Приказ ФСТЭК России № 17 от 11.02.2013

ЗБС.3 Размещение технических средств, реализующих функции беспроводного соединения, в выделенных сегментах вычислительных сетей финансовой организации
3-Н 2-Т 1-Т

11.2.2
Defined Approach Requirements: 
An inventory of authorized wireless access points is maintained, including a documented business justification. 

Customized Approach Objective:
Unauthorized wireless access points are not mistaken for authorized wireless access points. 

Defined Approach Testing Procedures:

Purpose:
An inventory of authorized wireless access points can help administrators quickly respond when unauthorized wireless access points are detected. This helps to proactively minimize the 
exposure of CDE to malicious individuals. 

Good Practice:
If using a wireless scanner, it is equally important to have a defined list of known access points which, while not attached to the company’s network, will usually be detected during a scan. These non-company devices are often found in multi-tenant buildings or businesses located near one another. However, it is important to verify that these devices are not connected to the entity’s network port or through another networkconnected device and given an SSID resembling a nearby business. Scan results should note such devices and how it was determined that these devices could be “ignored.” In addition, detection of any unauthorized wireless access points that are determined to be a threat to the CDE should be managed following the entity’s incident response plan per Requirement 12.10.1. 

11.2.1
Defined Approach Requirements: 
 Authorized and unauthorized wireless access points are managed as follows:

Customized Approach Objective:
Unauthorized wireless access points are identified and addressed periodically. 

Applicability Notes:
The requirement applies even when a policy exists that prohibits the use of wireless technology since attackers do not read and follow company policy. 
Methods used to meet this requirement must be sufficient to detect and identify both authorized and unauthorized devices, including unauthorized devices attached to devices that themselves are authorized. 

Defined Approach Testing Procedures:

Purpose:
Implementation and/or exploitation of wireless technology within a network are common paths for malicious users to gain unauthorized access to the network and cardholder data. Unauthorized wireless devices could be hidden within or attached to a computer or other system component. These devices could also be attached directly to a network port, to a network device such as a switch or router, or inserted as a wireless interface card inside a system component. 
If a wireless device or network is installed without a company’s knowledge, it can allow an attacker to enter the network easily and “invisibly.” Detecting and removing such unauthorized access points reduces the duration and likelihood of such devices being leveraged for an attack. 

Good Practice:
The size and complexity of an environment will dictate the appropriate tools and processes to be used to provide sufficient assurance that a rogue wireless access point has not been installed in the environment. 
For example, performing a detailed physical inspection of a single stand-alone retail kiosk in a shopping mall, where all communication components are contained within tamper-resistant and tamper-evident casings, may be sufficient to provide assurance that a rogue wireless access point has not been attached or installed. However, in an environment with multiple nodes (such as in a large retail store, call center, server room or data center), detailed physical inspection can be difficult. In this case, multiple methods may be combined, such as performing physical system inspections in conjunction with the results of a wireless analyzer. 

Definitions:
This is also referred to as rogue access point detection. 

Examples:
Methods that may be used include but are not limited to wireless network scans, physical/logical inspections of system components and infrastructure, network access control (NAC), or wireless IDS/IPS. NAC and wireless IDS/IPS are examples of automated monitoring tools. 

4.2.1.2
Defined Approach Requirements: 
Wireless networks transmitting PAN or connected to the CDE use industry best practices to implement strong cryptography for authentication and transmission. 

Customized Approach Objective:
Cleartext PAN cannot be read or intercepted from wireless network transmissions. 

Defined Approach Testing Procedures:

Purpose:
Since wireless networks do not require physical media to connect, it is important to establish controls limiting who can connect and what transmission protocols will be used. Malicious users use free and widely available tools to eavesdrop on wireless communications. Use of strong cryptography can help limit disclosure of sensitive information across wireless networks. 
Wireless networks present unique risks to an organization; therefore, they must be identified and protected according to industry requirements. Strong cryptography for authentication and transmission of PAN is required to prevent malicious users from gaining access to the wireless network or utilizing wireless networks to access other internal networks or data. 

Good Practice:
Wireless networks should not permit fallback or downgrade to an insecure protocol or lower encryption strength that does not meet the intent of strong cryptography. 

Further Information:
Review the vendor’s specific documentation for more details on the choice of protocols, configurations, and settings related to cryptography 

1.3.3
Defined Approach Requirements: 
NSCs are installed between all wireless networks and the CDE, regardless of whether the wireless network is a CDE, such that:

Customized Approach Objective:
Unauthorized traffic cannot traverse network boundaries between any wireless networks and wired environments in the CDE. 

Defined Approach Testing Procedures:

Purpose:
The known (or unknown) implementation and exploitation of wireless technology within a network is a common path for malicious individuals to gain access to the network and account data. If a wireless device or network is installed without the entity’s knowledge, a malicious individual could easily and “invisibly” enter the network. If NSCs do not restrict access from wireless networks into the CDE, malicious individuals that gain unauthorized access to the wireless network can easily connect to the CDE and compromise account information. 

