Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее

The 20 CIS Controls Resources

Framework

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования - Приложение А":
A.9.1.2 Доступ к сетям и сетевым службам
Средства реализации: Пользователи должны получать доступ только к тем сетям и сетевым службам, для которых у них есть авторизация.
NIST Cybersecurity Framework:
PR.PT-3: The principle of least functionality is incorporated by configuring systems to provide only essential capabilities

Связанные защитные меры

Название Дата Влияние
Community
1 9 / 13
Блокировка доступа к несанкционированным сетевым папкам в локальной сети
Постоянно Автоматически Техническая Превентивная
12.11.2021
12.11.2021 1 9 / 13
На уровне источника (ПК и серверы) нужно ограничить исходящие соединения к сетевым папкам (SMB шары), оставив доступ только к списку легитимных сетевых папок.
Цель: 
  • исключить канал утечки и горизонтального перемещения в рамках локальной сети;
  • снизить возможность загрузки ВПО с несанкционированной SMB шары;
  • противодействие атакам на перехват сессии и кражу паролей (SCF File Attacks).
Варианты реализации:
  • Локальный межсетевой экран
  • DLP с функцией контроля SMB протокола, например КИБ SearchInform
Community
1 2 / 5
Ограничение (блокировка) доступа к некорпоративным облачным сервисам
Постоянно Автоматически Превентивная Техническая
09.11.2021
09.11.2021 1 2 / 5
Возможные инструменты для реализации меры:
  • Межсетевой экран с функциями HTTPS inspection и Application Control
  • Любое Endpoint protection ПО с функцией ограничения доступа в интернет
  • Брокер безопасного доступа в облако (CASB)
В зависимости от политики организации и возможностей средств защиты ограничение может быть полным или частичным: 
  • ко всем или к части облачных сервисов
  • для всех или для части узлов инфраструктуры
  • полностью на доступ или только на запись
Альтернативная защитная мера: Обнаружение записи рабочей информации в некорпоративные облачные сервисы
Community
1 2 / 5
Обнаружение записи рабочей информации в некорпоративные облачные сервисы
По событию Автоматически Техническая
09.11.2021
09.11.2021 1 2 / 5
В компании может быть разрешено использование некорпоративных облачных сервисов (например, облачного хранилища Google Диск или Яндекс Диск), при этом вестись протоколирование и аудит записываемой в облачные хранилища информации.
Варианты реализации:
  • Система обнаружения утечек информации (DLP)
  • Межсетевой экран с функциями HTTPS inspection, Application Control и DLP
  • Брокер безопасного доступа в облако (CASB)
В дополнение к данной мере в компании должна быть определена политика в отношении использования облачных сервисов. 
Альтернативная защитная мера: полная или частичная блокировка доступа к некорпоративным облачным сервисам
Community
3 3 / 20
Приведение конфигурации IP телефонов в соответствие требованиям безопасности
Ежегодно Вручную Техническая Превентивная
29.07.2021
29.07.2021 3 3 / 20
Цель: защита IP телефонов от несанкционированного доступа и эксплуатации.
Пример требований безопасности к конфигурации IP телефонов:
  1. Смена пароля для учетной записи администратора
  2. Обновление прошивки IP телефонов до крайней стабильной версии
  3. Отключение неиспользуемых/небезопасных портов/протоколов
    1. HTTP (порт 80)
    2. Telnet (порт 23)
    3. VxWorks debugger (порт 17185) 
  4. Настройка встроенного межсетевого экрана
Отключение портов/протоколов осуществляется или соответствующими пунктами меню (например у Yealink) или через настройку встроенного межсетевого экрана (например у D-Link).

Примечание: рекомендуется включить настройку безопасной конфигурации в процесс установки новых телефонов и внедрить защитную меру как регулярную ежегодную задачу
Community
3 12 / 17
Выделение периферийного оборудования и IP телефонов в отдельную сеть (сегментация сети)
Разово Вручную Техническая
29.07.2021
29.07.2021 3 12 / 17
К периферийному оборудованию могут относятся принтеры, сканеры, IP телефоны и иные устройства подключаемые к локальной сети компании.
Обязательным условием сегментации является ограничение доступа в выделенный сегмент и из него.
Пример политики ограничения доступа к сегменту периферийного оборудования:
  • доступом к выделенному сегменту могут обладать только серверы управления (сервер IP телефонии, сервер печати). 
  • Доступ из выделенного сегмента возможен также только к серверам управления. Доступ к локальным сетям с рабочими станциями и доступ в интернет заблокированы.
Часто мера в части ограничения доступа сложно реализуема. Например если подключение рабочих станций к принтерам осуществляется по сети напрямую а не через сервер печати. Или если IP телефон подключен в одну сетевую розетку с рабочей станцией. В таких случаях следует настроить более широкие права доступа к сегменту и из него.
Реализация: настройкой сетевого оборудования (VLAN).
После реализации защитной меры следует внедрить меру по регулярному поиску периферийных устройств в локальных сетях, с целью их переноса в выделенный сегмент.