Uzņēmuma līmeņa drošība, kurai varat uzticēties

• Organizācija ievieš uzbrukumu uzraudzības rīkus, piemēram, tīkla iekļūšanas noteikšanas un novēršanas sistēmas un tīmekļa lietotņu ugunsmūrus.
• Papildus tiek izmantoti 7. līmeņa tīmekļa lietotņu ugunsmūri.

• Antivīruss un ļaunatūras novēršanas programmatūra ir uzstādīta visos gala ierīcēs (datoros, klēpjdatoros, viedtālruņos un planšetēs).
• Programmu parakstīšana, smiltīs izolēšana un failu karantīna tiek pielietota visos viedtālruņos un planšetēs.
• Tiek izmantotas EDR/XDR tehnoloģijas kā ļaunatūras novēršanas aģenti visos galddatoros un klēpjdatoros.
• EDR/XDR tiek pārvaldīti un uzraudzīti no Drošības Operāciju Centra (SOC), kas darbojas 24/7.
• Antivīruss tiek pārvaldīts centrāli un uzraudzīts tikai ar autorizētiem darbiniekiem.

• Organizācija ievieš kontroli, kas ierobežo piekļuvi datiem starp uzticamiem serveriem un lietojumprogrammām, izmantojot šifrētus kanālus ar spēcīgu autentifikāciju.
• Papildus ir ieviestas kontroles, kas ierobežo piekļuvi kritiskiem datiem un lietojumprogrammām no trešām pusēm, izmantojot tikai uzticamus ierīces vai gala punktus, šifrēšanu un spēcīgu autentifikāciju.
• Tiek ieviesta daudzfaktoru autentifikācija (MFA) darbinieku piekļuvei kritiskiem datiem lietojumprogrammās.
• Piekļuve datiem tiek ierobežota, tāpēc konsultantiem, kas piekļūst mūsu lietojumprogrammām, arī ir jāizmanto uzticami gala punkti.

• Ieraksti, kas saņemti, izmantojot HTTPS savienojumus, tiek aizsargāti ar TLS 1.2 vai augstāku šifrēšanu.
• Tādas pašas aizsardzības tiek izmantotas citiem šifrētiem savienojumiem, piemēram, IPsec, SSH un SFTP.
• Asimetriskās šifrēšanas izmantotās programmas failu vai ziņojumu šifrēšanai ir RSA ar atslēgām vismaz 2048 biti vai ECC ar standarta līkņu, piemēram, P256 izmantošanu.
• Simetriskās šifrēšanas izmantotās programmas failu vai ziņojumu šifrēšanai ir AES ar atslēgām vismaz 256 biti.
• Visi galddatori, klēpjdatori, viedtālruņi un planšetes ir aizsargāti ar pilnīgu diska šifrēšanu.
• Backup ārējie datu bāžu faili ir aizsargāti ar spēcīgu šifrēšanu.
• E-pasta ziņojumi tiek šifrēti to pārsūtīšanas laikā, izmantojot internetu, no servera uz serveri, gan ienākošos, gan izejošos, ar TLS šifrēšanu pēc iespējas.
• Specifiski e-pasta domēni tiek aizsargāti ar obligātu TLS šifrēšanu to pārsūtīšanas laikā.
• Tirgotāja API prasa izmantot kriptogrāfiskās parakstīšanas tehnoloģijas gan ienākošiem pieprasījumiem, gan izejošām atbildēm, kā arī TLS šifrēšanu to pārsūtīšanas laikā. Tas nodrošina pierādījumu par piederību un samazina MITM uzbrukumu risku.
• Izmantojot norēķinu pakalpojumu, tiek pielietota punktu līdz punktam šifrēšana katram sesijai, lai aizsargātu galīgo lietotāja sensitīvo informāciju, piemēram, paroles vai izaicinājuma kodus.