/STANDARD
To guarantee the security of the information system, the organization must control the devices which connect to it, each one being a potentially vulnerable entry point. Personal devices (laptops, tablets, smartphones, etc.) are, by definition, difficult to control since it is the users who decide on their level of security. In the same way, the security of visitors’ devices is completely out of the organization’s control. 

Only the connection with terminals managed by the entity must be authorised over its different access networks, whether wired or wireless. This recommendation, above all of an organisational nature, is often perceived as unacceptable and even retrograde. However, unless this is adhered to, the task of a hacker is made very much easier by making an organization’s network vulnerable. 

Raising users’ awareness must therefore be accompanied by pragmatic solutions responding to their needs. For example, the provision of a Wi-Fi network with dedicated SSID for personal and visitor devices. 

А.9.1.1 Политика управления доступом 
Мера обеспечения информационной безопасности: Политика управления доступом должна быть разработана, документирована и должна пересматриваться с учетом требований бизнеса и информационной безопасности 

А.9.1.2 Доступ к сетям и сетевым сервисам 
Мера обеспечения информационной безопасности: Пользователям следует предоставлять доступ только к тем сетям и сетевым сервисам, на использование которых они получили конкретное разрешение 

11.2.2
Определенные Требования к Подходу:
Ведется инвентаризация авторизованных точек беспроводного доступа, включая документированное бизнес-обоснование.

Цель Индивидуального подхода:
Несанкционированные точки беспроводного доступа не принимаются за авторизованные точки беспроводного доступа.

Определенные Процедуры Тестирования Подхода:

Цель:
Инвентаризация авторизованных точек беспроводного доступа может помочь администраторам быстро реагировать при обнаружении несанкционированных точек беспроводного доступа. Это помогает превентивно свести к минимуму
воздействие CDE на злоумышленников.

Надлежащая практика:
При использовании беспроводного сканера не менее важно иметь определенный список известных точек доступа, которые, хотя и не подключены к сети компании, обычно обнаруживаются во время сканирования. Эти устройства, не принадлежащие компании, часто встречаются в многоквартирных зданиях или на предприятиях, расположенных рядом друг с другом. Однако важно убедиться, что эти устройства не подключены к сетевому порту организации или через другое устройство, подключенное к сети, и им присвоен SSID, похожий на соседний бизнес. В результатах сканирования должны быть указаны такие устройства и то, как было определено, что эти устройства могут быть “проигнорированы”. Кроме того, обнаружение любых несанкционированных точек беспроводного доступа, которые определены как представляющие угрозу для CDE, должно управляться в соответствии с планом реагирования организации на инциденты в соответствии с требованием 12.10.1.

1.3.3
Определенные Требования к Подходу:
NSCS устанавливаются между всеми беспроводными сетями и CDE, независимо от того, является ли беспроводная сеть CDE, так что:

Цель Индивидуального подхода:
Несанкционированный трафик не может пересекать границы сети между любыми беспроводными сетями и проводными средами в CDE.

Определенные Процедуры Тестирования Подхода:

Цель:
Известная (или неизвестная) реализация и использование беспроводной технологии в сети является распространенным способом получения злоумышленниками доступа к сети и данным учетной записи. Если беспроводное устройство или сеть установлены без ведома субъекта, злоумышленник может легко и “незаметно” проникнуть в сеть. Если NSCS не ограничивают доступ из беспроводных сетей в CDE, злоумышленники, которые получают несанкционированный доступ к беспроводной сети, могут легко подключиться к CDE и скомпрометировать информацию учетной записи.

4.2.1.2
Определенные Требования к Подходу:
Беспроводные сети, передающие PAN или подключенные к CDE, используют лучшие отраслевые практики для реализации надежной криптографии для аутентификации и передачи.

Цель Индивидуального подхода:
Открытый текст PAN не может быть прочитан или перехвачен при передаче по беспроводной сети.

Определенные Процедуры Тестирования Подхода:

Цель:
Поскольку для подключения к беспроводным сетям не требуются физические носители, важно установить элементы управления, ограничивающие, кто может подключаться и какие протоколы передачи будут использоваться. Злоумышленники используют бесплатные и широко доступные инструменты для подслушивания беспроводных сообщений. Использование надежной криптографии может помочь ограничить раскрытие конфиденциальной информации в беспроводных сетях.
Беспроводные сети представляют уникальные риски для организации; поэтому они должны быть идентифицированы и защищены в соответствии с отраслевыми требованиями. Надежная криптография для аутентификации и передачи PAN требуется для предотвращения получения злоумышленниками доступа к беспроводной сети или использования беспроводных сетей для доступа к другим внутренним сетям или данным.

Надлежащая практика:
Беспроводные сети не должны допускать отката или понижения до небезопасного протокола или снижения уровня шифрования, что не соответствует целям надежной криптографии.

