de clé est tombé ou pourrait tomber entre de mauvaises mains ( a été compromis), il est obligé de s'arrêter immédiatement ( ne renouvelle pas) travailler avec les médias clés, en informer le Département des technologies de l'information et le Département de la sécurité économique, remettre les médias clés compromis avec une note dans le journal des médias clés sur la raison de la compromission, rédiger une note sur le fait de la compromission du support clé personnel adressé au chef de service.
6.8.2. En cas de perte d'un support clé, le propriétaire de la clé de signature numérique est tenu d'en informer immédiatement la Direction des technologies de l'information et la Direction de la sécurité économique, de rédiger une note explicative sur la perte du support clé adressée au responsable du département et participer à un audit interne concernant la perte du support clé.
6.8.3. Le responsable de la sécurité de l’information est tenu d’informer immédiatement la direction de l’organisation du fait de perte ou de compromission des supports clés afin de prendre des mesures pour bloquer les clés de la signature électronique de l’entrepreneur spécifié.
6.8.4. Par décision de la direction de l'organisme, conformément à la procédure établie, le propriétaire de la clé de signature numérique peut recevoir un nouvel ensemble de supports de clés personnelles pour remplacer ceux compromis.
6.8.5. Si le propriétaire de la clé ES est muté à un autre emploi, licencié ou licencié d'une autre manière, il est tenu de soumettre ( immédiatement après la fin de la dernière séance de travail) vos supports clés au responsable de la sécurité de l'information contre signature dans le journal comptable.
7. Organisation de la protection par mot de passe
7.1. L'utilisateur définit indépendamment le mot de passe de son compte.
7.2. Il est interdit d'utiliser un mot de passe de domaine de réseau local ( saisi lors du chargement d'un ordinateur personnel) pour accéder à d'autres systèmes automatisés.
7.2. Le mot de passe doit comporter au moins 7 caractères. Nous vous recommandons d'utiliser des lettres majuscules et minuscules, des chiffres et des caractères spéciaux ( @, #, $, &, *, %, etc.).
7.3. Le mot de passe ne doit pas inclure de combinaisons de caractères faciles à calculer ( identifiants, prénoms, noms, etc.), ainsi que les abréviations généralement acceptées ( ordinateur personnel, LAN, UTILISATEUR, etc.).
7.4. Lors du changement de mot de passe, la nouvelle valeur doit différer de la précédente d'au moins 5 positions.
7.5. L'utilisateur est tenu de garder secret son mot de passe personnel.
7.6. Les exigences en matière de mot de passe et la fréquence de leur modification sont définies dans les politiques de domaine du groupe.
8. Responsabilité de l'utilisateur
8.1. Les employés de l'organisation sont responsables, conformément à la législation en vigueur, de la divulgation des informations constituant des secrets officiels, commerciaux et autres protégés par la loi ( y compris les données personnelles) et des informations à diffusion limitée dont ils ont eu connaissance en raison de la nature de leur travail.
8.2. Les violations des règles et exigences établies pour assurer la sécurité des informations sont des motifs d'application à l'employé ( utilisateur) sanctions prévues par la législation du travail.
Télécharger le fichier ZIP (26892)
Si les documents vous ont été utiles, merci de leur donner un « j'aime » :
Aujourd’hui, de plus en plus souvent, les entreprises sont confrontées à des incidents de sécurité informatique. Cependant, malgré cela, les dirigeants de nombreuses entreprises estiment toujours que ces attaques ne les concernent pas. Il est difficile de dire pourquoi cela se produit, mais c’est un fait. À mon avis, cela est dû au fait que les managers ne comprennent pas comment ils peuvent voler quelque chose qui ne peut pas être touché. Parallèlement, il existe un certain nombre d'entreprises dont les dirigeants sont bien conscients de la nécessité de prendre des mesures pour protéger leurs informations. C'est pour eux que cet article a été écrit.
1. Utilisez des mots de passe forts et changez-les régulièrement ;
2. Méfiez-vous des pièces jointes et des modules téléchargés sur Internet ;
3. Installer, maintenir et utiliser des programmes antivirus ;
4. Installez et utilisez un pare-feu ;
5. Supprimez les programmes et les comptes d'utilisateurs inutilisés, supprimez en toute sécurité toutes les données sur les équipements mis hors service ;
6. Utiliser des contrôles d'accès physiques à tous les appareils informatiques ;
7. Créez des copies de sauvegarde des fichiers, dossiers et programmes importants ;
8. Installez les mises à jour logicielles ;
9. Implanter un système de sécurité du réseau avec contrôle d'accès ;
10. Limiter l'accès aux données précieuses et confidentielles ;
11. Établir et maintenir un plan de gestion des risques de sécurité ;
12. Si nécessaire, demandez l'assistance technique de tiers.
Recommandation 1 : utilisez des mots de passe forts et changez-les régulièrement
Coût: minime (aucun investissement supplémentaire requis)
Niveau de compétence technique : faible/moyen
Participants : tous les utilisateurs du réseau informatique
A quoi ça sert ?
Les mots de passe constituent la méthode d'authentification la plus simple (un moyen de différencier les droits d'accès à un réseau informatique, à une messagerie électronique, etc.). La protection par mot de passe est une méthode de contrôle d'accès assez simple. Cependant, il ne faut pas oublier que les mots de passe forts (mots de passe difficiles à déchiffrer) peuvent compliquer la tâche de la plupart des pirates. Pour de nombreuses entreprises, le roulement du personnel constitue un problème majeur, mais il augmente également la nécessité de changer régulièrement les mots de passe. Puisque vous n'êtes pas sûr de la force de votre mot de passe, changez-le tous les mois et gardez à l'esprit que les mots de passe doivent répondre aux exigences de complexité et ne doivent pas être répétés dans les 24 mois. Cette disposition est assez facilement mise en œuvre dans une organisation dont le réseau informatique repose sur l'utilisation de domaines basés sur l'OS Windows.
