# Рекомендации по информационной безопасности

## Общие рекомендации

### Требования к паролям

Для защиты учетных записей в `Global ERP` рекомендуется соблюдать следующие правила:

- пароль должен содержать не менее 12 символов;
- пароль должен включать буквы в разных регистрах, цифры и специальные символы;
- не следует использовать простые и типовые пароли;
- не следует записывать пароли на бумажных носителях, хранить их в незащищенных файлах и передавать другим лицам;
- для создания и хранения паролей рекомендуется использовать корпоративный менеджер паролей.

### Использование двухфакторной аутентификации

Для доступа к критичным функциям системы рекомендуется использовать дополнительное подтверждение личности.

Рекомендуется:

- применять двухфакторную аутентификацию для администраторов системы и пользователей с расширенными правами;
- в качестве основного способа подтверждения использовать приложения-аутентификаторы или аппаратные ключи безопасности;
- не использовать `SMS` как основной способ второго фактора, если есть возможность применить более защищенные методы.

### Принцип минимально необходимых прав

Пользователям рекомендуется предоставлять только тот уровень доступа, который необходим для выполнения их рабочих задач.

Рекомендуется:

- разделять административные полномочия;
- не совмещать в одной учетной записи избыточный набор прав;
- регулярно пересматривать выданные права доступа;
- проводить аудит прав доступа не реже одного раза в квартал.

### Действия при инциденте информационной безопасности

При подозрении на компрометацию системы, утечку данных или несанкционированный доступ рекомендуется:

1. ограничить дальнейшее взаимодействие с затронутой системой в соответствии с внутренним регламентом;
2. обеспечить сохранность журналов и иных данных, необходимых для расследования;
3. уведомить ответственную службу информационной безопасности;
4. выполнять дальнейшие действия в соответствии с утвержденным порядком реагирования на инциденты.

### Резервное копирование

Рекомендуется:

- выполнять регулярное резервное копирование данных;
- хранить резервные копии в изолированном контуре;
- использовать шифрование резервных копий;
- регулярно выполнять тестовое восстановление.

Периодичность резервного копирования, сроки хранения и порядок проверки рекомендуется определять внутренними регламентами организации.

### Ограничение использования несанкционированных сервисов

Рекомендуется исключить обработку рабочих данных `Global ERP` вне корпоративной инфраструктуры.

Не рекомендуется:

- размещать рабочие данные в публичных облачных сервисах без согласования;
- передавать логины, пароли, журналы и конфигурационные файлы через неутвержденные каналы связи;
- копировать рабочие данные на личные носители без разрешения.

### Обучение пользователей

Рекомендуется организовать регулярное обучение пользователей вопросам информационной безопасности.

В программу обучения рекомендуется включать:

- правила безопасной работы с учетными данными;
- противодействие фишингу и социальной инженерии;
- порядок работы с чувствительными данными;
- действия при выявлении инцидентов информационной безопасности.

### Защита автоматизированных рабочих мест

Рабочие места с доступом к `Global ERP` рекомендуется защищать стандартными средствами информационной безопасности.

Рекомендуется:

- использовать антивирусное программное обеспечение, одобренное ИТ-подразделением;
- не отключать защитные механизмы без согласования;
- использовать межсетевой экран на рабочих станциях и серверах;
- своевременно устанавливать обновления операционной системы и прикладного программного обеспечения;
- контролировать актуальность сигнатур и обновлений защитных средств.

## Рекомендации по безопасности Global ERP

### Базовый уровень безопасности

Рекомендуется сформировать и применять базовый профиль безопасности для типового развертывания системы.

Базовый профиль может включать:

- отключение неиспользуемых учетных записей;
- включение многофакторной аутентификации для административных учетных записей;
- использование защищенных протоколов и актуальных версий `TLS`;
- запуск серверных процессов от отдельной учетной записи операционной системы.

Если готовый профиль безопасности не используется, рекомендуется выполнить аналогичные настройки вручную.

### Управление ролями и полномочиями

Рекомендуется:

- использовать утвержденные роли доступа;
- по возможности избегать ручного назначения отдельных прав вне ролевой модели;
- анализировать конфликты полномочий;
- согласовывать изменения ролей и фиксировать их в журналах или заявках на изменение.

В оперативном режиме работы системы не следует использовать учетные записи суперпользователей, то есть учетные записи с расширенными или максимальными правами доступа.

Начальная административная учетная запись используется только на этапе первичной настройки: для создания ролей, профилей и назначения административных полномочий. После настройки ролевой модели с начальной административной учетной записи необходимо снять права суперпользователя. При необходимости учетную запись можно дополнительно заблокировать, отключить или удалить по регламенту заказчика.

Текущее администрирование должно выполняться через именные учетные записи администраторов. Для них назначаются отдельные административные роли и профили, ограниченные задачами управления и настройки системы. Такие учетные записи не должны использоваться для работы с основным прикладным функционалом, если это не требуется по рабочим задачам.