Дополнительная информация:
Ознакомьтесь с конкретной документацией поставщика для получения более подробной информации о выборе протоколов, конфигураций и параметров, связанных с криптографией

11.2.1
Определенные Требования к Подходу:
Авторизованные и несанкционированные точки беспроводного доступа управляются следующим образом:

Цель Индивидуального подхода:
Несанкционированные точки беспроводного доступа периодически выявляются и устраняются.

Примечания по применению:
Это требование применяется даже в тех случаях, когда существует политика, запрещающая использование беспроводной технологии, поскольку злоумышленники не читают и не следуют политике компании.
Методы, используемые для выполнения этого требования, должны быть достаточными для обнаружения и идентификации как авторизованных, так и неавторизованных устройств, включая неавторизованные устройства, подключенные к устройствам, которые сами авторизованы.

Определенные Процедуры Тестирования Подхода:

Цель:
Внедрение и/или использование беспроводной технологии в сети являются распространенными путями получения злоумышленниками несанкционированного доступа к сети и данным о держателях карт. Несанкционированные беспроводные устройства могут быть скрыты внутри компьютера или другого системного компонента или подключены к нему. Эти устройства также могут быть подключены непосредственно к сетевому порту, к сетевому устройству, такому как коммутатор или маршрутизатор, или вставлены в качестве платы беспроводного интерфейса внутри системного компонента.
Если беспроводное устройство или сеть установлены без ведома компании, это может позволить злоумышленнику легко и “незаметно” проникнуть в сеть. Обнаружение и удаление таких несанкционированных точек доступа сокращает продолжительность и вероятность использования таких устройств для атаки.

Надлежащая практика:
Размер и сложность среды будут диктовать соответствующие инструменты и процессы, которые необходимо использовать для обеспечения достаточной уверенности в том, что в среде не установлена несанкционированная точка беспроводного доступа.
Например, выполнения детального физического осмотра одного отдельно стоящего розничного киоска в торговом центре, где все коммуникационные компоненты находятся в защищенных от несанкционированного доступа и защищенных от несанкционированного доступа корпусах, может быть достаточно, чтобы обеспечить уверенность в том, что не была подключена или установлена несанкционированная точка беспроводного доступа. Однако в среде с несколькими узлами (например, в крупном розничном магазине, колл-центре, серверной комнате или центре обработки данных) детальный физический осмотр может быть затруднен. В этом случае можно комбинировать несколько методов, таких как выполнение физических проверок системы в сочетании с результатами беспроводного анализатора.

Определения:
Это также называется обнаружением несанкционированной точки доступа.

Примеры:
Методы, которые могут быть использованы, включают, но не ограничиваются ими, сканирование беспроводной сети, физические/логические проверки системных компонентов и инфраструктуры, контроль доступа к сети (NAC) или беспроводные идентификаторы/IP-адреса. NAC и беспроводные идентификаторы/IP-адреса являются примерами автоматизированных средств мониторинга.

А.5.15 Контроль доступа
На основании требований бизнеса и ИБ должны быть установлены и внедрены правила контроля физического и логического доступа к информационным и иным связанным с ними активам.

Пользователям следует предоставлять доступ только к тем сетям и сетевым сервисам, на использование которых они получили конкретное разрешение.

В отношении использования сетей и сетевых сервисов должна быть сформулирована политика. Эта политика должна охватывать:

Политика использования сетевых сервисов должна быть согласованной с политикой управления доступом организации (см. 9.1.1).

Несанкционированные и незащищенные подключения к сетевым сервисам могут повлиять на всю организацию. Контроль подключений особенно важен для сетевых подключений к критически важным с точки зрения бизнеса приложениям или для пользователей, находящихся в местах с высоким уровнем риска, например в общественных местах или местах за пределами организации, которые не попадают под контроль системы менеджмента информационной безопасности организации.

Политика управления доступом должна быть разработана, документирована и периодически пересматриваться с учетом требований бизнеса и ИБ.

Владельцы активов должны определить соответствующие правила управления доступом, права доступа и ограничения для конкретных пользовательских ролей по отношению к своим активам с уровнем детализации и строгостью мер, отражающих риски, связанные с обеспечением ИБ.

Меры по управлению доступом могут быть как логическими, так и физическими (раздел 11), и должны рассматриваться совместно. Пользователи и поставщики услуг должны получить четкое представление о требованиях бизнеса, которым должны удовлетворять меры управления доступом.

Политика должна учитывать следующее:

Следует уделять особое внимание установлению правил управления доступом и учитывать следующее:

Правила управления доступом должны быть зафиксированы в формальных процедурах (см. 9.2, 9.3, 9.4), и под них определены обязанности (см. 6.1, 9.3).

Управление доступом на основе ролей - это подход, успешно используемый многими организациями для связи прав доступа с бизнес-ролями.

Есть два часто применяемых принципа, определяющих политику управления доступом:

А.5.15 Access control
Rules to control physical and logical access to information and other associated assets shall be established and implemented based on business and information security requirements.