Dans le même temps, il ne faut pas oublier que pour chaque tâche utilisée, les mots de passe doivent être différents, c'est-à-dire Le mot de passe pour accéder au réseau informatique et pour travailler avec la base de données doit être différent. Sinon, pirater un mot de passe vous permettra d'accéder sans entrave à toutes les ressources.
N'écrivez jamais vos mots de passe et ne les partagez jamais avec d'autres !
Si vous avez peur d'oublier votre mot de passe, conservez-le dans un coffre-fort.
Dans le même temps, n'oubliez pas que les utilisateurs de votre réseau oublieront les mots de passe et, à mesure que les exigences en matière de complexité et de longueur augmenteront, ils commenceront simplement à les écrire sur des morceaux de papier et bientôt les mots de passe pourront être trouvés n'importe où ! Ceux. sur les moniteurs, les feuilles sous le clavier, dans les tiroirs du bureau, etc.
Comment éviter cela ? Uniquement en introduisant l’authentification matérielle multifacteur. Cela nous permettra également de résoudre un certain nombre de problèmes, qui seront abordés plus tard.
Parallèlement, il faut rappeler que chaque utilisateur du réseau doit disposer de son propre identifiant, ce qui lui permettra de s'authentifier de manière unique et ainsi d'éviter les problèmes de dépersonnalisation du personnel.
Des mots de passe faibles donnent un faux sentiment de sécurité
N'oubliez pas que la force de la protection par mot de passe est très relative. Les mots de passe sont piratés par des attaquants à l'aide d'un dictionnaire ou d'une méthode par force brute. Il faut quelques secondes à un attaquant pour pirater à l'aide d'un dictionnaire. Si un attaquant connaît des informations personnelles sur l'utilisateur dont il essaie de deviner le mot de passe, par exemple les noms de son conjoint, de ses enfants, de ses passe-temps, la plage de recherche est considérablement réduite et ces mots sont vérifiés en premier. Les astuces fréquemment utilisées par les utilisateurs telles que remplacer la lettre « o » par le chiffre « 0 » ou la lettre « a » par le symbole « @ » ou la lettre « S » par le chiffre « 5 » ne protègent pas le mot de passe du piratage. . Parfois, des chiffres sont ajoutés à la phrase secrète au début ou à la fin, mais cela a également peu d'effet sur la sécurité. Par conséquent, nous fournissons ici de brèves recommandations sur le choix d’un mot de passe.
Tout d'abord
Pour rendre le piratage difficile, votre mot de passe doit d'abord être complexe et contenir des lettres grandes et petites, des chiffres et des caractères spéciaux. Les mots du dictionnaire, les noms et leurs modifications mineures ne peuvent pas être utilisés. Le mot de passe doit comporter au moins 8 caractères et pour les réseaux avec accès à Internet - au moins 12. Dans ce cas, le mot de passe administrateur doit comporter au moins 15 caractères. Lors de la création d'un mot de passe, utilisez des modèles prédéfinis. Cela vous permettra de mémoriser votre mot de passe si nécessaire, sans le noter sur papier.
Créez une politique de protection par mot de passe qui décrit vos exigences et familiarisez vos employés avec leurs exigences contre signature. Cela apprendra l'ordre à vos employés.
Dans les cas particulièrement critiques, utilisez l'authentification multifacteur basée sur eToken ou des cartes à puce pour organiser la protection par mot de passe. Cela rendra le piratage beaucoup plus difficile.
Pour accéder aux ressources de votre réseau depuis Internet, par exemple pour les employés travaillant à domicile, utilisez des mots de passe à usage unique.
Actions supplémentaires
Configurez la longueur minimale requise et le niveau de complexité des stratégies dans les exigences de la stratégie. Veillez toutefois à limiter la date d’expiration des mots de passe pour obliger les utilisateurs à respecter la fréquence des changements de mots de passe. Entrez une exigence pour que les mots de passe soient non répétables (par exemple, pendant 24 mois). Cela permettra aux mots de passe d'un même utilisateur d'être uniques pendant 2 ans.
Recommandation 2 : Méfiez-vous des pièces jointes et des modules téléchargés depuis Internet
Coûts : minimes (aucun investissement supplémentaire requis)
Niveau de compétence technique : faible/intermédiaire
Participants : tous ceux qui utilisent Internet
Pourquoi est-ce nécessaire ?
Aujourd’hui, l’une des méthodes les plus couramment utilisées pour propager des virus informatiques est l’utilisation du courrier électronique et d’Internet. Récemment, les virus ont appris à utiliser les adresses obtenues à partir des carnets d'adresses. Par conséquent, même recevoir des lettres provenant d’adresses que vous connaissez ne garantit plus que ces lettres ont effectivement été envoyées par ces personnes. Les entreprises doivent mettre en œuvre des politiques de sécurité de messagerie et Internet strictes qui définissent clairement ce qui peut et ne peut pas être téléchargé et ouvert sur les systèmes d'entreprise.
Tout auteur de logiciel peut le distribuer via Internet ou sous forme de pièces jointes à des courriers électroniques. Cependant, il convient de rappeler qu'en lançant un programme inconnu sur votre ordinateur, vous devenez l'otage de l'auteur de ce programme. Toute action que vous entreprenez est disponible pour ce programme. Ceux. il peut lire, supprimer, modifier et copier n'importe laquelle de vos informations. Cela pourrait permettre à un attaquant d'accéder à votre ordinateur.
Que pourrait-il arriver à cause de votre négligence ?
Il convient de rappeler que les textes d’e-mails, les pièces jointes et les modules téléchargeables sont d’excellents véhicules pour transmettre du code malveillant. Lorsque vous ouvrez une pièce jointe à un e-mail ou acceptez d'installer du code exécutable, vous copiez du code de programme dans votre environnement (parfois dans un dossier de fichiers temporaires). Cela pourrait conduire à une attaque de votre système via des vulnérabilités existantes.
