Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Приказ ФСТЭК России № 17 от 11.02.2013

Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах

ЗИС.17

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ЗСВ.13
ЗСВ.13 Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), в том числе виртуальных, используемых для размещения совокупности виртуальных машин, предназначенных для размещения серверных компонент АС, включенных в разные контуры безопасности
3-Н 2-Т 1-Т
ЗСВ.14
ЗСВ.14 Выделение в вычислительных сетях финансовой организации отдельных сегментов (групп сегментов), в том числе виртуальных, используемых для размещения совокупности виртуальных машин, предназначенных для размещения АРМ пользователей и эксплуатационного персонала, включенных в разные контуры безопасности
3-Н 2-Т 1-Т
NIST Cybersecurity Framework (RU):
PR.AC-5
PR.AC-5: Защищена целостность сети, включая сегрегацию сети при необходимости
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗИС.17 ЗИС.17 Разбиение информационной системы на сегменты (сегментирование информационной системы) и обеспечение защиты периметров сегментов информационной системы
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 1.4.4
1.4.4
Defined Approach Requirements: 
System components that store cardholder data are not directly accessible from untrusted networks. 

Customized Approach Objective:
Stored cardholder data cannot be accessed from untrusted networks. 

Applicability Notes:
This requirement is not intended to apply to storage of account data in volatile memory but does apply where memory is being treated as persistent storage (for example, RAM disk). Account data can only be stored in volatile memory during the time necessary to support the associated business process (for example, until completion of the related payment card transaction). 

Defined Approach Testing Procedures:
  • 1.4.4.a Examine the data-flow diagram and network diagram to verify that it is documented that system components storing cardholder data are not directly accessible from the untrusted networks. 
  • 1.4.4.b Examine configurations of NSCs to verify that controls are implemented such that system components storing cardholder data are not directly accessible from untrusted networks. 
Purpose:
Cardholder data that is directly accessible from an untrusted network, for example, because it is stored on a system within the DMZ or in a cloud database service, is easier for an external attacker to access because there are fewer defensive layers to penetrate. Using NSCs to ensure that system components that store cardholder data (such as a database or a file) can only be directly accessed from trusted networks can prevent unauthorized network traffic from reaching the system component. 
Requirement 1.4.1
1.4.1 
Defined Approach Requirements: 
NSCs are implemented between trusted and untrusted networks. 

Customized Approach Objective:
Unauthorized traffic cannot traverse network boundaries between trusted and untrusted networks. 

Defined Approach Testing Procedures:
  • 1.4.1.a Examine configuration standards and network diagrams to verify that NSCs are defined between trusted and untrusted networks. 
  • 1.4.1.b Examine network configurations to verify that NSCs are in place between trusted and untrusted networks, in accordance with the documented configuration standards and network diagrams. 
Purpose:
Implementing NSCs at every connection coming into and out of trusted networks allows the entity to monitor and control access and minimizes the chances of a malicious individual obtaining access to the internal network via an unprotected connection. 

Examples: 
An entity could implement a DMZ, which is a part of the network that manages connections between an untrusted network (for examples of untrusted networks refer to the Requirement 1 Overview) and services that an organization needs to have available to the public, such as a web server. Please note that if an entity’s DMZ processes or transmits account data (for example, e-commerce website), it is also considered a CDE 
Guideline for a healthy information system v.2.0 (EN):
19 STANDARD
/STANDARD
When the network is "flat", without any partitioning mechanism, each device in the network can access any other device. If one is compromised all of the connected devices are therefore in jeopardy. A hacker can therefore compromise a user’s device and then, moving around from device to device, find a way to critical servers. 

Therefore it is important, from the network architecture’s design, to work through segmentation into areas made up of systems with uniform security needs. You may, for example, separately group infrastructure servers, business servers, user workstations, administrator workstations, IP phones, etc. 

One area is therefore characterised by dedicated VLANs and IP subnetworks or even by infrastructures dedicated according to their criticality. Therefore, partitioning measures such as an IP filter with the help of a firewall can be implemented between the different areas. Specifically, you will ensure that the devices and flows associated with administration tasks are segregated as far as possible. 

