# Инструкция по операционной безопасности (OPSEC) OPSEC (Operational Security) — это стратегический подход, сочетающий организационные, технические и поведенческие меры для защиты от утечек информации, социальной инженерии и атак, направленных на компрометацию системы и кражу средств. Политика OPSEC для iEXExchanger основана на международных стандартах (NIST, ISO/IEC 27001, CIS Controls) и адаптирована под реальные задачи владельцев и администраторов. Мы используем эти стандарты, но объясняем их простым и понятным языком, чтобы даже пользователь без технической подготовки мог понять и внедрить необходимые меры защиты. *** ## Что может угрожать вашему обменнику * **Обман и социальная инженерия**: фальшивые сообщения в мессенджерах от «разработчиков» или «поддержки». * **DDoS-атаки с шантажом**: создание паники через перегрузку сайта. * **Фишинговые сайты**: поддельные страницы для кражи логинов и паролей. * **Вредоносные файлы**: заражённые вложения и расширения. * **Кража сессий**: перехват данных авторизации. * **Ошибки внутри команды**: неосторожное использование доступов подрядчиками или сотрудниками. * **Старое и уязвимое ПО**: отсутствие обновлений и неверные настройки. *** ## Простые правила защиты (Zero Trust для всех) 1. **Проверяйте всё** — не доверяйте сообщениям, даже если они выглядят официально. 2. **Доступ — только по делу**: каждый получает только то, что нужно для работы. 3. **Временные пароли и учётки** — удаляйте их сразу после выполнения задачи. 4. **Двухфакторная защита** — обязательна для всех ключевых аккаунтов. 5. **Разделение рабочих и личных аккаунтов**. 6. **Передача паролей** — только через безопасные менеджеры паролей. 7. **Регулярная проверка логов** — отслеживайте, кто и откуда входит. *** ## Официальные контакты iEXExchanger * Email: **** * Telegram: **@iexexchanger** * Telegram-канал: **@iexexchanger\_news** > Любые другие контакты нужно считать мошенническими. *** ## Минимальный набор технических мер ### Сервер (Debian 12 + Fastpanel) * Включите MFA/TOTP в панели управления. * Используйте пароль длиной не менее 16 символов. * Создайте отдельный e-mail для управления сервером. * Включите файервол (UFW) * Установите Fail2Ban для защиты от подбора паролей. ### Telegram * Активируйте Two-Step Verification. * Используйте облачный пароль ≥16 символов. * Еженедельно проверяйте активные сессии. ### Электронная почта * Включите MFA. * Настройте SPF/DKIM/DMARC. * Не открывайте вложения от незнакомых отправителей. ### Браузер * Используйте отдельный профиль «Админка». * Устанавливайте только проверенные расширения. * Включите автообновления. *** ## Выдача доступа подрядчикам 1. Создайте временную учётку (`dev_YYYYMMDD`) или SSH-ключ. 2. Дайте только минимально необходимые права. 3. Передавайте доступ только через безопасный канал. 4. После выполнения работ удалите доступ и смените пароли. 5. Проверьте логи на предмет подозрительных действий. *** ## WAF и Cloudflare * Скрывайте реальный IP сервера. * Разрешайте доступ к панели только с доверенных IP. * Настройте ограничение числа попыток входа. * Включите защиту от ботов. *** ## Чек-лист для владельца ### Ежедневно * Проверить входы в Telegram и почту. * Проверить, кто заходил в панель, и с каких IP. * Убедиться в отсутствии неожиданных уведомлений. ### Еженедельно * Просмотреть логи SSH и панели. * Проверить список доверенных IP. * Установить все доступные обновления. ### Ежеквартально * Пересмотреть права доступа. * Проверить резервные копии. * Обновить политику безопасности. *** ## Что делать при атаке 1. Немедленно прекратить общение с подозрительным источником. 2. Завершить все активные сессии. 3. Сменить пароли и ключи. 4. Проверить логи. 5. Усилить настройки защиты. 6. Зафиксировать инцидент и обновить правила.