Veuillez noter que si votre ordinateur est infecté, il est très probable que vos partenaires de messagerie recevront un e-mail de votre part contenant une pièce jointe qui attaquera leurs systèmes. Cela peut conduire à un arrêt complet du réseau.
Si vous ne prenez pas de précautions, vous pouvez télécharger sur votre ordinateur une application cheval de Troie capable de suivre les mots de passe que vous utilisez, d'envoyer vos informations confidentielles à une adresse spécifique, etc. Ce qu'il faut faire?
Tout d'abord
Décrire les exigences de sécurité pour l'utilisation du courrier électronique et d'Internet dans les politiques appropriées.
Apprenez aux utilisateurs que les opérations suivantes sont interdites :
1. Utilisez la fonction d'aperçu des messages électroniques.
2. Ouvrez les pièces jointes que l'application antivirus considère comme malveillantes.
3. Ouvrez les e-mails d'inconnus (vous devez simplement les supprimer), surtout si le champ « Objet » :
un. Vide ou contient un ensemble de lettres et de chiffres dénués de sens ;
b. Contient un message concernant la victoire d'un concours auquel vous n'avez pas participé ou concernant l'argent qui vous est dû ;
c. Contient une description d'un produit qui pourrait vous plaire ;
d. Contient une notification concernant un problème avec des instructions pour installer le logiciel sur votre ordinateur ;
e. Contient une notification concernant une erreur dans la facture ou la facture, mais vous n'utilisez pas ce service.
4. Si vous connaissez l'expéditeur ou décidez d'ouvrir l'e-mail, assurez-vous que le contenu, le titre de la pièce jointe et la ligne d'objet ont du sens.
Actions supplémentaires
1. Configurez votre navigateur Web pour vous avertir lorsque des modules sont téléchargés depuis Internet (cela est effectué par défaut dans Internet Explorer 7.0).
2. Supprimez et ne transférez jamais de chaînes de lettres.
3. N'utilisez jamais la fonction de désabonnement pour des services que vous n'avez pas demandés (cela permettra à l'attaquant de savoir que l'adresse e-mail est active et lui permettra de vous attaquer plus activement).
4. Désactivez les scripts Java et les contrôles ActiveX dans les paramètres de votre navigateur Web et activez-les temporairement uniquement pour certaines pages de confiance.
5. Lorsque vous décidez d'acheter un logiciel, assurez-vous qu'il existe une description claire du programme et de ses fonctions, et vérifiez également la fiabilité de la source d'information.
Recommandation 3 : Installer, maintenir et utiliser des programmes antivirus
Coût: faible/moyen (selon le nombre et les types de licences requises)
Niveau de compétence technique: faible/moyen, selon l'approche choisie
Participants: toute personne utilisant des appareils électroniques
Pourquoi est-ce nécessaire ?
De nos jours, il est difficile de surprendre qui que ce soit par la nécessité d’installer un logiciel antivirus. Selon Microsoft, le nombre de vulnérabilités exploitées par les logiciels malveillants double chaque année.
Les virus peuvent pénétrer dans votre système de différentes manières : via des disquettes, des lecteurs flash, des CD, sous forme de pièce jointe à un e-mail, sous forme de téléchargement à partir d'un site Web ou sous forme de fichier téléchargeable infecté. Par conséquent, lors de l'insertion d'un support amovible, de la réception d'un courrier électronique ou du téléchargement d'un fichier, il est nécessaire de rechercher la présence de virus.
Comment fonctionnent les programmes antivirus ?
Parmi toutes les méthodes de protection antivirus, on peut distinguer deux groupes principaux :
1. Méthodes de signature— des méthodes précises de détection des virus basées sur la comparaison d'un fichier avec des échantillons de virus connus.
2. Méthodes heuristiques— des méthodes de détection approximatives qui nous permettent de supposer avec une certaine probabilité que le fichier est infecté.
Analyse des signatures
Le mot signature dans ce cas est un calque de la signature anglaise, signifiant « signature » ou, au sens figuré, « un trait caractéristique, quelque chose d'identifiant ». En fait, cela veut tout dire. L'analyse des signatures consiste à identifier les caractéristiques d'identification de chaque virus et à rechercher des virus en comparant les fichiers avec les caractéristiques identifiées.
Une signature de virus sera considérée comme un ensemble de fonctionnalités permettant d'identifier sans ambiguïté la présence d'un virus dans un fichier (y compris les cas où l'ensemble du fichier est un virus). L'ensemble des signatures des virus connus constitue la base de données antivirus.
Une propriété supplémentaire importante des signatures est une détermination précise et garantie du type de virus. Cette propriété vous permet de saisir dans la base de données non seulement les signatures elles-mêmes, mais également les méthodes de traitement du virus. Si l'analyse des signatures donnait seulement une réponse à la question de savoir s'il existe un virus ou non, mais ne répondait pas de quel type de virus il s'agit, évidemment, le traitement serait impossible - le risque de prendre de mauvaises mesures et, au lieu d'un traitement, recevoir une perte d’informations supplémentaire serait trop importante.
Une autre propriété importante, mais déjà négative, est que pour obtenir une signature, vous devez disposer d’un échantillon du virus. Par conséquent, la méthode de signature n'est pas adaptée à la protection contre les nouveaux virus, car tant que le virus n'a pas été analysé par des experts, il est impossible de créer sa signature. C’est pourquoi toutes les grandes épidémies sont provoquées par de nouveaux virus.
Analyse heuristique
Le mot heuristique vient du verbe grec « trouver ». L’essence des méthodes heuristiques est que la solution à un problème repose sur des hypothèses plausibles, et non sur des conclusions strictes tirées de faits et de prémisses existants.
Si la méthode de signature est basée sur l'identification des caractéristiques d'un virus et la recherche de ces caractéristiques dans les fichiers analysés, alors l'analyse heuristique repose sur l'hypothèse (très plausible) que les nouveaux virus s'avèrent souvent similaires à l'un des virus. ceux déjà connus.
