Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

SWIFT Customer Security Controls Framework v2022


2 - 2.3 System Hardening

Для проведения оценки соответствия по документу войдите в систему.
2.3 System Hardening
Обязательно для типа архитектуры A1 A2 A3 A4 B
Область требования: Универсальный компьютер оператора SWIFT | Выделенный компьютер оператора SWIFT | Промежуточный сервер SWIFT
Control Definition 

Control Objective: Reduce the cyber-attack surface of SWIFT-related components by performing system hardening. 

In-scope components: 
  • dedicated and general-purpose operator PC 
  • jump server 
  • systems (physical or VMs) hosting a SWIFT-related component (including interface, GUI, SWIFT and customer connectors) 
  • local or remote (hosted or operated by a third party, or both) Virtualisation platform (also referred to as the hypervisor) hosting SWIFT-related VMs and their management PCs 
  • network devices protecting the secure zone 
  • [Advisory A1/A2/A3: Middleware server (such as an IBM® MQ server or similar) used for data exchange between back-office and SWIFT-related components] 
  • [Advisory A4: other Middleware server (such as an IBM® MQ server or similar) than customer connector used for data exchange between back-office and SWIFT-related components] 
Note: SWIFT HSMs are FIPS 140-2 Level 3 compliant with hardened underlying OS and are out of the scope of this control. 

Risk Drivers: 
  • excess attack surface 
  • exploitation of insecure system configuration 
Implementation Guidance 

Control Statement: 
Security hardening is conducted and maintained on all in-scope components. 

Control Context: 
System hardening applies the security concept of “least privilege” to a system by disabling features and services that are not required for normal system operations. This process reduces the system capabilities, features, and protocols that a malicious person may use during an attack. 

Implementation Guidelines: 
The implementation guidelines are common methods to apply the relevant control. The guidelines are a helpful way to begin an assessment, but should never be considered as an "audit checklist" as each user’s implementation may vary. Therefore, in cases where some implementation guidelines elements are not present or partially covered, mitigations as well as particular environment specificities must be considered to properly assess the overall compliance adherence level (as per the suggested guidelines 
or as per the alternatives). 
  • All in-scope systems are hardened, considering one or more of the following: 
    • vendor security configuration guidance 
    • industry-standard security configuration guidance (for example,24 CIS , DISA STIG, NIST)
    • a local or regulator's standard security configuration, or controls set of the same rigour as the vendor or industry guidance 
  • The selected hardening configuration (set of rules) can be overruled by application-specific configuration requirements to maintain a proper operational state for SWIFT-related systems. 
  • At a minimum, the hardening process should do the following: 
    • Change default passwords. 
    • Disable or remove unnecessary user accounts. 
    • Disable or restrict unnecessary services, ports, and protocols. 
    • Remove unnecessary software. 
    • Restrict physical ports (for example, USBs) as appropriate. 
    • Set, when technically possible, auto-lock options (such as activating an operator PC screen saver requiring a login after an inactivity time-out or when turned to sleep mode). A 15-minute inactivity timeout is recommended. 
    • Adjust any default configurations known to be vulnerable. The vendor and industry standards listed above can provide detailed guidance to accomplish these minimum targets. 
  • Deviations from the selected hardening configuration are documented along with justification for the deviation and potential mitigations applied. 
  • Systems are maintained secure, as follows: 
    • by checking regularly (at least twice per year) the systems against the secure settings identified as per preceding guidance to take any relevant corrective actions 
    • by regularly applying the identified secure settings to the systems.

