Рекомендации НКЦКИ по компенсации ИТ-рисков для организаций РФ в условиях санкционных ограничений
Для компенсации некоторых IT-рисков, формирующихся в условиях санкционных ограничений, Национальный координационный центр по компьютерным инцидентам предлагает воспользоваться следующими рекомендациями:
- Проверить, что инфраструктура (хостинг), на которых размещаются публичные ресурсы, находится на территории РФ.
- В случае аренды вычислительных мощностей необходимо компенсировать риск, возникающий в случае отказа хостинга размещать публичный ресурс, имеющий отношение к компании, находящейся под санкциями.
- Удостовериться, что используемые для корректной работы публичных ресурсов DNS-сервера размещены на территории РФ. Также убедиться в отсутствии в цепочке серверов различных публичных иностранных серверов, например, DNS forwarding 8.8.8.8.
- Убедиться, что регистратор, который управляет доменными именами публичных ресурсов, находится в РФ. В противном случае передать управление доменными именами любому отечественному регистратору.
- В случае использования для публичных ресурсов основных доменных зон .com, .org и прочих, следует рассмотреть вариант преимущественного использования доменной зоны .ru.
- При наличии собственной автономной системы (AS) проработать вопрос ее связности.
- Провести ревизию SSL-сертификатов, разработать план по переходу на самоподписанные сертификаты или выпущенные удостоверяющими центрами, находящимися на территории РФ.
- Организовать инвентаризацию облачных решений и разработать план по переходу на российские аналоги или решения, разворачиваемые локально и неконтролируемые производителем извне. Это касается в том числе и решений, которые используются коммерческими предприятиями: мессенджеры, система управления взаимоотношениями с клиентами (CRM), средства коллективной работы, офисные пакеты, интегрированные среды разработки (IDE) и прочее.
- Провести инвентаризацию продуктов, требующих проверку лицензии за рубежом. Предпринять меры по поиску альтернатив.
- Создать локальные хранилища дистрибутивов программных продуктов и используемого в компании ПО с открытым исходным кодом. Не обновлять его до последней версии, а в случае уже произведенного обновления откатиться к версиям продуктов, выпущенных ранее 24 февраля 2022 года. В случае если обновление необходимо, по возможности, устанавливать его только после проверки в тестовой среде.
- Минимизировать использование или полностью запретить пользователям использовать стороннее ПО с открытым исходным кодом, если в этом отсутствует прямая необходимость.
- В случае если в IT-инфраструктуре используются комплексные программные решения отечественного производства, в состав которых входит ПО с открытым исходным кодом, проработать мероприятия по его безопасному обновлению, по возможности, совместно с разработчиком такого решения.
- Оценить финансовые взаимодействия с контрагентами и выявить компании, которые не смогут принимать платежи с территории РФ и потенциально могут отказаться от дальнейшего сотрудничества.