Un effet positif de l'utilisation de cette méthode est la capacité de détecter de nouveaux virus avant même que des signatures ne leur soient attribuées.
Points négatifs :
· La possibilité d'identifier par erreur la présence d'un virus dans un fichier alors qu'en fait le fichier est propre - de tels événements sont appelés faux positifs.
· Impossibilité de traitement - à la fois en raison d'éventuels faux positifs et d'une éventuelle détermination inexacte du type de virus, une tentative de traitement peut entraîner des pertes d'informations plus importantes que le virus lui-même, ce qui est inacceptable.
· Faible efficacité - contre les virus véritablement innovants qui provoquent les plus grandes épidémies, ce type d'analyse heuristique est de peu d'utilité.
Rechercher des virus qui effectuent des actions suspectes
Une autre méthode, basée sur l'heuristique, suppose que le logiciel malveillant tente d'une manière ou d'une autre d'endommager l'ordinateur. La méthode repose sur l’identification des principales actions malveillantes, comme par exemple :
· Suppression d'un fichier.
· Écrire dans un fichier.
· Écrivez dans des zones spécifiques du registre système.
· Ouverture d'un port d'écoute.
· Interception des données saisies au clavier.
L'avantage de la méthode décrite est la capacité de détecter des logiciels malveillants jusqu'alors inconnus, même s'ils ne ressemblent pas beaucoup à ceux déjà connus.
Les caractéristiques négatives sont les mêmes qu’avant :
· Faux positifs
· Impossibilité de traitement
Faible efficacité
Fonds supplémentaires
Aujourd'hui, presque tous les antivirus utilisent toutes les méthodes de détection de virus connues. Mais les outils de détection ne suffisent pas à eux seuls au bon fonctionnement d’un antivirus. Pour que les outils purement antivirus soient efficaces, des modules supplémentaires sont nécessaires pour remplir des fonctions auxiliaires, par exemple la mise à jour régulière des bases de données de signatures antivirus.
Ce qu'il faut faire?
Tout d'abord
1. Installez des programmes antivirus sur tous les nœuds de votre réseau (passerelles Internet, serveurs de messagerie, serveurs de bases de données, serveurs de fichiers, postes de travail).
3. Renouvelez chaque année la licence des antivirus installés (afin de pouvoir mettre à jour les fichiers de signatures).
4. Créez une stratégie anti-malware.
5. Créez des instructions pour les utilisateurs et les administrateurs système.
Actions supplémentaires
1. Configurez la protection antivirus sur tous les ordinateurs.
2. Créez un système de gestion antivirus d'entreprise à partir d'un point de contrôle unique.
3. Exécutez régulièrement un scanner antivirus (une fois par semaine suffit) pour analyser tous les fichiers.
Coût: modéré
Niveau de compétence technique : modéré/élevé, selon l’approche choisie
Participants :
Pourquoi est-ce nécessaire ?
Le pare-feu joue pratiquement le rôle d'un système de sécurité à l'entrée du bâtiment. Il examine les informations provenant et allant sur Internet et détermine si les informations seront transmises au destinataire ou seront arrêtées. Peut réduire considérablement le volume de messages indésirables et malveillants entrant dans le système. Mais en même temps, il convient de comprendre que sa mise en place et sa maintenance nécessitent du temps et des efforts. De plus, il bloque diverses formes d'accès indésirable à votre réseau.
Le plus difficile lors de la mise en place d'un pare-feu est de déterminer les règles de sa configuration, c'est-à-dire indiquer ce qui peut entrer dans le réseau (sortir du réseau). Après tout, si vous interdisez complètement la réception et l'envoi de données (stratégie tout interdire), cela signifiera la fin de la communication avec Internet. Il est peu probable que cette stratégie soit acceptable dans la plupart des entreprises. Un certain nombre d'étapes supplémentaires doivent donc être prises pour configurer le pare-feu.
Que se passe-t-il lorsqu'il n'y a pas de pare-feu ?
À moins que vous ne disposiez d'un pare-feu qui inspecte les données entrantes et sortantes, la protection de l'ensemble de votre réseau dépend uniquement de la volonté et de la capacité de chaque utilisateur à suivre les règles de gestion des e-mails et des téléchargements de fichiers. Si vous utilisez une connexion Internet haut débit, vous dépendrez également des autres utilisateurs du réseau. En l’absence de pare-feu, rien n’empêchera un attaquant d’étudier les vulnérabilités du système d’exploitation de chaque ordinateur et de les attaquer à tout moment.
Ce qu'il faut faire?
Tout d'abord
Installez un pare-feu sur votre point d'accès Internet. Expliquez aux salariés la nécessité de son utilisation. En effet, dans le processus d'élaboration de ses règles, un blocage excessif est possible, ce qui compliquera son utilisation.
Actions supplémentaires
1. Appliquez une politique de sécurité basée sur des règles de pare-feu.
2. Prévoir la possibilité de revoir et d'ajuster la politique si nécessaire.
3. Créer un mécanisme de suivi et d'ajustement des règles en fonction des besoins de l'entreprise.
Recommandation 5. Supprimer les programmes et comptes d'utilisateurs inutilisés, détruire toutes les données sur les équipements en cours de mise hors service
Coût: faible/moyen
Niveau de compétence technique : faible/moyen
Participants : spécialistes du support technique
Pourquoi est-ce nécessaire ?
Veuillez noter que les systèmes informatiques fournis prennent en charge un grand nombre de fonctionnalités, dont beaucoup vous n'utiliserez jamais. De plus, comme le processus d'installation est optimisé pour la simplicité plutôt que pour la sécurité, les fonctionnalités qui présentent un risque sérieux pour le système, telles que le contrôle à distance ou le partage de fichiers à distance, sont souvent activées.
