Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

CIS Critical Security Controls v8 (The 18 CIS CSC)

Framework

9.1

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

NIST Cybersecurity Framework (RU):
PR.IP-1
PR.IP-1: С учетом соответствующих принципов безопасности (например, концепция минимальной функциональности) создается и поддерживается базовая конфигурация информационных технологий / промышленных систем управления 
Guideline for a healthy information system v.2.0 (EN):
24 STANDARD
/STANDARD
Email is the main infection vector for a workstation, whether it is opening attachments containing malware or a misguided click on a link redirecting towards a site that is, itself, malicious. 

Users must be especially aware of this issue: is the sender known? Is information from him or her expected? Is the proposed link consistent with the subject mentioned? If any doubt, checking the message authenticity by another channel (telephone, SMS, etc.) is required. 

To protect against scams (e.g.: a fraudulent transfer request seeming to come from a manager), organisational measures must be strictly applied. 

Moreover, the redirection of professional messages to a personal email must be prohibited as it may constitute an irremediable information leak from the organization. If necessary, controlled and secure methods for remote access to professional email must be offered. 

Whether the organization hosts or has their email system hosted, it must ensure:
  • that it has an anti-virus analysis system upstream of the mailboxes of users to prevent the receipt of infected files;
  • that it has activated TLS encryption for exchanges between email servers (from the organization or public) as well as between the user devices and servers hosting the mailboxes. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.12.5.1
A.12.5.1 Установка программного обеспечения в эксплуатируемых системах 
Мера обеспечения информационной безопасности: Должны быть реализованы процедуры контроля установки программного обеспечения в системах, находящихся в эксплуатации 
A.12.6.2
A.12.6.2 Ограничения на установку программного обеспечения 
Мера обеспечения информационной безопасности: Должны быть установлены и реализованы правила, регулирующие установку программного обеспечения пользователями 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 7.1 CSC 7.1 Ensure Use of Only Fully Supported Browsers and Email Clients
Ensure that only fully supported web browsers and email clients are allowed to execute in the organization, ideally only using the latest version of the browsers and email clients provided by the vendor.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.19
А.8.19 Установка программного обеспечения
Должны быть реализованы процедуры и меры безопасного управления установкой программного обеспечения в операционных системах.
NIST Cybersecurity Framework (EN):
PR.IP-1 PR.IP-1: A baseline configuration of information technology/industrial control systems is created and maintained incorporating security principles (e.g. concept of least functionality)
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.19
А.8.19 Installation of software on operational systems
Procedures and measures shall be implemented to securely manage software installation on operational systems.

Связанные защитные меры

Ничего не найдено