Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее

SWIFT Customer Security Controls Framework v2022

Framework

6 - 6.2 Software Integrity

Для проведения оценки соответствия по документу войдите в систему.
6.2 Software Integrity
Обязательно для architecture type A1 A2 A3 A4
Control Definition 

Control Objective: Ensure the software integrity of the SWIFT-related components and act upon results. 

In-scope components: 
  • SWIFT connector 
  • GUI to the messaging and communication interface 
  • messaging interface 
  • communication interface 
  • RMA 
  • SNL 
  • [Advisory A4: Customer connector] 
Risk Drivers: 
  • unauthorised system changes 
Implementation Guidance 

Control Statement: 
A software integrity check is performed at regular intervals on messaging interface, communication interface, and other SWIFT-related components and results are considered for appropriate resolving actions. 

Control Context: 
Software integrity checks provide a detective control against unexpected modification to operational software. 

Implementation Guidelines: 
The implementation guidelines are common methods to apply the relevant control. The guidelines are a helpful way to begin an assessment, but should never be considered as an "audit checklist" as each user’s implementation may vary. Therefore, in cases where some implementation guidelines elements are not present or partially covered, mitigations as well as particular environment specificities must be considered to properly assess the overall compliance adherence level (as per the suggested guidelines 
or as per the alternatives). 
  • Software integrity checks are conducted on in-scope components upon start-up, and additionally at least once per day. Options for implementation: 
    • Integrated in the product 
    • Third-party file integrity monitoring (FIM) tool 
  • Integrity check of downloaded software is conducted through verification of the checksum at the time of its deployment. 
Optional Enhancements: 
  • An integrity check is performed in memory. 
  • An integrity check is performed at the operating system level. 
  • File Integrity Monitoring covers the products with integrated mechanisms. 
  • Systems within the secure zone implement application allow listing on the operating system, which allows only known and trusted applications to be executed.

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений":
ЖЦ.25
ЖЦ.25 Реализация управления версиями (сборками) и изменениями прикладного ПО при его обновлении (модификации)
CIS Critical Security Controls v8 (The 18 CIS CSC):
2.6
2.6 Allowlist Authorized Libraries
Use technical controls to ensure that only authorized software libraries, such as specific .dll, .ocx, .so, etc., files are allowed to load into a system process. Block unauthorized libraries from loading into a system process. Reassess bi-annually, or more frequently. 
NIST Cybersecurity Framework (RU):
PR.DS-6
PR.DS-6: Механизмы проверки целостности используются для проверки программного обеспечения, встроенного  программного обеспечения и целостности информации. 
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ОЦЛ.1 ОЦЛ.1 Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.14.2.4
A.14.2.4 Ограничения на изменения пакетов программ 
Мера обеспечения информационной безопасности: Следует избегать модификаций пакетов программ, ограничиваясь необходимыми изменениями, и строго контролировать все изменения 
A.12.5.1
A.12.5.1 Установка программного обеспечения в эксплуатируемых системах 
Мера обеспечения информационной безопасности: Должны быть реализованы процедуры контроля установки программного обеспечения в системах, находящихся в эксплуатации 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 2.8 CSC 2.8 Implement Application Whitelisting of Libraries
The organization's application whitelisting software must ensure that only authorized software libraries (such as *.dll, *.ocx, *.so, etc.) are allowed to load into a system process.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ОЦЛ.1 ОЦЛ.1 Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ОЦЛ.1 ОЦЛ.1 Контроль целостности программного обеспечения
NIST Cybersecurity Framework (EN):
PR.DS-6 PR.DS-6: Integrity checking mechanisms are used to verify software, firmware, and information integrity
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ОЦЛ.1 ОЦЛ.1 Контроль целостности программного обеспечения

Связанные защитные меры

Название Дата Влияние
Community
1 3 / 12
Отключение Cisco Smart Install
Разово Вручную Техническая Превентивная Компенсирующая
09.03.2022
09.03.2022 1 3 / 12
Цель: снижение последствий от санкционных действий производителя (Cisco).

Проверка наличия smartinstall
1. Заходим на оборудование, вводим команду - "show vstack config"
 #show vstack config
Role: Client (SmartInstall disabled) <- компонент выключен никаких действия не требуется
Role: Not Director (SmartInstall enabled) <- компонент включен
 Vstack Director IP address: 0.0.0.0
 *** Following configurations will be effective only on director ***
Vstack default management vlan: 1
Vstack start-up management vlan: 1
Vstack management Vlans: none
Join Window Details:
Window: Open (default)
Operation Mode: auto (default)
Vstack Backup Details:
Mode: On (default)
Repository:

2. Если компонент включен, для его отключения:
  • Заходим в конфигурацию "conf t"
  • Вводим команду "no vstack"
  • Проверяем "show vstack config"
3. Если коммутатор не применяет команду "no vstack" требуется на vlan управления применить ACL
3.1. создаем ACL
Заходим в конфигурацию "conf t"
ip access-list extended SMI_HARDENING_LIST
deny tcp any any eq 4786
permit ip any any
exit
3.2 применяем на vlan управления
int vlan 11 – номер vlan управления
ip access-group SMI_HARDENING_LIST in
exit

Проверка лицензий
4. Выполнить команду (если такой команды нет, то переходим к п.5)
#show license status
Smart Licensing is ENABLED <- если DISABLED то никаких действия не требуется
Registration:
Status: REGISTERED
Smart Account: XXXXX
Virtual Account: DEFAULT
Export-Controlled Functionality: NOT ALLOWED
Initial Registration: SUCCEEDED on Nov 13 09:12:34 NNNN MSK
Last Renewal Attempt: SUCCEEDED on Nov 02 09:15:07 NNNN MSK
Next Renewal Attempt: May 01 09:15:05 NNNN MSK
Registration Expires: Nov 02 09:10:04 NNNN MSK
License Authorization:
Status: OUT OF COMPLIANCE on Nov 13 09:12:45 NNNN MSK
Last Communication Attempt: PENDING on Mar 04 15:58:19 2022 MSK
Failure reason: Waiting for reply
Next Communication Attempt: Mar 04 16:14:04 2022 MSK
Communication Deadline: May 06 01:36:48 2022 MSK
 

5. Выполнить команду (если такой команды нет, никаких действия не требуется)
#show call-home
Current call home settings:
call home feature : enable              <- включен call-home
call home message's from address: Not yet set up
call home message's reply-to address: Not yet set up
 
vrf for call-home messages: Not yet set up
contact person's email address: NNNN
contact person's phone number: Not yet set up
street address: Not yet set up
customer ID: Not yet set up
contract ID: Not yet set up
site ID: Not yet set up
 
source ip address: Not yet set up
source interface: Not yet set up
Mail-server: XXXXXXXXXXXXXXXXXXX
http proxy: XXXXXXXXXXXXXXXXXX
http secure:
server identity check: enabled
http resolve-hostname: default

Smart licensing messages: enabled
Profile: CiscoTAC-1 (status: ACTIVE)

6. Проверить конфигурацию call-home (имя профиля, email даны для примера)
#show run | beg ^call-home
call-home
contact-email-addr cisco_support@rt.ru
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email

7. При необходимости - заблокировать, например так
conf t
call-home
http-proxy "127.0.0.10" port 8128
profile "CiscoTAC-1"
destination transport-method http
no destination transport-method email
end
wr mem