Il convient d'envisager de désactiver et de supprimer les logiciels inutilisés afin qu'un attaquant ne puisse pas lancer une attaque via celui-ci.
Ceux. Les employés du service d'assistance technique doivent configurer la copie d'installation du système d'exploitation installé sur les postes de travail de manière à supprimer les fonctions inutilisées du système d'exploitation au stade de l'installation. Le processus de création de la copie nécessaire du système d'exploitation doit être spécifié dans le document accepté.
Dans le même temps, il ne faut pas oublier que puisque chaque utilisateur dispose de son propre compte unique, ce qui limite l'accès aux données et programmes nécessaires à l'exécution des tâches assignées, si un employé est licencié ou muté à un autre poste, ses droits doivent être annulés (supprimés le compte correspondant) ou changer en fonction de nouvelles responsabilités professionnelles.
Pour ce faire, il est nécessaire d'obliger le service de gestion du personnel à remettre au service informatique et au service de sécurité de l'information (SI) les listes des salariés licenciés (transférés) dans un délai d'un jour ouvrable après l'arrêté concerné. Et en cas de licenciement (déménagement) d'un administrateur système ou d'un administrateur de la sécurité de l'information - au plus tard 1 heure après l'ordre correspondant. Cela réduira considérablement les risques de préjudice pour l’entreprise.
Il faut également rappeler qu'actuellement une énorme quantité d'informations est stockée sur les disques durs des postes de travail, et plus encore sur les serveurs. N'importe qui peut extraire ces données en accédant au disque dur via un autre ordinateur, causant ainsi un préjudice irréparable à votre entreprise. En cas de transfert, de vente, d'élimination ou de réparation d'équipement à un tiers (par exemple, réparation sous garantie), vous devez garantir l'effacement irrécupérable de tout l'espace disque afin d'éviter toute fuite d'informations confidentielles. Dans ce cas, il existe deux manières possibles : utiliser un logiciel ou du matériel d’effacement non récupérable.
Pourquoi ne pouvez-vous pas laisser les logiciels inutilisés ?
Les logiciels et comptes inutilisés peuvent être utilisés par un attaquant pour attaquer votre système ou utiliser votre système pour lancer des attaques ultérieures. Il convient de rappeler que l'accès à votre ordinateur doit être géré avec beaucoup de prudence. Après tout, la perte de données confidentielles pour une entreprise peut entraîner des pertes financières importantes, voire la faillite. Si les données inutilisées appartiennent à d’anciens employés de votre entreprise, une fois qu’ils auront accès au système, ils pourront prendre connaissance de toutes vos affaires et causer des dommages à votre entreprise en divulguant ou en modifiant des données importantes. De plus, dans la pratique de l’auteur, il y a eu des cas où une attaque sous couvert d’un employé licencié a été menée par des employés actuels de l’entreprise.
En cas de réparation (mise à jour) d'un équipement, il convient de rappeler que les données qui y sont stockées ne disparaissent nulle part sans l'utilisation de moyens spéciaux d'effacement irrécupérable. Il existe toute une classe de logiciels qui vous permettent de récupérer les données supprimées des disques durs.
Ce qu'il faut faire?
Tout d'abord
1. Supprimez les comptes des employés licenciés. Avant de dire à une personne qu'elle sera licenciée, bloquez son accès à son ordinateur et surveillez-la lorsqu'elle se trouve sur la propriété de l'entreprise.
2. Définissez une règle interdisant l'installation de logiciels inutiles sur les ordinateurs de travail.
3. Fournir une politique de suppression des données des disques durs des ordinateurs réutilisés, éliminés, transférés, vendus ou réparés.
Actions supplémentaires
1. Supprimez les programmes et applications inutilisés.
2. Créez des formulaires pour les ordinateurs (postes de travail et serveurs), dans lesquels vous enregistrez le logiciel en cours d'installation, le but de l'installation et la personne qui a effectué l'installation.
Recommandation 6 : Utiliser des contrôles d'accès physiques sur tous les appareils informatiques
Coût: minimum
Niveau de compétence technique : faible/moyen
Participants : tous ceux qui utilisent des appareils électroniques
Pourquoi est-ce nécessaire ?
Quelle que soit la solidité de votre système de sécurité, que vous utilisiez des mots de passe simples ou complexes, si quelqu'un a un accès physique à votre ordinateur, il peut alors lire, supprimer ou modifier les informations qu'il contient. Les ordinateurs ne doivent pas être laissés sans surveillance.
Les nettoyeurs, le personnel de maintenance et les membres de la famille d'un employé peuvent involontairement (ou intentionnellement) télécharger du code malveillant ou modifier des données ou des paramètres informatiques.
S'il existe des connecteurs réseau actifs mais inutilisés dans un bureau, une salle de conférence ou toute autre pièce, n'importe qui peut se connecter au réseau et y effectuer des actions non autorisées.
Si vous utilisez des technologies sans fil, veillez à un cryptage réseau fort afin qu'un étranger ne puisse pas se connecter à votre réseau, car dans ce cas, il n'a même pas besoin d'entrer physiquement dans votre bureau.
Si votre organisation utilise des ordinateurs portables (ordinateurs portables, PDA, smartphones), veillez à crypter les supports mobiles, car aujourd'hui plus de 10 % de ces appareils sont simplement volés, et environ 20 % sont simplement perdus par les utilisateurs.
Perte de contrôle physique comme perte de sécurité
Veuillez noter que toute personne ayant un accès physique à votre ordinateur peut contourner les mesures de sécurité installées sur celui-ci et causer des dommages irréparables à votre organisation. Une grande attention doit donc être portée à la sécurité physique de vos appareils.
Ce qu'il faut faire?
Tout d'abord
Mettez en œuvre une politique d’utilisation acceptable de l’ordinateur qui comprend les éléments suivants :
1. Lorsque vous laissez votre ordinateur sans surveillance, même pendant une courte période, déconnectez-vous ou verrouillez l'écran.
