Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

SWIFT Customer Security Controls Framework v2022

Framework

2 - 2.9 Transaction Business Controls

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 6 п.п. 4
7.6.4. В организациях БС РФ в связи с повышенными рисками нарушения ИБ при взаимодействии с сетью Интернет должны применяться защитные меры, в том числе межсетевые экраны, антивирусные средства, средства обнаружения вторжений, средства криптографической защиты информации, обеспечивающие, среди прочего, прием и передачу информации только в установленном формате и только для конкретной технологии.
Должны быть разработаны и введены в действие инструкции и рекомендации по использованию сети Интернет, учитывающие особенности банковских технологических процессов.
Должны быть определены и выполняться процедуры протоколирования посещения ресурсов сети Интернет работниками организации БС РФ. Данные о посещенных работниками организации БС РФ ресурсов сети Интернет должны быть доступны работникам службы ИБ.
Р. 7 п. 4 п.п. 15
7.4.15. Передача защищаемых данных по каналам связи, имеющим выход за пределы контролируемой организацией БС РФ зоны, должна осуществляться только при условии обеспечения их защиты от раскрытия и модификации.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ВСА.6
ВСА.6 Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным несанкционированным логическим доступом к ресурсам доступа, размещенным во внутренних вычислительных сетях финансовой организации
3-Н 2-Н 1-Т
ЗВС.1
ЗВС.1 Применение сетевых протоколов, обеспечивающих защиту подлинности сетевого соединения, контроль целостности сетевого взаимодействия и реализацию технологии двухсторонней аутентификации при осуществлении логического доступа с использованием телекоммуникационных каналов и (или) линий связи, не контролируемых финансовой организацией
3-Т 2-Т 1-Т
NIST Cybersecurity Framework (RU):
PR.AC-4
PR.AC-4: При предоставлении разрешения на доступ и авторизации используется принцип наименьших привилегий и разделения обязанностей
Guideline for a healthy information system v.2.0 (EN):
25 STANDARD
/STANDARD
For operational needs, an organization can be required to establish a dedicated network interconnection with a supplier or customer (e.g.: managed services, electronic data interchange, financial flows, etc.) 

This interconnection can be done by a link to a private network of the organization or directly online. In the latter case, it is advisable to establish a site to site tunnel, ideally IPsec, adhering to ANSSI’s recommendations. 

The partner is, by default, considered as unsafe, so it is essential to carry out IP filtering with the assistance of a firewall as close as possible to the flows’ entrance into the organization’s network. The flow matrix (incoming and outgoing) must be strictly reduced to the operational need, maintained over time and the devices’ configuration must be in accordance with it. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.13.2.2
A.13.2.2 Соглашения о передаче информации 
Мера обеспечения информационной безопасности: Безопасная передача деловой информации между организацией и внешними сторонами должна быть определена соглашениями 
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.14
А.5.14 Передача информации
Для всех видов средств передачи информации внутри организации и между организацией и другими сторонами должны действовать правила, процедуры или соглашения по передаче информации.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
АУД.5 АУД.5 Контроль и анализ сетевого трафика
NIST Cybersecurity Framework (EN):
PR.AC-4 PR.AC-4: Access permissions and authorizations are managed, incorporating the principles of least privilege and separation of duties
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
АУД.5 АУД.5 Контроль и анализ сетевого трафика
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
13.2.2
13.2.2 Соглашения о передаче информации

Мера обеспечения ИБ
Безопасная передача деловой информации между организацией и внешними сторонами должна быть определена соглашениями.

Руководство по применению
Соглашения по передаче информации должны включать в себя следующее:
  • a) обязанности руководства по контролю и уведомлению о передаче, отправке и получении;
  • b) процедуры для обеспечения прослеживаемости и неотказуемости;
  • c) минимальные требования технических стандартов для упаковки и передачи;
  • d) соглашения условного депонирования (эскроу);
  • e) стандарты по идентификации курьеров;
  • f) ответственность и обязательства в случае инцидентов ИБ, таких как потеря данных;
  • g) использование согласованной системы маркирования для информации ограниченного доступа, гарантирующей, что значение этой маркировки будет сразу же понято и что информация будет соответствующим образом защищена (см. 8.2);
  • h) технические стандарты для записи и чтения информации и программного обеспечения;
  • i) любые специальные меры обеспечения ИБ, которые требуются для защиты чувствительных элементов, например криптография (раздел 10);
  • j) поддержание цепочки сохранности информации в процессе передачи;
  • k) приемлемые уровни управления доступом.
Должны быть разработаны и поддерживаться политики, процедуры и стандарты по защите информации и физических носителей в процессе передачи (см. 8.3.3), на них следует ссылаться в соглашениях о передаче.
Часть любого соглашения, посвященного ИБ, должна отражать степень доступности деловой информации.

Дополнительная информация
Соглашения могут быть в электронном или бумажном виде и могут иметь форму официальных договоров. Конкретные механизмы, используемые для передачи конфиденциальной информации, должны быть согласованы для всех организаций и типов соглашений.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.14
А.5.14 Information transfer
Information transfer rules, procedures, or agreements shall be in place for all types of transfer facilities within the organization and between the organization and other parties.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.