Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям CIS Critical Security Controls... CSC 15.9
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

CIS Critical Security Controls v7.1 (SANS Top 20)

Framework

CSC 15.9

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.8.1.3
A.8.1.3  Допустимое использование активов 
Мера обеспечения информационной безопасности: Должны быть идентифицированы, документально оформлены и реализованы правила допустимого использования активов, включая информацию и средства ее обработки 
A.9.1.1
А.9.1.1 Политика управления доступом 
Мера обеспечения информационной безопасности: Политика управления доступом должна быть разработана, документирована и должна пересматриваться с учетом требований бизнеса и информационной безопасности 
Strategies to Mitigate Cyber Security Incidents (EN):
1.13.
Control removable storage media and connected devices. Block unapproved CD/DVD/USB storage media. Block connectivity with unapproved smartphones, tablets and Bluetooth/Wi-Fi/3G/4G/5G devices.
Relative Security Effectiveness:  Very Good | Potential User Resistance:   High | Upfront Cost:  High | Ongoing Maintenance Cost:  Medium
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.10
А.5.10 Допустимое использование информационных и иных, связанных с ними активов
Должны быть идентифицированы, задокументированы и внедрены правила и процедуры по безопасному обращению с  информационными и иными, связанными с ними активами.
А.5.15
А.5.15 Контроль доступа
На основании требований бизнеса и ИБ должны быть установлены и внедрены правила контроля физического и логического доступа к информационным и иным связанным с ними активам.
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
9.1.1
9.1.1 Политика управления доступом

Мера обеспечения ИБ
Политика управления доступом должна быть разработана, документирована и периодически пересматриваться с учетом требований бизнеса и ИБ.

Руководство по применению
Владельцы активов должны определить соответствующие правила управления доступом, права доступа и ограничения для конкретных пользовательских ролей по отношению к своим активам с уровнем детализации и строгостью мер, отражающих риски, связанные с обеспечением ИБ.
Меры по управлению доступом могут быть как логическими, так и физическими (раздел 11), и должны рассматриваться совместно. Пользователи и поставщики услуг должны получить четкое представление о требованиях бизнеса, которым должны удовлетворять меры управления доступом.
Политика должна учитывать следующее:
  • a) требования безопасности бизнес-приложений;
  • b) политики распространения информации и авторизации, например принцип "необходимого знания", уровни ИБ и категорирование информации (см. 8.2);
  • c) соответствие между правами доступа и политиками категорирования информации для систем и сетей;
  • d) соответствующие законодательные и любые договорные обязательства, касающиеся ограничения доступа к данным или сервисам (см. 18.1);
  • e) управление правами доступа в распределенных средах и сетях, которые допускают все типы соединений;
  • f) разделение ролей по управлению доступом, например запрос доступа, авторизация доступа, администрирование доступа;
  • g) требования к формальной авторизации запросов доступа (см. 9.2.1 и 9.2.2);
  • h) требования к периодическому пересмотру прав доступа (см. 9.2.6);
  • i) аннулирование прав доступа (см. 9.2.6);
  • j) архивирование записей всех значимых событий, касающихся использования и управления идентификаторами пользователей и секретной аутентификационной информацией;
  • k) роли с привилегированным доступом (см. 9.2.3).

Дополнительная информация
Следует уделять особое внимание установлению правил управления доступом и учитывать следующее:
  • a) установление правил, основанных на утверждении "Все в общем случае запрещено, пока явно не разрешено", а не на более слабом принципе "Все в общем случае разрешено, пока явно не запрещено";
  • b) изменения маркировки информации (см. 8.2.2), которые инициируются автоматически средствами обработки информации и которые инициируются пользователями;
  • c) изменения в правах пользователей, которые инициируются автоматически информационной системой, и те, которые инициируются администратором;
  • d) правила, которые требуют определенной процедуры утверждения до вступления в силу, и те, которые этого не требуют.
Правила управления доступом должны быть зафиксированы в формальных процедурах (см. 9.2, 9.3, 9.4), и под них определены обязанности (см. 6.1, 9.3).
Управление доступом на основе ролей - это подход, успешно используемый многими организациями для связи прав доступа с бизнес-ролями.
Есть два часто применяемых принципа, определяющих политику управления доступом:
  • e) принцип "необходимого знания": вам предоставляется доступ только к той информации, которая вам необходима для выполнения ваших задач (различные задачи/роли подразумевают различные "необходимые знания" и следовательно различные профили доступа);
  • f) принцип "необходимого использования": вам предоставляется доступ только к тем средствам обработки информации (ИТ-оборудование, приложения, процедуры, помещения), которые необходимы для выполнения задачи/работы/роли.
8.1.3
8.1.3 Допустимое использование активов

Мера обеспечения ИБ
Должны быть идентифицированы, документально оформлены и реализованы правила допустимого использования активов, включая информацию и средства ее обработки.

Руководство по применению
Работники и внешние пользователи, использующие или имеющие доступ к активам организации, должны быть осведомлены о требованиях ИБ, относящихся к информации, активам организации, связанным с информацией, средствам и ресурсам обработки информации. (Внесена техническая поправка Cor.1:2014).
Они должны нести ответственность за использование ими любых ресурсов обработки информации и любое подобное использование, осуществляемое в зоне их ответственности.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.10
А.5.10 Acceptable use of information and other associated assets
Rules for the acceptable use and procedures for handling information and other associated assets shall be identified, documented and implemented.
А.5.15
А.5.15 Access control
Rules to control physical and logical access to information and other associated assets shall be established and implemented based on business and information security requirements.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.