2. Désigner des utilisateurs responsables pour accéder aux ordinateurs et retirer les équipements en dehors de l'entreprise.
3. Limitez l'utilisation des ordinateurs de travail à des fins professionnelles uniquement.
4. Interdire l'utilisation d'ordinateurs personnels (ordinateurs portables, PDA, smartphones) sur le réseau d'entreprise.
5. Établir la responsabilité des utilisateurs en cas de violation des règles d'utilisation des ordinateurs.
6. Tous les équipements informatiques utilisés doivent être protégés de manière fiable contre les pannes de courant.
7. Garder sous clé le matériel non utilisé et établir une procédure pour sa délivrance uniquement avec la signature d'un employé responsable.
8. Informer les employés de la politique adoptée et vérifier sa mise en œuvre de temps à autre.
Actions supplémentaires
1. Verrouillez les bureaux vides et les salles de conférence disposant de connexions réseau actives.
Recommandation 7 : Créer des copies de sauvegarde des fichiers, dossiers et programmes importants
Coût: modéré/élevé (selon le niveau d'automatisation et la complexité des outils sélectionnés)
Niveau de compétence technique : moyen/élevé
Participants : spécialistes du support technique et utilisateurs (si les utilisateurs doivent archiver eux-mêmes leurs données)
Pourquoi est-ce nécessaire ?
Pouvez-vous continuer à fonctionner efficacement si un attaquant parvient à corrompre vos systèmes ? Ou détruire les informations stockées ? Que se passe-t-il en cas de panne système inattendue ?
Dans ce cas, le moyen le plus efficace serait de restaurer les données à partir d'une copie archivée.
Pour créer une telle copie, vous devrez créer une source pour une éventuelle récupération du système si nécessaire. Il est préférable de créer une telle copie à l'aide d'un logiciel spécialisé.
N'oubliez pas que des sauvegardes doivent être créées chaque fois que les données sources changent. Choisissez l'option qui vous convient, en tenant compte des coûts (temps, équipement, achat du logiciel nécessaire), de la disponibilité du temps pour effectuer les sauvegardes et du temps requis pour effectuer le processus de restauration des copies originales à partir des sauvegardes.
Vous devriez envisager de conserver les copies de sauvegarde dans un endroit sécurisé, si possible hors site, dans un autre bâtiment, pour éviter qu'elles ne soient détruites avec l'original. Dans le même temps, il ne faut pas oublier la sécurité physique des copies de sauvegarde tant lors de leur acheminement vers le lieu de stockage que la sécurité physique du lieu de stockage lui-même.
S'il n'y a pas de copies archivées
Puisqu’il n’existe pas de protection absolue, il est très probable qu’une attaque contre votre organisation réussisse et qu’un attaquant (virus) endommage votre réseau informatique ou qu’une partie de votre équipement soit détruite en raison d’une catastrophe naturelle. Sans outils de récupération (ou s'ils sont mal configurés), vous aurez besoin de beaucoup de temps et d'argent pour restaurer le système (cependant, bien sûr, cela suppose que vous parveniez à le restaurer, ce qui n'est pas du tout évident).
Tout d'abord
1. Créez un planning de sauvegarde. Lors de sa création, gardez à l'esprit que vous devrez restaurer manuellement toutes les modifications survenues depuis le moment de la création de la sauvegarde jusqu'au moment de la restauration.
2. Conservez les sauvegardes pendant une période suffisamment longue pour que les problèmes découverts tardivement puissent être corrigés.
3. Testez le processus de sauvegarde et vérifiez le processus de restauration de temps en temps.
4. Créez un plan d’urgence.
5. De temps à autre, examinez le rendement des employés en cas d'urgence et leur connaissance de leurs responsabilités.
Actions supplémentaires
1. Automatisez autant que possible le processus d’archivage.
2. Assurez-vous que l'heure et la date sont enregistrées pendant le processus de sauvegarde.
3. Faites des copies sur divers supports.
4. Vérifiez le processus de sauvegarde, en restaurant et en surveillant l'exactitude des données récupérées.
.
Recommandation 8 : Installer les mises à jour logicielles
Coût: modéré - frais de maintenance du logiciel plus temps du personnel consacré à l'installation et aux tests
Niveau de compétence technique : moyen/élevé
Participants : spécialistes du support technique
Pourquoi est-ce nécessaire ?
Pour améliorer le logiciel ou corriger des bugs, les fournisseurs publient régulièrement des mises à jour (correctifs). Beaucoup de ces mises à jour sont conçues pour remédier à des vulnérabilités logicielles qui peuvent être exploitées par des attaquants. En installant régulièrement ces mises à jour, vous pouvez minimiser le risque que les vulnérabilités soient exploitées et nuisent à votre organisation.
En général, les mises à jour gratuites sont proposées sur le site Web de l'éditeur de logiciel concerné. Pour être averti lorsque des mises à jour sont disponibles, il est recommandé de vous abonner à une newsletter gratuite du fournisseur concerné.
De plus, vous devez savoir qu’il est fort probable qu’une mise à jour, tout en supprimant une vulnérabilité, en crée une autre.
Lors de l'installation des mises à jour, n'oubliez pas de les tester avant l'installation.
Si vous n'installez pas les mises à jour
N'oubliez pas que tous les logiciels sont écrits par des personnes et que les personnes font des erreurs ! Par conséquent, tout logiciel contient des erreurs. En n'installant pas de mises à jour, vous risquez de ne pas corriger les vulnérabilités déjà identifiées par d'autres personnes et exploitées avec succès par les attaquants et les logiciels malveillants qu'ils écrivent. Plus vous n’installez pas de mises à jour longtemps, plus il est probable que tôt ou tard des attaquants utilisent des vulnérabilités que vous n’avez pas corrigées pour attaquer votre système.
Ce qu'il faut faire?