### Мониторинг критичных операций

Рекомендуется контролировать:

- изменение мастер-данных;
- массовый экспорт данных;
- выполнение критичных действий в нерабочее время;
- попытки обхода контрольных процедур.

События безопасности рекомендуется передавать во внешние системы мониторинга и `SIEM`, если такие средства используются в инфраструктуре организации.

### Требования к инфраструктуре

Рекомендуется:

- размещать сервер приложений и базу данных в изолированном сетевом сегменте;
- ограничивать доступ к системе из внешних сетей;
- публиковать веб-интерфейсы через доверенный обратный прокси с включенным `TLS`;
- ограничивать физический доступ к серверам;
- использовать поддерживаемые версии операционных систем, систем управления базами данных и сопутствующего ПО.

### Настройка базы данных

Рекомендуется:

- не использовать системную учетную запись `postgres` или ее аналог для работы приложения;
- создать отдельную учетную запись базы данных для `Global ERP`;
- ограничить подключения к базе данных по сетевым адресам;
- использовать безопасные методы аутентификации;
- включить шифрование сетевого взаимодействия;
- настроить журналирование операций изменения данных в соответствии с требованиями эксплуатации и аудита.

### Управление обновлениями

Рекомендуется:

- устанавливать обновления безопасности в регламентированные сроки;
- предварительно тестировать обновления в отдельной среде;
- использовать только доверенные источники обновлений;
- проверять подлинность пакетов и дистрибутивов.

### Безопасность при кастомизации

При разработке и внедрении доработок рекомендуется:

- контролировать зависимости сторонних библиотек;
- использовать средства статического анализа кода;
- исключать небезопасные конструкции и отладочные механизмы в промышленной среде;
- проверять пользовательские доработки на соответствие внутренним требованиям безопасной разработки.

### Контроль технического долга

Рекомендуется не оставлять в промышленной среде:

- временные учетные записи;
- временные правила сетевого доступа;
- устаревшие версии операционных систем, `СУБД` и библиотек без плана обновления.

Если такие исключения временно необходимы, рекомендуется ограничивать срок их действия и согласовывать их по внутреннему регламенту.

### Интеграция с корпоративными средствами мониторинга

При наличии в инфраструктуре соответствующих средств рекомендуется интегрировать `Global ERP` с системами мониторинга и анализа событий.

Возможные направления интеграции:

- экспорт метрик состояния системы;
- передача журналов во внешние системы сбора и анализа;
- контроль доступности сервисов и ключевых точек входа;
- контроль параметров защищенного соединения и времени отклика.

## Подход Security by Design

### Архитектурные принципы

При проектировании и развитии решений на базе `Global ERP` рекомендуется учитывать следующие принципы:

- отсутствие неявного доверия к внутренней сети;
- анализ угроз для критичных компонентов;
- изоляция данных и компонентов в многоконтурных и многопользовательских сценариях;
- централизованный контроль доступа к данным и функциям системы.

### Аутентификация

Рекомендуется:

- использовать современные протоколы аутентификации и единого входа;
- включать многофакторную аутентификацию для привилегированных пользователей;
- ограничивать число неуспешных попыток входа;
- контролировать повторное использование паролей в соответствии с принятой парольной политикой.

### Авторизация

Рекомендуется:

- использовать ролевую модель доступа;
- при необходимости дополнять ее контекстными ограничениями;
- предотвращать совмещение конфликтующих полномочий;
- предоставлять права по принципу минимальной достаточности.

### Защита данных

Рекомендуется обеспечивать защиту данных:

- при передаче — за счет использования защищенных протоколов связи;
- при хранении — за счет механизмов шифрования и разграничения доступа;
- при отображении и журналировании — за счет маскирования чувствительных данных.

### Защита от типовых атак

При разработке и эксплуатации рекомендуется учитывать защиту от следующих угроз:

- внедрение `SQL`-кода;
- межсайтовое выполнение сценариев;
- подделка межсайтовых запросов;
- несанкционированный доступ к объектам по прямым идентификаторам;
- ошибки в проверке прав доступа.

### Управление сеансами

Рекомендуется:

- задавать тайм-аут неактивности пользовательских сеансов;
- использовать централизованное завершение сеансов при необходимости;
- применять безопасные атрибуты cookie;
- настраивать параметры сеансов в соответствии с внутренними требованиями безопасности.

### Аудит

Рекомендуется журналировать:

- вход и выход пользователей;
- изменение прав и ролей;
- экспорт данных;
- выполнение критичных административных действий.

Срок хранения журналов и порядок их защиты рекомендуется определять внутренними нормативными документами.

## Соответствие требованиям

При эксплуатации `Global ERP` рекомендуется учитывать применимые для организации нормативные и отраслевые требования в области информационной безопасности и защиты данных.

В зависимости от среды эксплуатации это могут быть:

- требования к защите персональных данных;
- требования к журналированию и аудиту;
- требования к аутентификации и разграничению доступа;
- требования к управлению уязвимостями и обновлениями;
- требования внутренних стандартов организации и внешних регуляторов.