Куда я попал?
SWIFT Customer Security Controls Framework v2022
Framework
2 - 2.3 System Hardening
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
2.3 System HardeningОбязательно для типа архитектуры A1 A2 A3 A4 BОбласть требования: Универсальный компьютер оператора SWIFT | Jump Server SWIFT | Выделенный компьютер оператора SWIFT | Промежуточный сервер SWIFT
Похожие требования
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
РЗИ.5
РЗИ.5 Определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной инфраструктуры
3-О 2-О 1-О
3-О 2-О 1-О
CIS Critical Security Controls v8 (The 18 CIS CSC):
4.1
4.1 Establish and Maintain a Secure Configuration Process
Establish and maintain a secure configuration process for enterprise assets (end-user devices, including portable and mobile; non-computing/IoT devices; and servers) and software (operating systems and applications). Review and update documentation annually, or when significant enterprise changes occur that could impact this Safeguard
Establish and maintain a secure configuration process for enterprise assets (end-user devices, including portable and mobile; non-computing/IoT devices; and servers) and software (operating systems and applications). Review and update documentation annually, or when significant enterprise changes occur that could impact this Safeguard
16.7
16.7 Use Standard Hardening Configuration Templates for Application Infrastructure
Use standard, industry-recommended hardening configuration templates for application infrastructure components. This includes underlying servers, databases, and web servers, and applies to cloud containers, Platform as a Service (PaaS) components, and SaaS components. Do not allow in-house developed software to weaken configuration hardening.
Use standard, industry-recommended hardening configuration templates for application infrastructure components. This includes underlying servers, databases, and web servers, and applies to cloud containers, Platform as a Service (PaaS) components, and SaaS components. Do not allow in-house developed software to weaken configuration hardening.
NIST Cybersecurity Framework (RU):
PR.IP-1
PR.IP-1: С учетом соответствующих принципов безопасности (например, концепция минимальной функциональности) создается и поддерживается базовая конфигурация информационных технологий / промышленных систем управления
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗСВ.7
ЗСВ.7 Контроль целостности виртуальной инфраструктуры и ее конфигураций
УКФ.2
УКФ.2 Управление изменениями конфигурации информационной системы и системы защиты персональных данных
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
УИ.2
УИ.2 Классификация в целях приоритизации изменений (например, плановые, срочные и критичные изменения) в критичную архитектуру.
УИ.1
УИ.1 Планирование, информирование вовлеченных подразделений о вносимых изменениях и контроль внесения изменений в критичную архитектуру.
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
4.1
4.1 Реализован и поддерживается процесс конфигурирования мер защиты
Описание процесса анализируется и обновляется раз в год или чаще.
Описание процесса анализируется и обновляется раз в год или чаще.
16.7
16.7 Используются стандартные шаблоны конфигураций усиления защиты для инфраструктуры программного обеспечения
Используются лучшие практики для конфигураций аппаратной защиты, в том числе серверов, баз данных, контейнеров.
Используются лучшие практики для конфигураций аппаратной защиты, в том числе серверов, баз данных, контейнеров.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 2.2.4
2.2.4
Defined Approach Requirements:
Only necessary services, protocols, daemons, and functions are enabled, and all unnecessary functionality is removed or disabled.
Customized Approach Objective:
System components cannot be compromised by exploiting unnecessary functionality present in the system component.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Only necessary services, protocols, daemons, and functions are enabled, and all unnecessary functionality is removed or disabled.
Customized Approach Objective:
System components cannot be compromised by exploiting unnecessary functionality present in the system component.
Defined Approach Testing Procedures:
- 2.2.4.a Examine system configuration standards to verify necessary system services, protocols, and daemons are identified and documented.
- 2.2.4.b Examine system configurations to verify the following:
- All unnecessary functionality is removed or disabled.
- Only required functionality, as documented in the configuration standards, is enabled.
Purpose:
Unnecessary services and functions can provide additional opportunities for malicious individuals to gain access to a system. By removing or disabling all unnecessary services, protocols, daemons, and functions, organizations can focus on securing the functions that are required and reduce the risk that unknown or unnecessary functions will be exploited.
Good Practice:
There are many protocols that could be enabled by default that are commonly used by malicious individuals to compromise a network. Disabling or removing all services, functions, and protocols that are not used minimizes the potential attack surface—for example, by removing or disabling an unused FTP or web server.