Tout d'abord
Lors de l'achat d'un logiciel, faites attention à la manière dont les mises à jour sont fournies. Découvrez si une assistance technique est disponible. Si aucune mise à jour n'est fournie, découvrez comment effectuer la mise à niveau vers la nouvelle version et quand l'attendre.
Maintenir les systèmes d'exploitation et les logiciels de communication à jour le plus rapidement possible. Abonnez-vous au service de notifications.
Actions supplémentaires
Certains développeurs de logiciels proposent des logiciels qui se tiennent à jour avec les mises à jour. Un tel logiciel a pour fonction de vérifier, télécharger et installer les mises à jour. Dans le même temps, il ne faut pas oublier que vous devez d'abord tester la mise à jour présentée, puis l'installer ensuite seulement.
Recommandation 9 : Mettre en œuvre la sécurité du réseau avec le contrôle d'accès
Coût:
Niveau de compétence technique : modéré/élevé
Participants : spécialistes du support et tous les utilisateurs du réseau
Pourquoi est-ce nécessaire ?
Un bon système de sécurité des informations comprend la protection de l'accès à tous les composants du réseau, y compris les pare-feu, les routeurs, les commutateurs et les postes de travail connectés.
Étant donné que tout cela est également dispersé géographiquement, assurer le contrôle de tous ces équipements et logiciels est une tâche difficile.
Plus d'informations
Il est extrêmement important d’avoir un contrôle d’accès fort lors de l’utilisation de réseaux sans fil. Il est facile d'accéder à un réseau sans fil non sécurisé et de mettre l'ensemble de votre organisation en danger.
L'utilisation de l'accès à distance au réseau d'une organisation doit être soigneusement surveillée, car une utilisation incontrôlée de tels points d'accès entraînera le piratage de l'ensemble du réseau de l'organisation.
Que se passe-t-il lorsque le réseau n’est pas protégé de manière sécurisée ?
Si une protection fiable n'est pas fournie, il est facile de comprendre qu'un tel réseau sera piraté en quelques heures ou minutes, surtout si l'accès à Internet est fourni via une connexion haut débit. À son tour, un appareil compromis constituera une menace pour le reste du réseau, car il sera ensuite utilisé pour attaquer l’ensemble du réseau.
Il convient de rappeler que le plus grand danger ne vient pas des cambrioleurs externes, mais internes, c'est-à-dire attaquants parmi le personnel. Si la sécurité est très mauvaise et que personne ne s'en occupe sérieusement, les employés peuvent pirater les ordinateurs de leurs collègues, car il existe suffisamment de ressources pour cela sur Internet.
Ce qu'il faut faire?
Tout d'abord
1. Restreindre l'accès aux composants pour les protéger contre tout accès non autorisé et tout dommage ;
2. Mettre en œuvre une procédure d'authentification basée sur une protection fiable par mot de passe ;
3. Désactivez les fonctions de partage de fichiers et d'imprimantes sur chaque ordinateur ;
4. Donner des instructions aux employés sur la façon d'éteindre les ordinateurs lorsqu'ils ne sont pas utilisés ;
5. Fournir l'accès aux dispositifs de sécurité du réseau uniquement aux employés responsables de leur maintenance et de leur support ;
6. Exiger une authentification pour les connexions sans fil et à distance.
Actions supplémentaires
1. Analyser la possibilité de mettre en œuvre des outils d'authentification forte (cartes à puce, mots de passe matériels à usage unique, eToken, etc.) pour organiser l'accès à distance aux composants clés du réseau.
2. Formez les employés à l’utilisation de ces appareils.
3. Établir une surveillance des intrusions pour garantir une bonne utilisation du réseau.
Recommandation 10 : Limiter l'accès aux données précieuses et confidentielles
Coût: modéré/élevé, selon l'option choisie
Niveau de compétence technique : modéré/élevé
Participants : spécialistes du support technique
Pourquoi est-ce nécessaire ?
Puisque nous ne pouvons pas espérer que les employés respecteront toutes les règles établies, nous sommes obligés de surveiller leur comportement et de ne pas donner une autre raison pour enfreindre les instructions.
Qu’est-ce que cela signifie dans notre cas ?
1. Le courrier électronique n'est consulté que par ceux à qui il est adressé ;
2. L'accès aux fichiers et aux bases de données est limité aux personnes disposant de l'autorité appropriée, et pas plus que ce dont ils ont besoin pour effectuer leur travail.
Et si tel est le cas, nous devons donc contrôler la visualisation et l’utilisation des informations à l’aide de listes d’accès appropriées.
Si vous ne pouvez pas contrôler étroitement l'accès aux données, ces données doivent être cryptées. Dans ce cas, le mécanisme de chiffrement doit être suffisamment complexe pour rendre le déchiffrement aussi difficile que possible.
Ce qu'il faut faire?
Tout d'abord
1. Expliquez aux employés la nécessité d'être prudents lors de l'envoi de données confidentielles via des canaux électroniques ;
2. Lors des tests, n’utilisez pas de données réelles ;
3. N'utilisez pas d'ordinateurs publics pour accéder à des informations confidentielles ;
4. Ne divulguez pas d'informations personnelles et financières sur des sites peu connus.
Recommandation 11 : Établir et suivre un plan de gestion des risques de sécurité
Coût: modérée, méthodologie de gestion des risques disponible gratuitement
Niveau de compétence technique : faible/modéré
Participants : des représentants de tous les niveaux de l'entreprise et des spécialistes du support
A quoi ça sert ?
Pour que la protection de vos informations soit vraiment efficace, la sécurité doit être systématiquement mise en œuvre dans toute l’organisation. Il faut comprendre que la mise en œuvre des mesures de contrôle technique les plus strictes n'est pas une panacée. Il est nécessaire de mettre en œuvre de manière globale des mesures de protection organisationnelles et techniques. La meilleure solution est de mettre en œuvre un plan de gestion des risques de sécurité.
