Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Выделение ключевых систем в отдельную сеть (сегментация сети)

Цель: защита ключевых активов от несанкционированного доступа на сетевом уровне.

Размещение ключевых систем в отдельных безопасных зонах / контурах безопасности и ограничение доступа в эти выделенные сегменты позволяет защитить наиболее критичные системы в случае компрометации основных сегментов сети компании.
В зависимости от особенностей компании в отдельные сегменты выделяют:
  • Технологические, производственные сети
  • Банковские системы
  • Инфраструктуру SWIFT
  • ПК руководства
  • Ключевые бизнес-системы
  • Системы персональных данных
Способы сегментации: 
  • Логический, с помощью технологий VLAN на сетевом оборудовании
  • Логический, на уровне управления виртуальной инфраструктурой
  • Физический, путем создания отдельных ЛВС для ключевых сегментов
Сегментирование предполагает ограничение/контроль доступа между сегментами на базовом уровне. Использование расширенного контроля средствами межсетевого экранирования выделено в отдельную защитную меру.

Рекомендации к заполнению карточки:
  • Указать перечень сегментов и их назначение 
  • Пояснить способы/технологии сегментации
  • Описать как настроено ограничение доступа (ACL)
  • Если сети учитываются в реестре активов - привязать их к карточке в качестве инструментов (тип актива Локальная сеть).
Классификация
Тип
Техническая ? Технические (логические) меры Технологические решения, реализуемые для снижения вероятности реализации рисков безопасности.
Превентивная ? Превентивные меры Направлены на предотвращение совершения злонамеренных действий, блокируя или останавливая кого-либо, или что-либо.
Реализация
Вручную
Периодичность
Разово
Ответственный
Не определено
Инструменты
Не определено

Исполнение требований

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 11 п.п. 7
7.11.7. В организации БС РФ должны быть реализованы защита периметров сегментов вычислительной сети, в которых расположены ИСПДн, и контроль информационного взаимодействия между сегментами вычислительных сетей.
В организации БС РФ должны быть определены и контролироваться правила информационного взаимодействия ИСПДн с иными АБС. 
Р. 7 п. 4 п.п. 5
7.4.5. В организации БС РФ необходимо определить и контролировать выполнение требований:
  • к разделению сегментов вычислительных сетей, в том числе создаваемых с использованием технологии виртуализации;
  • к межсетевому экранированию;
  • к информационному взаимодействию между сегментами вычислительных сетей.
Разделение сегментов вычислительных сетей следует осуществлять с целью обеспечения независимого выполнения банковских платежных технологических процессов организации БС РФ, а также банковских информационных технологических процессов организации БС РФ разной степени критичности, в том числе банковских информационных технологических процессов, в рамках которых осуществляется обработка персональных данных в ИСПДн.
В документах БС РФ должны быть регламентированы и контролироваться процедуры внесения изменений в конфигурацию сетевого оборудования, предусматривающие согласование вносимых изменений со службой ИБ. Работникам службы ИБ рекомендуется предоставлять доступ к конфигурации сетевого оборудования без возможности внесения изменений.
CIS Critical Security Controls v8 (The 18 CIS CSC):
12.2
12.2 Establish and Maintain a Secure Network Architecture 
Establish and maintain a secure network architecture. A secure network architecture must address segmentation, least privilege, and availability, at a minimum. 
13.4
13.4 Perform Traffic Filtering Between Network Segments 
Perform traffic filtering between network segments, where appropriate. 
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ЗБС.7
ЗБС.7 Реализация и контроль информационного взаимодействия внутренних вычислительных сетей финансовой организации и сегментов вычисленных сетей, выделенных в соответствии с мерой ЗБС.3 настоящей таблицы, в соответствии с установленными правилами и протоколами сетевого взаимодействия
ЗБС.4
ЗБС.4 Реализация сетевого взаимодействия и сетевой изоляции на уровне не выше второго (канальный) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1, внутренних вычислительных сетей финансовой организации и сегментов вычисленных сетей, выделенных в соответствии с пунктом ЗБС.3 настоящей таблицы
ЗБС.5
ЗБС.5 Реализация сетевого взаимодействия и сетевой изоляции на уровне не выше третьего (сетевой) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1, внутренних вычислительных сетей финансовой организации и сегментов вычисленных сетей, выделенных в соответствии с мерой ЗБС.3 настоящей таблицы
ЗСВ.15
ЗСВ.15 Организация информационного обмена между сегментами (группами сегментов) вычислительных сетей, определенных мерами ЗСВ.13 и ЗСВ.14 настоящей таблицы, физическим оборудованием (программно-аппаратным комплексом) и (или) программными средствами межсетевого экранирования, функционирующими на уровне гипервизора среды виртуализации
ЗСВ.17
ЗСВ.17 Реализация и контроль информационного взаимодействия между сегментами (группами сегментов) вычислительных сетей мерами, указанными в пунктах ЗСВ.13 и ЗСВ.14 настоящей таблицы, в соответствии с установленными правилами и протоколами сетевого взаимодействия
ЗСВ.13
ЗСВ.13 Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), в том числе виртуальных, используемых для размещения совокупности виртуальных машин, предназначенных для размещения серверных компонент АС, включенных в разные контуры безопасности
СМЭ.1
СМЭ.1 Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), предназначенных для размещения информационной инфраструктуры каждого из контуров безопасности (далее — сегменты контуров безопасности)
СМЭ.5
СМЭ.5 Реализация и контроль информационного взаимодействия с применением программных шлюзов между сегментами контуров безопасности и иными внутренними вычислительными сетями финансовой организации с целью обеспечения ограничения и контроля на передачу данных по инициативе субъектов логического доступа
СМЭ.4
СМЭ.4 Реализация и контроль информационного взаимодействия между сегментами контуров безопасности и иными внутренними вычислительными сетями финансовой организации в соответствии с установленными правилами и протоколами сетевого взаимодействия
СМЭ.12
СМЭ.12 Реализация и контроль информационного взаимодействия между сегментами вычислительных сетей, определенных мерами СМЭ.8 — СМЭ.11 настоящей таблицы, и иными сегментами вычислительных сетей в соответствии с установленными правилами и протоколами сетевого взаимодействия
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗИС.17 ЗИС.17 Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы
УПД.3 УПД.3 Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
ЗСВ.10 ЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 14.1 CSC 14.1 Segment the Network Based on Sensitivity
Segment the network based on the label or classification level of the information stored on the servers, locate all sensitive information on separated Virtual Local Area Networks (VLANs).
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
УПД.3 УПД.3 Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
ЗСВ.10 ЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей
ЗИС.17 ЗИС.17 Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы
SWIFT Customer Security Controls Framework v2022:
1 - 1.1 SWIFT Environment Protection
 1.1 SWIFT Environment Protection 
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗИС.4 ЗИС.4 Сегментирование информационной (автоматизированной) системы
NIST Cybersecurity Framework (EN):
PR.AC-5 PR.AC-5: Network integrity is protected (e.g., network segregation, network segmentation)
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗИС.4 ЗИС.4 Сегментирование информационной (автоматизированной) системы