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
РЗИ.5 Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной инфраструктуры
CIS Critical Security Controls v8 (The 18 CIS CSC):
4.1 Establish and Maintain a Secure Configuration Process 
Establish and maintain a secure configuration process for enterprise assets (end-user devices, including portable and mobile; non-computing/IoT devices; and servers) and software (operating systems and applications). Review and update documentation annually, or when significant enterprise changes occur that could impact this Safeguard 
16.7 Use Standard Hardening Configuration Templates for Application Infrastructure
Use standard, industry-recommended hardening configuration templates for application infrastructure components. This includes underlying servers, databases, and web servers, and applies to cloud containers, Platform as a Service (PaaS) components, and SaaS components. Do not allow in-house developed software to weaken configuration hardening. 
NIST Cybersecurity Framework (RU):
PR.IP-1: С учетом соответствующих принципов безопасности (например, концепция минимальной функциональности) создается и поддерживается базовая конфигурация информационных технологий / промышленных систем управления 
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗСВ.7 ЗСВ.7 Контроль целостности виртуальной инфраструктуры и ее конфигураций
УКФ.2 УКФ.2 Управление изменениями конфигурации информационной системы и системы защиты персональных данных
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 2.2.4
Defined Approach Requirements: 
Only necessary services, protocols, daemons, and functions are enabled, and all unnecessary functionality is removed or disabled. 

Customized Approach Objective:
System components cannot be compromised by exploiting unnecessary functionality present in the system component. 

Defined Approach Testing Procedures:
  • 2.2.4.a Examine system configuration standards to verify necessary system services, protocols, and daemons are identified and documented. 
  • 2.2.4.b Examine system configurations to verify the following: 
    • All unnecessary functionality is removed or disabled. 
    • Only required functionality, as documented in the configuration standards, is enabled. 
Unnecessary services and functions can provide additional opportunities for malicious individuals to gain access to a system. By removing or disabling all unnecessary services, protocols, daemons, and functions, organizations can focus on securing the functions that are required and reduce the risk that unknown or unnecessary functions will be exploited. 

Good Practice:
There are many protocols that could be enabled by default that are commonly used by malicious individuals to compromise a network. Disabling or removing all services, functions, and protocols that are not used minimizes the potential attack surface—for example, by removing or disabling an unused FTP or web server. 

Unnecessary functionality may include, but is not limited to scripts, drivers, features, subsystems, file systems, interfaces (USB and Bluetooth), and unnecessary web servers. 
Guideline for a healthy information system v.2.0 (EN):
Depending on his level of IT security practices, the user, a great deal of the time, is the first port of call for hackers trying to enter the system. It is therefore fundamental to implement a minimum level of security across the entire IT stock of the organization (user devices, servers, printers, phones, USB peripherals, etc.) by implementing the following measures:
  • limit the applications installed and optional modules in web browsers to just what is required;
  • equip users’ devices with an anti-virus and activate a local firewall (these are often included in the operating system);
  • encrypt the partitions where user data is stored;
  • deactivate automatic executions (autorun). 
In the event of a necessary exception from the general security rules applicable to devices, these devices must be isolated from the system (if it is impossible to update certain applications for interoperability reasons for example). 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.14.1.1 Анализ и спецификация требований информационной безопасности 
Мера обеспечения информационной безопасности: Требования, относящиеся к информационной безопасности, должны быть включены в перечень требований для новых информационных систем или для усовершенствования существующих информационных систем 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 5.1 CSC 5.1 Establish Secure Configurations
Maintain documented security configuration standards for all authorized operating systems and software.
CSC 5.2 CSC 5.2 Maintain Secure Images
Maintain secure images or templates for all systems in the enterprise based on the organization's approved configuration standards. Any new system deployment or existing system that becomes compromised should be imaged using one of those images or templates.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 2.2.4
Определенные Требования к Подходу:
Включаются только необходимые службы, протоколы, демоны и функции, а все ненужные функции удаляются или отключаются.

Цель Индивидуального подхода:
Системные компоненты не могут быть скомпрометированы путем использования ненужных функций, присутствующих в системном компоненте.

