Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

SWIFT Customer Security Controls Framework v2022

Framework

1 - 1.1 SWIFT Environment Protection

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 4 п.п. 5
7.4.5. В организации БС РФ необходимо определить и контролировать выполнение требований:
  • к разделению сегментов вычислительных сетей, в том числе создаваемых с использованием технологии виртуализации;
  • к межсетевому экранированию;
  • к информационному взаимодействию между сегментами вычислительных сетей.
Разделение сегментов вычислительных сетей следует осуществлять с целью обеспечения независимого выполнения банковских платежных технологических процессов организации БС РФ, а также банковских информационных технологических процессов организации БС РФ разной степени критичности, в том числе банковских информационных технологических процессов, в рамках которых осуществляется обработка персональных данных в ИСПДн.
В документах БС РФ должны быть регламентированы и контролироваться процедуры внесения изменений в конфигурацию сетевого оборудования, предусматривающие согласование вносимых изменений со службой ИБ. Работникам службы ИБ рекомендуется предоставлять доступ к конфигурации сетевого оборудования без возможности внесения изменений.
CIS Critical Security Controls v8 (The 18 CIS CSC):
13.4
13.4 Perform Traffic Filtering Between Network Segments 
Perform traffic filtering between network segments, where appropriate. 
NIST Cybersecurity Framework (RU):
PR.AC-5
PR.AC-5: Защищена целостность сети, включая сегрегацию сети при необходимости
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗИС.17 ЗИС.17 Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы
ЗСВ.10 ЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
13.4
13.4 Реализована фильтрация трафика между сегментами сети 
Фильтровать трафик между сетевыми сегментами
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 1.5.1
1.5.1 
Defined Approach Requirements: 
Security controls are implemented on any computing devices, including company- and employee-owned devices, that connect to both untrusted networks (including the Internet) and the CDE as follows:
  • Specific configuration settings are defined to prevent threats being introduced into the entity’s network.
  • Security controls are actively running.
  • Security controls are not alterable by users of the computing devices unless specifically documented and authorized by management on a case-by-case basis for a limited period. 
Customized Approach Objective:
Devices that connect to untrusted environments and also connect to the CDE cannot introduce threats to the entity’s CDE. 

Applicability Notes:
These security controls may be temporarily disabled only if there is legitimate technical need, as authorized by management on a case-by-case basis. If these security controls need to be disabled for a specific purpose, it must be formally authorized. Additional security measures may also need to be implemented for the period during which these security controls are not active.
This requirement applies to employee-owned and company-owned computing devices. Systems that cannot be managed by corporate policy introduce weaknesses and provide opportunities that malicious individuals may exploit 

Defined Approach Testing Procedures:
  • 1.5.1.a Examine policies and configuration standards and interview personnel to verify security controls for computing devices that connect to both untrusted networks, and the CDE, are implemented in accordance with all elements specified in this requirement. 
  • 1.5.1.b Examine configuration settings on computing devices that connect to both untrusted networks and the CDE to verify settings are implemented in accordance with all elements specified in this requirement. 
Purpose:
Computing devices that are allowed to connect to the Internet from outside the corporate environment—for example, desktops, laptops, tablets, smartphones, and other mobile computing devices used by employees—are more vulnerable to Internet-based threats. 
Use of security controls such as host-based controls (for example, personal firewall software or end-point protection solutions), network-based security controls (for example, firewalls, networkbased heuristics inspection, and malware simulation), or hardware, helps to protect devices from Internet-based attacks, which could use the device to gain access to the organization’s systems and data when the device reconnects to the network. 

Good Practice:
The specific configuration settings are determined by the entity and should be consistent with its network security policies and procedures. 
Where there is a legitimate need to temporarily disable security controls on a company-owned or employee-owned device that connects to both an untrusted network and the CDE—for example, to support a specific maintenance activity or investigation of a technical problem—the reason for taking such action is understood and approved by an appropriate management representative. Any disabling or altering of these security controls, including on administrators’ own devices, is performed by authorized personnel. 
It is recognized that administrators have privileges that may allow them to disable security controls on their own computers, but there should be alerting mechanisms in place when such controls are disabled and follow up that occurs to ensure processes were followed. 

Examples:
Practices include forbidding split-tunneling of VPNs for employee-owned or corporate-owned mobile devices and req 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.13.1.3
A.13.1.3 Разделение в сетях 
Мера обеспечения информационной безопасности: Группы информационных сервисов, пользователей и информационных систем в сети должны быть разделены 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 14.1 CSC 14.1 Segment the Network Based on Sensitivity
Segment the network based on the label or classification level of the information stored on the servers, locate all sensitive information on separated Virtual Local Area Networks (VLANs).
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 1.5.1
1.5.1
Определенные Требования к Подходу:
Средства контроля безопасности реализуются на любых вычислительных устройствах, включая устройства, принадлежащие компании и сотрудникам, которые подключаются как к ненадежным сетям (включая Интернет), так и к CDE следующим образом:
  • Параметры конфигурации настраиваются для предотвращения проникновения угроз в сеть объекта.
  • Активно работают средства контроля безопасности.
  • Средства контроля безопасности не могут быть изменены пользователями вычислительных устройств, если они специально не задокументированы и не санкционированы руководством в каждом конкретном случае в течение ограниченного периода времени.
Цель Индивидуального подхода:
Устройства, которые подключаются к ненадежным средам, а также подключаются к CDE, не могут создавать угрозы для CDE объекта.

