Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Приказ ФСТЭК России № 17 от 11.02.2013

Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах

ЗТС.3

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ФД.6
ФД.6 Назначение для всех помещений распорядителя физического доступа
3-О 2-О 1-О
ФД.13
ФД.13 Контроль доступа к серверному и сетевому оборудованию, расположенному в запираемых серверных стоечных шкафах
3-Н 2-О 1-О
ФД.2
ФД.2 Контроль перечня лиц, которым предоставлено право самостоятельного физического доступа в помещения
3-О 2-О 1-Т
ФД.7
ФД.7 Предоставление права самостоятельного физического доступа в помещения по решению распорядителя физического доступа
3-О 2-О 1-О
ФД.3
ФД.3 Контроль самостоятельного физического доступа в помещения для лиц, не являющихся работниками финансовой организации
3-Н 2-О 1-Т
ФД.5
ФД.5 Осуществление физического доступа лицами, которым не предоставлено право самостоятельного доступа в помещения, только под контролем работников финансовой организации, которым предоставлено такое право
3-Н 2-О 1-О
ФД.4
ФД.4 Контроль самостоятельного физического доступа в помещения для технического (вспомогательного) персонала
3-Н 2-О 1-Т
ФД.10
ФД.10 Оборудование помещений средствами видеонаблюдения
3-Н 2-Н 1-Т
ФД.1
ФД.1 Документарное определение правил предоставления физического доступа
3-Н 2-О 1-О
NIST Cybersecurity Framework (RU):
PR.AC-2
PR.AC-2: Управляется и защищен физический доступ к активам 
Приказ ФАПСИ № 152 от 13.06.2001 "Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну":
Глава IV п. 53
53. Размещение, специальное оборудование, охрана и организация режима в спецпомещениях органов криптографической защиты должны исключить возможность неконтролируемого проникновения или пребывания в них посторонних лиц, а также просмотра посторонними лицами ведущихся там работ.
Глава IV п. 51
51. Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним, должны обеспечивать сохранность конфиденциальной информации, СКЗИ, ключевых документов.

При оборудовании спецпомещений должны выполняться требования к размещению, монтажу СКЗИ, а также другого оборудования, функционирующего с СКЗИ.

Перечисленные в настоящей Инструкции требования к спецпомещениям могут не предъявляться, если это предусмотрено правилами пользования СКЗИ, согласованными с ФАПСИ.
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗТС.3 ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.2.1
9.2.1
Defined Approach Requirements: 
Appropriate facility entry controls are in place to restrict physical access to systems in the CDE. 

Customized Approach Objective:
System components in the CDE cannot be physically accessed by unauthorized personnel. 

Defined Approach Testing Procedures:
  • 9.2.1 Observe entry controls and interview responsible personnel to verify that physical security controls are in place to restrict access to systems in the CDE. 
Purpose:
Without physical access controls, unauthorized persons could potentially gain access to the CDE and sensitive information, or could alter system configurations, introduce vulnerabilities into the network, or destroy or steal equipment. Therefore, the purpose of this requirement is that physical access to the CDE is controlled via physical security controls such as badge readers or other mechanisms such as lock and key. 

Good Practice:
Whichever mechanism meets this requirement, it must be sufficient for the organization to verify that only authorized personnel are granted access. 

Examples:
Facility entry controls include physical security controls at each computer room, data center, and other physical areas with systems in the CDE. It can also include badge readers or other devices that manage physical access controls, such as lock and key with a current list of all individuals holding the keys. 
Requirement 9.2.3
9.2.3
Defined Approach Requirements: 
Physical access to wireless access points, gateways, networking/communications hardware, and telecommunication lines within the facility is restricted. 

Customized Approach Objective:
Physical networking equipment cannot be accessed by unauthorized personnel. 

Defined Approach Testing Procedures:
  • 9.2.3 Interview responsible personnel and observe locations of hardware and lines to verify that physical access to wireless access points, gateways, networking/communications hardware, and telecommunication lines within the facility is restricted. 
Purpose:
Without appropriate physical security over access to wireless components and devices, and computer networking and telecommunications equipment and lines, malicious users could gain access to the entity’s network resources. Additionally, they could connect their own devices to the network to gain unauthorized access to the CDE or systems connected to the CDE. 
Additionally, securing networking and communications hardware prevents malicious users from intercepting network traffic or physically connecting  their own devices to wired network resources. 
Guideline for a healthy information system v.2.0 (EN):
26 STANDARD
/STANDARD
Physical security mechanisms must be a key part of information systems security and be up to date to ensure that they cannot be bypassed easily by a hacker. It is, therefore, advisable to identify the suitable physical security measures and to raise users’ awareness continuously of the risks caused by bypassing these rules. 

Access to server rooms and technical areas must be controlled with the assistance of locks or access control mechanisms such as badges. The unaccompanied access of external service providers to sever rooms and technical areas must be prohibited, except if it is possible to strictly monitor the access and limit it to given time intervals. A regular review of the access rights must be carried out, in order to identify any unauthorised access. 

When an employee leaves or there is a change of service provider, the access rights must be withdrawn or the access codes changed. 