Определенные Процедуры Тестирования Подхода:
  • 2.2.4.a Изучить стандарты конфигурации системы, чтобы убедиться, что необходимые системные службы, протоколы и демоны идентифицированы и задокументированы.
  • 2.2.4.b Изучите конфигурации системы, чтобы убедиться в следующем:
    • Все ненужные функции удаляются или отключаются.
    • Включена только необходимая функциональность, задокументированная в стандартах конфигурации.
Ненужные службы и функции могут предоставить злоумышленникам дополнительные возможности для получения доступа к системе. Удаляя или отключая все ненужные службы, протоколы, демоны и функции, организации могут сосредоточиться на обеспечении безопасности необходимых функций и снизить риск использования неизвестных или ненужных функций.

Надлежащая практика:
Существует множество протоколов, которые могут быть включены по умолчанию и которые обычно используются злоумышленниками для компрометации сети. Отключение или удаление всех неиспользуемых служб, функций и протоколов сводит к минимуму потенциальную возможность атаки — например, путем удаления или отключения неиспользуемого FTP или веб-сервера.

Ненужные функциональные возможности могут включать, но не ограничиваться ими, скрипты, драйверы, функции, подсистемы, файловые системы, интерфейсы (USB и Bluetooth) и ненужные веб-серверы.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ЗСВ.7 ЗСВ.7 Контроль целостности виртуальной инфраструктуры и ее конфигураций
Strategies to Mitigate Cyber Security Incidents (EN):
Operating system hardening (including for network devices) based on a Standard Operating Environment, disabling unneeded functionality (e.g. RDP, AutoRun, LanMan, SMB/NetBIOS, LLMNR and WPAD).
Relative Security Effectiveness:  Very Good | Potential User Resistance:   Medium | Upfront Cost:  Medium | Ongoing Maintenance Cost:  Low
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
УКФ.0 УКФ.0 Разработка политики управления конфигурацией информационной (автоматизированной) системы
УКФ.2 УКФ.2 Управление изменениями
NIST Cybersecurity Framework (EN):
PR.IP-1 PR.IP-1: A baseline configuration of information technology/industrial control systems is created and maintained incorporating security principles (e.g. concept of least functionality)
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
УКФ.0 УКФ.0 Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы
УКФ.2 УКФ.2 Управление изменениями

Связанные защитные меры

Название Дата Влияние
18 10 / 103
Настройка безопасной конфигурации для серверов ОС Linux
Разово Вручную Техническая Превентивная
16.05.2022 18 10 / 103
2 17 / 117
Настройка контроля учетных записей (UAC) в ОС Windows
Постоянно Автоматически Техническая Превентивная
24.02.2022 2 17 / 117
2 21 / 124
Ограничение запуска неизвестного ПО с помощью Windows SmartScreen
Постоянно Автоматически Техническая Превентивная
16.02.2022 2 21 / 124
3 3 / 60
Приведение конфигурации IP телефонов в соответствие требованиям безопасности
Ежегодно Вручную Техническая Превентивная
29.07.2021 3 3 / 60
1 9 / 56
Резервное копирование и архивирование конфигураций сетевого оборудования
Еженедельно Автоматически Восстановительная
26.07.2021 1 9 / 56
1 3 / 39
Блокировка возможности удаленного подключения к ПК через RDP Shadow
Разово Автоматически Техническая Превентивная
22.06.2021 1 3 / 39
2 2 / 24
Включение подписи SMB пакетов
Разово Вручную Техническая Превентивная
15.06.2021 2 2 / 24
2 2 / 24
Перевод доменной аутентификации на Kerberos (отключение NTLM)
Разово Вручную Техническая Превентивная
15.06.2021 2 2 / 24
1 1 / 19
Отключение протокола NBT-NS на ПК и серверах Windows
Разово Автоматически Техническая Превентивная
15.06.2021 1 1 / 19
1 1 / 19
Отключение протокола LLMNR на ПК и серверах Windows
Разово Автоматически Техническая Превентивная
15.06.2021 1 1 / 19