• Tiek izmantoti 3. līmeņa ugunsmūri vietējo tīklu uzraudzībai, lai atbalstītu piekļuves kontroles sarakstu (ACL) ieviešanu.
• Tiek izmantoti 3. līmeņa ugunsmūri, lai kontrolētu tīkla trafiku starp internetu un organizāciju.
• Tiek izmantoti 7. līmeņa ugunsmūri, lai uzraudzītu un kontrolētu trafiku starp internetu un organizācijas pakalpojumiem.
• Tiek izmantoti ACL tīklos, lai kontrolētu saziņu starp organizācijas tīklu, vietnēm un mākonim.
• Tiek izmantoti ACL sistēmās, lai kontrolētu piekļuvi sistēmai vai objektiem (piemēram, uzglabāšanas objektiem).
• ACL tiek pārvaldīti ar autorizētiem darbiniekiem un balstās uz amata aprakstiem (ACL sistēmām) vai iepriekš apstiprinātiem tīkla dizainiem (tīkla ACL).
• ACL tiek regulāri pārskatīti (atkarībā no klasifikācijas) vai pēc būtiskiem izmaiņām.

• Loģiskā piekļuves kontrole ir ieviesta visās organizācijas sistēmās un pakalpojumos.
• Piekļuves tiesības tiek piešķirtas, pamatojoties uz apstiprinājuma procesu, un tās ir saistītas ar amata aprakstu.
• Piekļuves tiesības tiek piešķirtas, pamatojoties uz minimālajiem privilēģijiem.
• Piekļuves tiesības tiek regulāri pārskatītas, ņemot vērā sistēmas/pakalpojuma klasifikāciju.

• Centrālā žurnālu ierakstīšanas sistēma tiek ieviesta visās organizācijas pakalpojumu piedāvāšanā piedalītajās lietojumprogrammās.
• Žurnāli ir pieejami tikai autorizētiem darbiniekiem, ievērojot nepieciešamības zināšanas principu.
• Žurnālu pārvaldība tiek veikta ar autorizētu personālu.
• Žurnālu pārvaldība ģenerē brīdinājumus, pamatojoties uz iepriekš definētiem kritērijiem.

• Organizācija ievieš MDM risinājumu visu gala ierīču (darbdatoru, klēpjdatoru, viedtālruņu un planšetdatoru) pārvaldībai gan darbiniekiem, gan ilgtermiņa konsultantiem.
• MDM risinājums kontrolē piekļuvi katrai ierīcei, izmantojot nosacītu piekļuvi un divu faktoru autentifikāciju.
• MDM risinājums pārvalda ierīču konfigurāciju, piemēram, atļautās lietojumprogrammas un drošības konfigurācijas, piemēram, šifrēšanu un piekļuves akreditācijas datus. MDM risinājums pārvalda ierīču atjauninājumus, piemēram, operētājsistēmas un lietojumprogrammas, ko var nosūtīt uz konkrētām ierīcēm, ja nepieciešams.
• MDM risinājums ļauj attālināti bloķēt vai izdzēst ierīces.
• MDM risinājums tiek pārvaldīts tikai ar autorizētu personālu.
• The MDM solution is managed by authorised employees.

• Organizācija ievieš vairāku faktoru autentifikāciju (MFA) gan sniegtajiem, gan izmantotajiem pakalpojumiem.
• Organizācija izmanto dažādas MFA pieejas atkarībā no sistēmas/pakalpojuma/datu klasifikācijas:
  1. Aparatūras tokeni MFA
  2. Ierīces sertifikāti
  3. Lietotāja sertifikāti
  4. Programmatūras tokeni MFA (piemēram, TOTP)
  5. SMS (īsziņu) MFA

Drošības atjauninājumi tiek instalēti automātiski.

Avota koda izmaiņas tiek kriptogrāfiski parakstītas ar GPG, izmantojot izstrādātāja privāto atslēgu, kas glabājas personīgā HSM ierīcē.

• Organizācijai ir ievainojamību pārvaldības programma iekšējiem un publiski pieejamiem resursiem un pakalpojumiem.
• Organizācija izmanto avota koda ievainojamību skeneri.
• Organizācija veic iekšējo un publiski pieejamo resursu un pakalpojumu ievainojamību novērtēšanu katru nedēļu, klasificējot riskus pēc to smaguma pakāpes.