For networks for which subsequent partitioning would not be easy, integrating this approach in any new network extension or when devices are changed is recommended. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.13.1.3
A.13.1.3 Разделение в сетях 
Мера обеспечения информационной безопасности: Группы информационных сервисов, пользователей и информационных систем в сети должны быть разделены 
A.11.1.1
A.11.1.1 Физический периметр безопасности 
Мера обеспечения информационной безопасности: Должны быть определены и использованы периметры безопасности для защиты зон, содержащих чувствительную или критическую информацию и средства ее обработки 
A.11.1.2
A.11.1.2 Меры и средства контроля и управления физическим доступом 
Мера обеспечения информационной безопасности: Зоны безопасности должны быть защищены соответствующими мерами и средствами контроля доступа, чтобы обеспечить уверенность в том, что доступ разрешен только уполномоченному персоналу 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 14.1 CSC 14.1 Segment the Network Based on Sensitivity
Segment the network based on the label or classification level of the information stored on the servers, locate all sensitive information on separated Virtual Local Area Networks (VLANs).
Положение Банка России № 802-П от 25.07.2022 "О требованиях к защите информации в платежной системе Банка России":
П. 6
6. ОУИО СБП должен размещать объекты информационной инфраструктуры, используемые при предоставлении услуг информационного обмена участникам СБП, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Для объектов информационной инфраструктуры в пределах выделенного (отдельного) сегмента (группы сегментов) вычислительных сетей ОУИО СБП должен применять меры защиты информации, посредством выполнения которых обеспечивается реализация стандартного уровня (уровня 2) защиты информации, предусмотренного пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017.
П. 4
4. Участники обмена, международные финансовые организации при осуществлении переводов денежных средств с использованием сервиса быстрых платежей (далее при совместном упоминании - участники СБП) должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса быстрых платежей, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Для объектов информационной инфраструктуры в пределах выделенного (отдельного) сегмента (группы сегментов) вычислительных сетей участники СБП должны применять меры защиты информации, посредством выполнения которых обеспечивается реализация стандартного уровня (уровня 2) защиты информации, предусмотренного пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017.
П. 3
3. Участники обмена при осуществлении переводов денежных средств в платежной системе Банка России (далее - осуществление переводов денежных средств) с использованием сервиса срочного перевода и сервиса несрочного перевода (далее - участники ССНП) должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса срочного перевода и сервиса несрочного перевода, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Для объектов информационной инфраструктуры в пределах выделенного (отдельного) сегмента (группы сегментов) вычислительных сетей участники ССНП должны применять меры защиты информации, посредством выполнения которых обеспечивается реализация стандартного уровня (уровня 2) защиты информации, предусмотренного пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст и введенного в действие 1 января 2018 года (далее - ГОСТ Р 57580.1-2017).
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 1.4.1
1.4.1
Определенные Требования к Подходу:
NSCs реализуются между доверенными и ненадежными сетями.

Цель Индивидуального подхода:
Несанкционированный трафик не может пересекать границы сети между доверенными и ненадежными сетями.

Определенные Процедуры Тестирования Подхода:
  • 1.4.1.a Изучите стандарты конфигурации и схемы сети, чтобы убедиться, что NSC определены между доверенными и ненадежными сетями.
  • 1.4.1.b Изучите сетевые конфигурации, чтобы убедиться, что NSC установлены между доверенными и ненадежными сетями в соответствии с документированными стандартами конфигураций и сетевыми схемами.
Цель:
Внедрение NSCS при каждом подключении, входящем в доверенные сети и выходящем из них, позволяет организации отслеживать и контролировать доступ и сводит к минимуму вероятность получения злоумышленником доступа к внутренней сети через незащищенное соединение.

Примеры:
Организация может внедрить DMZ, которая является частью сети, которая управляет соединениями между ненадежной сетью (примеры ненадежных сетей см. в обзоре Требования 1) и службами, которые организация должна иметь общедоступными, такими как веб-сервер. Пожалуйста, обратите внимание, что если DMZ организации обрабатывает или передает данные учетной записи (например, веб-сайт электронной коммерции), это также считается CDE
Requirement 1.4.4
1.4.4
Определенные Требования к Подходу:
Системные компоненты, в которых хранятся данные о держателях карт, недоступны напрямую из ненадежных сетей.

Цель Индивидуального подхода:
Сохраненные данные о держателях карт не могут быть доступны из ненадежных сетей.

Примечания по применению:
Это требование не предназначено для хранения данных учетной записи в энергозависимой памяти, но применяется там, где память используется как постоянное хранилище (например, RAM-диск). Данные учетной записи могут храниться в энергонезависимой памяти только в течение времени, необходимого для поддержки соответствующего бизнес-процесса (например, до завершения соответствующей транзакции по платежной карте).

Определенные Процедуры Тестирования Подхода:
  • 1.4.4.a Изучите схему потока данных и сетевую схему, чтобы убедиться, что документально подтверждено, что компоненты системы, хранящие данные о держателях карт, недоступны напрямую из ненадежных сетей.
  • 1.4.4.b Изучите конфигурации NSCS, чтобы убедиться, что средства управления реализованы таким образом, чтобы компоненты системы, хранящие данные о держателях карт, не были доступны напрямую из ненадежных сетей.
Цель:
Данные о держателях карт, к которым можно получить прямой доступ из ненадежной сети, например, потому, что они хранятся в системе в пределах DMZ или в облачной службе баз данных, легче получить доступ внешнему злоумышленнику, поскольку существует меньше защитных уровней для проникновения. Использование NSCS для обеспечения того, чтобы к компонентам системы, в которых хранятся данные о держателях карт (например, к базе данных или файлу), можно было получить прямой доступ только из доверенных сетей, может предотвратить попадание несанкционированного сетевого трафика на системный компонент.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.22
А.8.22 Сегментирование сетей
Сеть организации должны быть сегментирована на группы информационных сервисов, пользователей и информационных систем.
Методика экспресс-оценки уровня кибербезопасности организации РезБез:
9.1.1.
Сети разделены на отдельные сегменты в соответствии с их функциональным назначением
9.1.2.
Сеть сегментирована
SWIFT Customer Security Controls Framework v2022:
1 - 1.4 Restriction of Internet Access
1.4 Restriction of Internet Access
1 - 1.1 SWIFT Environment Protection
 1.1 SWIFT Environment Protection 
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗИС.4 ЗИС.4 Сегментирование информационной (автоматизированной) системы
NIST Cybersecurity Framework (EN):
PR.AC-5 PR.AC-5: Network integrity is protected (e.g., network segregation, network segmentation)
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗИС.4 ЗИС.4 Сегментирование информационной (автоматизированной) системы
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.22
А.8.22 Segregation of networks
Groups of information services, users and information systems shall be segregated in the organization’s networks.