Ինչու՞ է սա կարևոր

Շատ հաճախ պետական ծառայությունները օգտատերերի մասին անձնական զգայուն տվյալներ են պարունակում, որոնց գաղտնիության պահպանումը պետության իրավական պարտավորությունն է: Ուստի մշտապես անհրաժեշտ է կիրառել տվյալների անվտանգության ապահովման և խարդախության ռիսկերի կառավարման հստակ սահմանված մոտեցում։

Անվտանգ ծառայությունների ստեղծման համար կարող եք կիրառել միջազգայնորեն ընդունված ստուգաթերթեր ու մեթոդներ։ 

Ստորև ներկայացված ստուգաթերթի մշակման համար կիրառվել են CIS Security Controls մոտեցումները:

Ինչպե՞ս կիրառել

  • Սահմանեք տվյալների անվտանգ մշակման (նույնականացման, դասակարգման, պահպանման ու տնօրինման) գործընթացներ և տեխնիկական հսկողություն իրականացրեք դրանց նկատմամբ։ 
  • Կազմակերպության ակտիվների (օգտատերերի համակարգչային և բջջային սարքեր, ցանցային սարքեր, սերվերներ) և ծրագրակազմի (օպերացիոն համակարգեր և հավելվածներ) համար ապահովեք անվտանգության պատշաճ կարգավորումներ։ 
  • Սահմանեք հստակ ծրագիր և բյուջե՝ ծառայության մատուցման ողջ ընթացքում տվյալների անվտանգության վերահսկման համար  (օրինակ՝ արձագանքելով նոր սպառնալիքներին, սահմանելով պատշաճ հսկողություն և կիրառելով թվային ծառայության անհրաժեշտ տեխնիկական թարմացումներ)։
  • Գույքագրեք և վերահսկեք կազմակերպության բոլոր ակտիվները, որոնք ֆիզիկապես, առցանց կամ հեռակա եղանակով կապված են ենթակառուցվածքին։ Դա թույլ կտա բացահայտել կասկածելի ակտիվները և վերացնել դրանք։
  • Գույքագրեք և վերահսկեք կազմակերպության ցանցում ներառված ողջ ծրագրակազմը (օպերացիոն համակարգեր, հավելվածներ)՝ թույլատրելով միայն լիազորված գործիքների տեղադրումն ու գործարկումը։
  • Օգտատերերի անձնական տվյալները մշակելիս պատշաճ կերպով ապահովեք դրանց անվտանգությունն ու գաղտնիությունը։
  • Ընդգրկեք կազմակերպության ռիսկերի համար պատասխանատու պաշտոնյայի (օրինակ՝ կառույցի տեղեկատվական անվտանգության պատասխանատու), ով իրավասու կլինի ռիսկերի նվազեցմանն ուղղված քայլեր ձեռնարկել ու կանխարգելիչ ծրագիր մշակել՝ համագործակցելով հնարավոր շահառուների հետ։
  • Մշակեք միջադեպերին արձագանքելու կարողությունների զարգացման և պահպանման ընթացակարգեր՝ հարձակումներին նախապատրաստվելու, հայտնաբերելու և արագ արձագանքելու համար:
  • Օգտագործեք մեթոդներ և գործիքներ, որոնք կօգնեն կառավարել և վերահսկել հասանելիությունը կազմակերպության ակտիվներին և ծրագրակազմերին: 
  • Իրականացրեք ծառայության խոցելիության և ներթափանցման պատշաճ թեստավորումներ։
  • Վերահսկեք և պահպանեք համակարգում տեղի ունեցող բոլոր իրադարձությունները։  Թվային ծառայության դեպքում համակարգում կատարված ցանկացած քայլի համար պետք է լինի տեղեկություն, թե ով է կատարել այդ քայլը, երբ և ինչ նպատակով։ Այդ տեղեկությունները կարող են օգնել հայտնաբերել ու կանխարգելել հարձակումը կամ վերականգնել համակարգը հարձակումից հետո։
  • Բարելավեք էլեկտրոնային փոստով և այլ ուղիներով ներթափանցող սպառնալիքների հայտնաբերմանը և դրանցից պաշտպանությանն ուղղված գործընթացները։
  • Կանխեք կազմակերպության ակտիվների վրա վնասակար հավելվածների կամ կոդերի տեղադրումը, տարածումը և գործարկումը:
  • Անվտանգ վեբ կոդ գրելու համար օգտագործեք տեղեկատվական անվտանգության միջազգայնորեն ճանաչված OWASP Top 10 ստանդարտները (նյութերը ներկայացված են անգլերեն)։
  • Հետևեք քուքի-ֆայլերի օգտագործման ուղեցույցներին:
  • Ստեղծեք և կիրառեք տվյալների վերականգնման մեթոդաբանություն, որը թույլ կտա որևէ հարձակումից հետո վերադարձնել կազմակերպության ակտիվներն ու տվյալները այն վիճակում, ինչպիսին մինչև հարձակումն էր՝ ապահովելով դրանց վստահելիությունը։
  • Ցանցային սարքերը ներդրեք և կառավարեք այնպես, որ խոցելի ծառայություններն ու մուտքի կետերը պաշտպանված լինեն հնարավոր հարձակումներից։ 
  • Մշակեք գործընթացներ և գործիքներ ցանցի ամբողջական մոնիթորինգի և պաշտպանության համար՝ ցանցային ենթակառուցվածքի և օգտատերերի բազայի ողջ մակարդակով:
  • Համագործակցեք անվտանգության մարմինների հետ՝ համոզվելու համար, որ ծառայությունը համապատասխանում է անվտանգության պահանջներին ու կանոնակարգերին՝ վտանգի չենթարկելով օգտատերերի տվյալները։
  • Ստեղծեք և կիրառեք աշխատակիցների իրազեկմանն ուղղված ծրագրեր, որոնք ևս կնպաստեն կազմակերպության կիբերանվտանգության ռիսկերի նվազմանը։
  • Պատշաճ կերպով կառավարեք ստեղծված կամ ձեռք բերված ծրագրակազմի անվտանգության կենսացիկլը՝ անվտանգային թերությունները հայտնաբերելու և վերացնելու նպատակով, քանի դեռ դրանք չեն ազդել կազմակերպության վրա։ 

Ստեղծվող թվային ծառայությունների անվտանգության ապահովման առավել մանրամասն ստուգաթերթ ստանալու համար կարող եք դիմել Հայաստանի տեղեկատվական համակարգերի գործակալության կիբերանվտանգության թիմին՝ ուղարկելով էլեկտրոնային հաղորդագրություն cert@am-cert.am հասցեին։

Գործիքներ և ձևանմուշներ

Ձեռք բերվող ծառայության տեխնիկական առաջադրանքում ներառվող տեքստեր՝ թվայնացման ստանդարտների պահանջների բավարարման համար