SWIFT Customer Security Controls Framework v2022

7.4.5. В организации БС РФ необходимо определить и контролировать выполнение требований:

Разделение сегментов вычислительных сетей следует осуществлять с целью обеспечения независимого выполнения банковских платежных технологических процессов организации БС РФ, а также банковских информационных технологических процессов организации БС РФ разной степени критичности, в том числе банковских информационных технологических процессов, в рамках которых осуществляется обработка персональных данных в ИСПДн.
В документах БС РФ должны быть регламентированы и контролироваться процедуры внесения изменений в конфигурацию сетевого оборудования, предусматривающие согласование вносимых изменений со службой ИБ. Работникам службы ИБ рекомендуется предоставлять доступ к конфигурации сетевого оборудования без возможности внесения изменений.

13.4 Perform Traffic Filtering Between Network Segments 
Perform traffic filtering between network segments, where appropriate. 

PR.AC-5: Защищена целостность сети, включая сегрегацию сети при необходимости

13.4 Реализована фильтрация трафика между сегментами сети 
Фильтровать трафик между сетевыми сегментами

1.5.1 
Defined Approach Requirements: 
Security controls are implemented on any computing devices, including company- and employee-owned devices, that connect to both untrusted networks (including the Internet) and the CDE as follows:

Customized Approach Objective:
Devices that connect to untrusted environments and also connect to the CDE cannot introduce threats to the entity’s CDE. 

Applicability Notes:
These security controls may be temporarily disabled only if there is legitimate technical need, as authorized by management on a case-by-case basis. If these security controls need to be disabled for a specific purpose, it must be formally authorized. Additional security measures may also need to be implemented for the period during which these security controls are not active.
This requirement applies to employee-owned and company-owned computing devices. Systems that cannot be managed by corporate policy introduce weaknesses and provide opportunities that malicious individuals may exploit 

Defined Approach Testing Procedures:

Purpose:
Computing devices that are allowed to connect to the Internet from outside the corporate environment—for example, desktops, laptops, tablets, smartphones, and other mobile computing devices used by employees—are more vulnerable to Internet-based threats. 
Use of security controls such as host-based controls (for example, personal firewall software or end-point protection solutions), network-based security controls (for example, firewalls, networkbased heuristics inspection, and malware simulation), or hardware, helps to protect devices from Internet-based attacks, which could use the device to gain access to the organization’s systems and data when the device reconnects to the network. 

Good Practice:
The specific configuration settings are determined by the entity and should be consistent with its network security policies and procedures. 
Where there is a legitimate need to temporarily disable security controls on a company-owned or employee-owned device that connects to both an untrusted network and the CDE—for example, to support a specific maintenance activity or investigation of a technical problem—the reason for taking such action is understood and approved by an appropriate management representative. Any disabling or altering of these security controls, including on administrators’ own devices, is performed by authorized personnel. 
It is recognized that administrators have privileges that may allow them to disable security controls on their own computers, but there should be alerting mechanisms in place when such controls are disabled and follow up that occurs to ensure processes were followed. 

Examples:
Practices include forbidding split-tunneling of VPNs for employee-owned or corporate-owned mobile devices and req 

A.13.1.3 Разделение в сетях 
Мера обеспечения информационной безопасности: Группы информационных сервисов, пользователей и информационных систем в сети должны быть разделены 

1.5.1
Определенные Требования к Подходу:

Средства контроля безопасности реализуются на любых вычислительных устройствах, включая устройства, принадлежащие компании и сотрудникам, которые подключаются как к ненадежным сетям (включая Интернет), так и к CDE следующим образом:

Цель Индивидуального подхода:
Устройства, которые подключаются к ненадежным средам, а также подключаются к CDE, не могут создавать угрозы для CDE объекта.

Примечания по применению:
Эти средства контроля безопасности могут быть временно отключены только при наличии законной технической необходимости, разрешенной руководством в каждом конкретном случае. Если эти средства контроля безопасности необходимо отключить для определенной цели, это должно быть официально разрешено. Возможно, также потребуется принять дополнительные меры безопасности в период, в течение которого эти средства контроля безопасности не активны.
Это требование распространяется на вычислительные устройства, принадлежащие сотрудникам и компаниям. Системы, которые не могут управляться корпоративной политикой, создают слабые места и предоставляют возможности, которые могут использовать злоумышленники.

Определенные Процедуры Тестирования Подхода:

Цель:
Вычислительные устройства, которым разрешено подключаться к Интернету из—за пределов корпоративной среды, например, настольные компьютеры, ноутбуки, планшеты, смартфоны и другие мобильные вычислительные устройства, используемые сотрудниками, более уязвимы для интернет-угроз.
Использование средств контроля безопасности, таких как средства контроля на основе хоста (например, программное обеспечение персонального брандмауэра или решения для защиты конечных точек), средства контроля безопасности на основе сети (например, брандмауэры, проверка эвристики на основе сети и моделирование вредоносных программ) или аппаратное обеспечение, помогает защитить устройства от интернет-атак, которые могут использовать устройство для получения доступа к системам и данным организации при повторном подключении устройства к сети.

Надлежащая практика:
Конкретные параметры конфигурации определяются организацией и должны соответствовать ее политикам и процедурам сетевой безопасности.
Если существует законная необходимость временно отключить средства контроля безопасности на устройстве, принадлежащем компании или сотруднику, которое подключается как к ненадежной сети, так и к CDE - например, для поддержки конкретной операции по техническому обслуживанию или расследования технической проблемы - причина принятия таких мер понятна и одобрена руководством. Любое отключение или изменение этих средств контроля безопасности, в том числе на собственных устройствах администраторов, выполняется уполномоченным персоналом.
Признается, что администраторы имеют привилегии, которые могут позволить им отключать средства контроля безопасности на своих собственных компьютерах, но должны быть механизмы оповещения, когда такие средства контроля отключены, и последующие действия, которые выполняются для обеспечения соблюдения процессов.

Примеры:
Практика включает запрет раздельного туннелирования VPN для мобильных устройств, принадлежащих сотрудникам или организации, и требует подключения к VPN.

А.8.22 Сегментирование сетей
Сеть организации должны быть сегментирована на группы информационных сервисов, пользователей и информационных систем.

А.8.22 Segregation of networks
Groups of information services, users and information systems shall be segregated in the organization’s networks.