Examples:
Unnecessary functionality may include, but is not limited to scripts, drivers, features, subsystems, file systems, interfaces (USB and Bluetooth), and unnecessary web servers.
Unnecessary services and functions can provide additional opportunities for malicious individuals to gain access to a system. By removing or disabling all unnecessary services, protocols, daemons, and functions, organizations can focus on securing the functions that are required and reduce the risk that unknown or unnecessary functions will be exploited.
Good Practice:
There are many protocols that could be enabled by default that are commonly used by malicious individuals to compromise a network. Disabling or removing all services, functions, and protocols that are not used minimizes the potential attack surface—for example, by removing or disabling an unused FTP or web server.
Examples:
Unnecessary functionality may include, but is not limited to scripts, drivers, features, subsystems, file systems, interfaces (USB and Bluetooth), and unnecessary web servers.
Guideline for a healthy information system v.2.0 (EN):
14 STANDARD
/STANDARD
Depending on his level of IT security practices, the user, a great deal of the time, is the first port of call for hackers trying to enter the system. It is therefore fundamental to implement a minimum level of security across the entire IT stock of the organization (user devices, servers, printers, phones, USB peripherals, etc.) by implementing the following measures:
Depending on his level of IT security practices, the user, a great deal of the time, is the first port of call for hackers trying to enter the system. It is therefore fundamental to implement a minimum level of security across the entire IT stock of the organization (user devices, servers, printers, phones, USB peripherals, etc.) by implementing the following measures:
- limit the applications installed and optional modules in web browsers to just what is required;
- equip users’ devices with an anti-virus and activate a local firewall (these are often included in the operating system);
- encrypt the partitions where user data is stored;
- deactivate automatic executions (autorun).
In the event of a necessary exception from the general security rules applicable to devices, these devices must be isolated from the system (if it is impossible to update certain applications for interoperability reasons for example).
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.14.1.1
A.14.1.1 Анализ и спецификация требований информационной безопасности
Мера обеспечения информационной безопасности: Требования, относящиеся к информационной безопасности, должны быть включены в перечень требований для новых информационных систем или для усовершенствования существующих информационных систем
Мера обеспечения информационной безопасности: Требования, относящиеся к информационной безопасности, должны быть включены в перечень требований для новых информационных систем или для усовершенствования существующих информационных систем
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 5.1
CSC 5.1 Establish Secure Configurations
Maintain documented security configuration standards for all authorized operating systems and software.
Maintain documented security configuration standards for all authorized operating systems and software.
CSC 5.2
CSC 5.2 Maintain Secure Images
Maintain secure images or templates for all systems in the enterprise based on the organization's approved configuration standards. Any new system deployment or existing system that becomes compromised should be imaged using one of those images or templates.
Maintain secure images or templates for all systems in the enterprise based on the organization's approved configuration standards. Any new system deployment or existing system that becomes compromised should be imaged using one of those images or templates.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 2.2.4
2.2.4
Определенные Требования к Подходу:
Включаются только необходимые службы, протоколы, демоны и функции, а все ненужные функции удаляются или отключаются.
Цель Индивидуального подхода:
Системные компоненты не могут быть скомпрометированы путем использования ненужных функций, присутствующих в системном компоненте.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Включаются только необходимые службы, протоколы, демоны и функции, а все ненужные функции удаляются или отключаются.
Цель Индивидуального подхода:
Системные компоненты не могут быть скомпрометированы путем использования ненужных функций, присутствующих в системном компоненте.
Определенные Процедуры Тестирования Подхода:
- 2.2.4.a Изучить стандарты конфигурации системы, чтобы убедиться, что необходимые системные службы, протоколы и демоны идентифицированы и задокументированы.
- 2.2.4.b Изучите конфигурации системы, чтобы убедиться в следующем:
- Все ненужные функции удаляются или отключаются.
- Включена только необходимая функциональность, задокументированная в стандартах конфигурации.
Цель:
Ненужные службы и функции могут предоставить злоумышленникам дополнительные возможности для получения доступа к системе. Удаляя или отключая все ненужные службы, протоколы, демоны и функции, организации могут сосредоточиться на обеспечении безопасности необходимых функций и снизить риск использования неизвестных или ненужных функций.
Надлежащая практика:
Существует множество протоколов, которые могут быть включены по умолчанию и которые обычно используются злоумышленниками для компрометации сети. Отключение или удаление всех неиспользуемых служб, функций и протоколов сводит к минимуму потенциальную возможность атаки — например, путем удаления или отключения неиспользуемого FTP или веб-сервера.
