Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее

Похожие требования

Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования - Приложение А":
A.8.1.3 Надлежащее использование активов
Средства реализации: Правила для надлежащего использования информации и активов, связанных с информацией и устройствами обработки информации должны быть определены, документированы и внедрены.
A.9.1.1 Политика контроля доступа
Средства реализации: Политика контроля доступа должна быть сформулирована, документирована и пересматриваться с точки зрения требований бизнеса и информационной безопасности.
A.9.1.2 Доступ к сетям и сетевым службам
Средства реализации: Пользователи должны получать доступ только к тем сетям и сетевым службам, для которых у них есть авторизация.
NIST Cybersecurity Framework:
PR.IP-1: A baseline configuration of information technology/industrial control systems is created and maintained incorporating security principles (e.g. concept of least functionality)

Связанные защитные меры

Название Дата Влияние
Community
1 9 / 13
Блокировка доступа к несанкционированным сетевым папкам в локальной сети
Постоянно Автоматически Техническая Превентивная
12.11.2021
12.11.2021 1 9 / 13
На уровне источника (ПК и серверы) нужно ограничить исходящие соединения к сетевым папкам (SMB шары), оставив доступ только к списку легитимных сетевых папок.
Цель: 
  • исключить канал утечки и горизонтального перемещения в рамках локальной сети;
  • снизить возможность загрузки ВПО с несанкционированной SMB шары;
  • противодействие атакам на перехват сессии и кражу паролей (SCF File Attacks).
Варианты реализации:
  • Локальный межсетевой экран
  • DLP с функцией контроля SMB протокола, например КИБ SearchInform
Community
3 3 / 20
Приведение конфигурации IP телефонов в соответствие требованиям безопасности
Ежегодно Вручную Техническая Превентивная
29.07.2021
29.07.2021 3 3 / 20
Цель: защита IP телефонов от несанкционированного доступа и эксплуатации.
Пример требований безопасности к конфигурации IP телефонов:
  1. Смена пароля для учетной записи администратора
  2. Обновление прошивки IP телефонов до крайней стабильной версии
  3. Отключение неиспользуемых/небезопасных портов/протоколов
    1. HTTP (порт 80)
    2. Telnet (порт 23)
    3. VxWorks debugger (порт 17185) 
  4. Настройка встроенного межсетевого экрана
Отключение портов/протоколов осуществляется или соответствующими пунктами меню (например у Yealink) или через настройку встроенного межсетевого экрана (например у D-Link).

Примечание: рекомендуется включить настройку безопасной конфигурации в процесс установки новых телефонов и внедрить защитную меру как регулярную ежегодную задачу
Community
3 12 / 17
Выделение периферийного оборудования и IP телефонов в отдельную сеть (сегментация сети)
Разово Вручную Техническая
29.07.2021
29.07.2021 3 12 / 17
К периферийному оборудованию могут относятся принтеры, сканеры, IP телефоны и иные устройства подключаемые к локальной сети компании.
Обязательным условием сегментации является ограничение доступа в выделенный сегмент и из него.
Пример политики ограничения доступа к сегменту периферийного оборудования:
  • доступом к выделенному сегменту могут обладать только серверы управления (сервер IP телефонии, сервер печати). 
  • Доступ из выделенного сегмента возможен также только к серверам управления. Доступ к локальным сетям с рабочими станциями и доступ в интернет заблокированы.
Часто мера в части ограничения доступа сложно реализуема. Например если подключение рабочих станций к принтерам осуществляется по сети напрямую а не через сервер печати. Или если IP телефон подключен в одну сетевую розетку с рабочей станцией. В таких случаях следует настроить более широкие права доступа к сегменту и из него.
Реализация: настройкой сетевого оборудования (VLAN).
После реализации защитной меры следует внедрить меру по регулярному поиску периферийных устройств в локальных сетях, с целью их переноса в выделенный сегмент.