Le processus de planification devrait inclure les éléments suivants :
1. Former et informer les utilisateurs sur les questions de sécurité ;
2. Politiques et règles de sécurité ;
3. Activités de sécurité conjointes (partenaires, sous-traitants, sociétés tierces) ;
4. Politique de continuité des activités ;
5. Sécurité physique ;
6. Sécurité du réseau ;
7. Sécurité des données.
Dans les activités quotidiennes, il n’est pas difficile de négliger des activités telles que la formation des employés en matière de sécurité et la planification de la continuité des activités. Cependant, vous devez comprendre que votre entreprise dépend des technologies de l’information bien plus que vous ne l’imaginez.
Que se passe-t-il en l’absence d’un plan de gestion des risques de sécurité ?
Si vous ne disposez pas d'un plan clair de gestion des risques, vous êtes alors obligé de répondre à tous les incidents de sécurité après coup. Toutes vos mesures se résumeront à colmater les trous.
Ce qu'il faut faire?
Tout d'abord
Créer et réviser un plan d’urgence :
1. Identifiez les principales menaces qui pèsent sur votre organisation.
2. Analyser l'impact des risques naturels (inondations, ouragans, panne de courant prolongée).
Actions supplémentaires
1. Identifiez vos actifs technologiques ;
2. Identifier les menaces pesant sur ces actifs ;
3. Élaborer un plan de sécurité.
Recommandation 12 : Rechercher une assistance technique et une assistance tierce si nécessaire
Coût: faible/élevé, selon les services requis
Niveau de compétence technique : moyen/élevé
Participants : spécialistes de la gestion d'entreprise et du support technique
Obtenez l'aide dont vous avez besoin
La sécurité des informations ne peut pas être obtenue par essais et erreurs. La sécurité est un processus dynamique qui ne pardonne pas les erreurs. En outre, il convient de comprendre que la création d'un système de sécurité de l'information est un processus continu dont la construction ne peut être confiée à des amateurs.
Les candidats à des postes liés à la sécurité de l’information doivent être soigneusement examinés. Les acteurs de la sécurité ne devraient pas émettre le moindre doute. Exigez qu’ils soient en mesure de vous montrer comment les mesures qu’ils ont prises peuvent protéger votre entreprise contre les attaques.
Ce qu'il faut faire?
Tout d'abord
Si vous envisagez de faire appel à un soutien externe, veuillez noter ce qui suit :
1. Expérience professionnelle.
4. Depuis combien de temps l’entreprise exerce ce métier.
5. Quel spécialiste travaillera spécifiquement avec vous.
6. Leurs qualifications, disponibilité des certificats.
7. Comment le soutien est fourni.
8. Comment l'accès externe est contrôlé.
Actions supplémentaires
Réalisez un audit de votre service de sécurité (externe ou interne) au moins une fois par an.
Conclusion
J'aimerais croire que ces conseils peuvent vous aider dans la tâche difficile de protéger les informations. Il convient de comprendre que personne ne peut vous donner des recommandations complètes. La protection des informations est un processus continu et sa création doit être confiée à des professionnels.
Mode d'emploi pour la sécurité informatique de l'établissement d'enseignement budgétaire d'État de l'école secondaire de la région de Samara. Kamenny Brod, district municipal de Chelno-Vershinsky, région de Samara
Afin d'assurer la sécurité informatique, l'utilisateur est tenu de :
1. Installez les dernières mises à jour du système d'exploitation Windows (http://windowsupdate.microsoft.com)
2. Activez le mode de téléchargement automatique des mises à jour. (Démarrer-> Paramètres -> Panneau de configuration -> Téléchargez et installez automatiquement les mises à jour recommandées sur votre ordinateur).
3. Téléchargez le logiciel Windows Defender depuis www.microsoft.com et installez-le sur tous les ordinateurs. Activez le mode de vérification automatique. Activez le mode d'analyse programmée tous les jours.
4. Activez le pare-feu Windows intégré (Démarrer -> Paramètres -> Panneau de configuration -> Pare-feu Windows -> Activer).
5. Installez un logiciel antivirus sur chaque ordinateur. Activez le mode d'analyse automatique du système de fichiers. Activez l'analyse automatique quotidienne de l'ensemble du système de fichiers lorsque vous allumez l'ordinateur. Activez la fonction de mise à jour automatique quotidienne des bases de données antivirus.
6. Vérifiez quotidiennement l'état du logiciel antivirus, à savoir :
6.1. assurez-vous que le mode de protection automatique est toujours activé ;
6.2. la date de mise à jour des bases antivirus ne doit pas différer de plus de quelques jours de la date actuelle ;
6.3. afficher les journaux des analyses antivirus quotidiennes ;
6.4. contrôler la suppression des virus dès leur apparition.
7. Au moins une fois par mois, visitez http://windowsupdate.microsoft.com et vérifiez si les dernières mises à jour du système d'exploitation sont installées.
8. Soyez extrêmement prudent lorsque vous travaillez avec le courrier électronique. Il est strictement interdit d'ouvrir des fichiers joints à des lettres reçues d'inconnus.
9. Surveillez les visites des utilisateurs sur les sites Internet. N'autorisez pas les visites à ce qu'on appelle. "piratage", porno et autres sites au contenu potentiellement dangereux.
10. Assurez-vous de vérifier tous les supports de stockage externes avec un logiciel antivirus avant de commencer à travailler avec eux.
11. Si des signes de fonctionnement non standard de l'ordinateur apparaissent (« ralentit », des fenêtres, des messages, des images apparaissent et disparaissent à l'écran, des programmes démarrent tout seuls, etc.), déconnectez immédiatement l'ordinateur du réseau interne, démarrez l'ordinateur à partir d'un disque de démarrage externe (CD, DVD) et effectuez une analyse antivirus complète de tous les disques de l'ordinateur. Si des symptômes similaires apparaissent après la procédure, réinstallez le système d'exploitation et formatez la partition système du disque.