Примеры:
Ненужные функциональные возможности могут включать, но не ограничиваться ими, скрипты, драйверы, функции, подсистемы, файловые системы, интерфейсы (USB и Bluetooth) и ненужные веб-серверы.
Ненужные службы и функции могут предоставить злоумышленникам дополнительные возможности для получения доступа к системе. Удаляя или отключая все ненужные службы, протоколы, демоны и функции, организации могут сосредоточиться на обеспечении безопасности необходимых функций и снизить риск использования неизвестных или ненужных функций.
Надлежащая практика:
Существует множество протоколов, которые могут быть включены по умолчанию и которые обычно используются злоумышленниками для компрометации сети. Отключение или удаление всех неиспользуемых служб, функций и протоколов сводит к минимуму потенциальную возможность атаки — например, путем удаления или отключения неиспользуемого FTP или веб-сервера.
Примеры:
Ненужные функциональные возможности могут включать, но не ограничиваться ими, скрипты, драйверы, функции, подсистемы, файловые системы, интерфейсы (USB и Bluetooth) и ненужные веб-серверы.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ЗСВ.7
ЗСВ.7 Контроль целостности виртуальной инфраструктуры и ее конфигураций
Strategies to Mitigate Cyber Security Incidents (EN):
1.11.
Operating system hardening (including for network devices) based on a Standard Operating Environment, disabling unneeded functionality (e.g. RDP, AutoRun, LanMan, SMB/NetBIOS, LLMNR and WPAD).
Relative Security Effectiveness: Very Good | Potential User Resistance: Medium | Upfront Cost: Medium | Ongoing Maintenance Cost: Low
Relative Security Effectiveness: Very Good | Potential User Resistance: Medium | Upfront Cost: Medium | Ongoing Maintenance Cost: Low
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
УКФ.0
УКФ.0 Разработка политики управления конфигурацией информационной (автоматизированной) системы
УКФ.2
УКФ.2 Управление изменениями
NIST Cybersecurity Framework (EN):
PR.IP-1
PR.IP-1: A baseline configuration of information technology/industrial control systems is created and maintained incorporating security principles (e.g. concept of least functionality)
Связанные защитные меры
| Название | Дата | Влияние | ||
|---|---|---|---|---|
|
Community
18
10 / 125
|
Настройка безопасной конфигурации для серверов ОС Linux
Вручную
Техническая
Превентивная
16.05.2022
|
16.05.2022 | 18 10 / 125 | |
|
Community
2
17 / 125
|
Настройка контроля учетных записей (UAC) в ОС Windows
Автоматически
Техническая
Превентивная
24.02.2022
|
24.02.2022 | 2 17 / 125 | |
|
Community
2
21 / 142
|
Ограничение запуска неизвестного ПО с помощью Windows SmartScreen
Автоматически
Техническая
Превентивная
16.02.2022
|
16.02.2022 | 2 21 / 142 | |
|
Community
1
9 / 70
|
Резервное копирование и архивирование конфигураций сетевого оборудования
Автоматически
Восстановительная
26.07.2021
|
26.07.2021 | 1 9 / 70 | |
|
Community
1
3 / 46
|
Блокировка возможности удаленного подключения к ПК через RDP Shadow
Автоматически
Техническая
Превентивная
22.06.2021
|
22.06.2021 | 1 3 / 46 | |
|
Community
2
2 / 28
|
Включение подписи SMB пакетов
Вручную
Техническая
Превентивная
15.06.2021
|
15.06.2021 | 2 2 / 28 | |
|
Community
2
2 / 28
|
Перевод доменной аутентификации на Kerberos (отключение NTLM)
Вручную
Техническая
Превентивная
15.06.2021
|
15.06.2021 | 2 2 / 28 | |
|
Community
1
1 / 23
|
Отключение протокола NBT-NS на ПК и серверах Windows
Автоматически
Техническая
Превентивная
15.06.2021
|
15.06.2021 | 1 1 / 23 | |
|
Community
1
1 / 23
|
Отключение протокола LLMNR на ПК и серверах Windows
Автоматически
Техническая
Превентивная
15.06.2021
|
15.06.2021 | 1 1 / 23 | |
|
Community
2
1 / 23
|
Контроль целостности файла hosts
Автоматически
Техническая
Детективная
20.05.2021
|
20.05.2021 | 2 1 / 23 |