Связанные риски

Риск Угроза Уязвимость Тип актива Связи
Боковое перемещение злоумышленника по локальной сети из-за возможности передачи утилит и инструментов при боковом перемещении в операционной системе
Конфиденциальность Целостность
Боковое перемещение злоумышленника по локальной сети
Конфиденциальность Целостность
Возможность передачи утилит и инструментов при боковом перемещении Операционная система 1
Боковое перемещение злоумышленника по локальной сети из-за возможности удаленного подключения через RDS Shadow в ОС Windows
Конфиденциальность Целостность
Боковое перемещение злоумышленника по локальной сети
Конфиденциальность Целостность
Возможность удаленного подключения через RDS Shadow ОС Windows 3
Боковое перемещение злоумышленника по локальной сети из-за возможности использования скомпрометированных билетов Kerberos в ОС Windows
Конфиденциальность Целостность
Боковое перемещение злоумышленника по локальной сети
Конфиденциальность Целостность
Возможность использования скомпрометированных билетов Kerberos ОС Windows 2
Боковое перемещение злоумышленника по локальной сети из-за наличия административных общих сетевых ресурсов SMB в ОС Windows
Конфиденциальность Целостность
Боковое перемещение злоумышленника по локальной сети
Конфиденциальность Целостность
Наличие административных общих сетевых ресурсов SMB ОС Windows 2
Боковое перемещение злоумышленника по локальной сети из-за использования Windows Management Instrumentation (WMI) в ОС Windows
Конфиденциальность Целостность
Боковое перемещение злоумышленника по локальной сети
Конфиденциальность Целостность
Использование Windows Management Instrumentation (WMI) ОС Windows 2
Боковое перемещение злоумышленника по локальной сети из-за наличия технических (программных) уязвимостей в программном обеспечении
Конфиденциальность Целостность
Боковое перемещение злоумышленника по локальной сети
Конфиденциальность Целостность
Наличие технических (программных) уязвимостей Программное обеспечение 2
Боковое перемещение злоумышленника по локальной сети из-за возможности удаленного управления Windows с помощью службы WinRM в ОС Windows
Конфиденциальность Целостность
Боковое перемещение злоумышленника по локальной сети
Конфиденциальность Целостность
Возможность удаленного управления Windows с помощью службы WinRM ОС Windows 2
Боковое перемещение злоумышленника по локальной сети из-за возможности удаленного управления по протоколу RPC (DCOM) в ОС Windows
Конфиденциальность Целостность
Боковое перемещение злоумышленника по локальной сети
Конфиденциальность Целостность
Возможность удаленного управления по протоколу RPC (DCOM) ОС Windows 2
Боковое перемещение злоумышленника по локальной сети из-за наличия общих сетевых ресурсов SMB в ОС Windows
Конфиденциальность Целостность
Боковое перемещение злоумышленника по локальной сети
Конфиденциальность Целостность
Наличие общих сетевых ресурсов SMB ОС Windows 1