Finally, the network sockets in areas open to the public (meeting room, reception hall, corridors, etc.) must be restricted or deactivated in order to stop a hacker easily gaining access to the company’s network. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.11.1.3
A.11.1.3 Безопасность зданий, помещений и оборудования 
Мера обеспечения информационной безопасности: Должна быть разработана и реализована физическая защита зданий, помещений и оборудования 
A.11.1.5
A.11.1.5 Работа в зонах безопасности 
Мера обеспечения информационной безопасности: Должны быть разработаны и применены процедуры для работы в зонах безопасности 
A.11.1.6
A.11.1.6 Зоны погрузки и разгрузки 
Мера обеспечения информационной безопасности: Места доступа, например зоны погрузки и разгрузки, и другие места, где неуполномоченные лица могут проникать в помещения, должны находиться под контролем и, по возможности, должны быть изолированы от средств обработки информации во избежание несанкционированного доступа к ним 
A.9.1.1
А.9.1.1 Политика управления доступом 
Мера обеспечения информационной безопасности: Политика управления доступом должна быть разработана, документирована и должна пересматриваться с учетом требований бизнеса и информационной безопасности 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.2.3
9.2.3
Определенные Требования к Подходу:
Физический доступ к точкам беспроводного доступа, шлюзам, сетевому/коммуникационному оборудованию и линиям связи внутри объекта ограничен.

Цель Индивидуального подхода:
Неавторизованный персонал не может получить доступ к физическому сетевому оборудованию.

Определенные Процедуры Тестирования Подхода:
  • 9.2.3 Опросите ответственный персонал и осмотрите расположение оборудования и линий, чтобы убедиться, что физический доступ к точкам беспроводного доступа, шлюзам, сетевому/коммуникационному оборудованию и линиям связи в пределах объекта ограничен.
Цель:
Без надлежащей физической защиты доступа к беспроводным компонентам и устройствам, а также компьютерному сетевому и телекоммуникационному оборудованию и линиям злоумышленники могут получить доступ к сетевым ресурсам организации. Кроме того, они могут подключать свои собственные устройства к сети, чтобы получить несанкционированный доступ к CDE или системам, подключенным к CDE.
Кроме того, защита сетевого и коммуникационного оборудования не позволяет злоумышленникам перехватывать сетевой трафик или физически подключать свои собственные устройства к ресурсам проводной сети.
Requirement 9.2.1
9.2.1
Определенные Требования к Подходу:
Для ограничения физического доступа к системам в CDE предусмотрены соответствующие средства контроля доступа на объекты.

Цель Индивидуального подхода:
Компоненты системы в CDE не могут быть физически доступны неавторизованному персоналу.

Определенные Процедуры Тестирования Подхода:
  • 9.2.1 Соблюдайте контроль входа и опросите ответственный персонал, чтобы убедиться, что существуют средства физической безопасности для ограничения доступа к системам в CDE.
Цель:
Без контроля физического доступа неавторизованные лица потенциально могут получить доступ к CDE и конфиденциальной информации или могут изменить конфигурацию системы, внедрить уязвимости в сеть или уничтожить или украсть оборудование. Следовательно, цель этого требования состоит в том, чтобы физический доступ к CDE контролировался с помощью средств физической безопасности, таких как считыватели бейджей или другие механизмы, такие как замок и ключ.

Надлежащая практика:
Какой бы механизм ни отвечал этому требованию, организации должно быть достаточно убедиться в том, что доступ предоставляется только авторизованному персоналу.

Примеры:
Средства контроля доступа на объект включают средства контроля физической безопасности в каждом компьютерном зале, центре обработки данных и других физических зонах с системами в CDE. Он также может включать считыватели бейджей или другие устройства, которые управляют физическими средствами контроля доступа, такими как замок и ключ, с текущим списком всех лиц, владеющих ключами.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.7.2
А.7.2 Защита физического входа
Зоны физической безопасности должны быть защищены соответствующими средствами контроля и управления доступом.
А.7.3
А.7.3 Безопасность офисов, помещений и помещений
Должна быть разработана и внедрена физическая безопасность для офисов, помещений и зданий.
А.7.6
А.7.6 Работа в защищенном периметре
Должны быть разработаны и внедрены меры безопасности для работы в защищенном периметре.
А.5.15
А.5.15 Контроль доступа
На основании требований бизнеса и ИБ должны быть установлены и внедрены правила контроля физического и логического доступа к информационным и иным связанным с ними активам.
SWIFT Customer Security Controls Framework v2022:
3 - 3.1 Physical Security
3.1 Physical Security
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗТС.3 ЗТС.3 Управление физическим доступом
Приказ ФСБ России № 378 от 10.07.2014 "Состав и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации":
Глава II п. 5
5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
  • а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
  • б) обеспечение сохранности носителей персональных данных;
  • в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
  • г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
NIST Cybersecurity Framework (EN):
PR.AC-2 PR.AC-2: Physical access to assets is managed and protected
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗТС.3 ЗТС.3 Управление физическим доступом
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.15
А.5.15 Access control
Rules to control physical and logical access to information and other associated assets shall be established and implemented based on business and information security requirements.
А.7.6
А.7.6 Working in secure areas
Security measures for working in secure areas shall be designed and implemented.
А.7.2
А.7.2 Physical entry
Secure areas shall be protected by appropriate entry controls and access points.
А.7.3
А.7.3 Securing offices, rooms and facilities
Physical security for offices, rooms and facilities shall be designed and implemented.

Связанные защитные меры

Ничего не найдено