Примечания по применению:
Эти средства контроля безопасности могут быть временно отключены только при наличии законной технической необходимости, разрешенной руководством в каждом конкретном случае. Если эти средства контроля безопасности необходимо отключить для определенной цели, это должно быть официально разрешено. Возможно, также потребуется принять дополнительные меры безопасности в период, в течение которого эти средства контроля безопасности не активны.
Это требование распространяется на вычислительные устройства, принадлежащие сотрудникам и компаниям. Системы, которые не могут управляться корпоративной политикой, создают слабые места и предоставляют возможности, которые могут использовать злоумышленники.

Определенные Процедуры Тестирования Подхода:
  • 1.5.1.a Изучите политики и стандарты конфигурации и опросите персонал, чтобы убедиться, что средства контроля безопасности для вычислительных устройств, которые подключаются как к ненадежным сетям, так и к CDE, реализованы в соответствии со всеми элементами, указанными в этом требовании.
  • 1.5.1.b Проверьте настройки конфигурации на вычислительных устройствах, которые подключаются как к ненадежным сетям, так и к CDE, чтобы убедиться, что настройки реализованы в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Вычислительные устройства, которым разрешено подключаться к Интернету из—за пределов корпоративной среды, например, настольные компьютеры, ноутбуки, планшеты, смартфоны и другие мобильные вычислительные устройства, используемые сотрудниками, более уязвимы для интернет-угроз.
Использование средств контроля безопасности, таких как средства контроля на основе хоста (например, программное обеспечение персонального брандмауэра или решения для защиты конечных точек), средства контроля безопасности на основе сети (например, брандмауэры, проверка эвристики на основе сети и моделирование вредоносных программ) или аппаратное обеспечение, помогает защитить устройства от интернет-атак, которые могут использовать устройство для получения доступа к системам и данным организации при повторном подключении устройства к сети.

Надлежащая практика:
Конкретные параметры конфигурации определяются организацией и должны соответствовать ее политикам и процедурам сетевой безопасности.
Если существует законная необходимость временно отключить средства контроля безопасности на устройстве, принадлежащем компании или сотруднику, которое подключается как к ненадежной сети, так и к CDE - например, для поддержки конкретной операции по техническому обслуживанию или расследования технической проблемы - причина принятия таких мер понятна и одобрена руководством. Любое отключение или изменение этих средств контроля безопасности, в том числе на собственных устройствах администраторов, выполняется уполномоченным персоналом.
Признается, что администраторы имеют привилегии, которые могут позволить им отключать средства контроля безопасности на своих собственных компьютерах, но должны быть механизмы оповещения, когда такие средства контроля отключены, и последующие действия, которые выполняются для обеспечения соблюдения процессов.

Примеры:
Практика включает запрет раздельного туннелирования VPN для мобильных устройств, принадлежащих сотрудникам или организации, и требует подключения к VPN.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ЗИС.17 ЗИС.17 Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы
ЗСВ.10 ЗСВ.10 Разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки информации отдельным пользователем и (или) группой пользователей
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.22
А.8.22 Сегментирование сетей
Сеть организации должны быть сегментирована на группы информационных сервисов, пользователей и информационных систем.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗИС.4 ЗИС.4 Сегментирование информационной (автоматизированной) системы
NIST Cybersecurity Framework (EN):
PR.AC-5 PR.AC-5: Network integrity is protected (e.g., network segregation, network segmentation)
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗИС.4 ЗИС.4 Сегментирование информационной (автоматизированной) системы
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.22
А.8.22 Segregation of networks
Groups of information services, users and information systems shall be segregated in the organization’s networks.

Связанные защитные меры

Название Дата Влияние
Community
9 31 / 85
Выделение ключевых систем в отдельную сеть (сегментация сети)
Вручную Техническая Превентивная
03.05.2022
03.05.2022 9 31 / 85
Community
2 21 / 141
Ограничение запуска неизвестного ПО с помощью Windows SmartScreen
Автоматически Техническая Превентивная
16.02.2022
16.02.2022 2 21 / 141
Community
3 16 / 91
Выделение периферийного оборудования и IP телефонов в отдельную сеть (сегментация сети)
Вручную Техническая
29.07.2021
29.07.2021 3 16 / 91
Community
7 5 / 41
Межсетевое экранирование на границе сети
Автоматически Техническая Превентивная
03.06.2021
03.06.2021 7 5 / 41
Community
1 1 / 17
Блокировка IPv6 трафика на границе сети
Автоматически Превентивная
08.05.2020
08.05.2022 1 1 / 17