Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления

Приказ ФСТЭК России № 31 от 14.03.2014

УКФ.2

Для проведения оценки соответствия по документу войдите в систему.
УКФ.2 Управление изменениями
Обязательно для класса защищенности К1 К2 К3

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений":
ЖЦ.4
ЖЦ.4 Реализация управления версиями (сборками) и изменениями создаваемого (модернизируемого), в том числе тестируемого, прикладного ПО АС, осуществляемого для цели: 
  • контроля реализации функций защиты информации в определенной версии (сборке) прикладного ПО; 
  • принятия мер, препятствующих несанкционированному внесению изменений в версии (сборки) прикладного ПО
NIST Cybersecurity Framework (RU):
PR.IP-3
PR.IP-3: Реализованы процессы контроля изменений конфигурации 
PR.IP-1
PR.IP-1: С учетом соответствующих принципов безопасности (например, концепция минимальной функциональности) создается и поддерживается базовая конфигурация информационных технологий / промышленных систем управления 
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
УКФ.2 УКФ.2 Управление изменениями конфигурации информационной системы и системы защиты персональных данных
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.12.1.2
A.12.1.2 Процесс управления изменениями 
Мера обеспечения информационной безопасности: Необходимо обеспечить управление изменениями в организации, бизнеспроцессах, средствах обработки информации и системах, влияющих на информационную безопасность 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 18.11 CSC 18.11 Use Standard Hardening Configuration Templates for Databases
For applications that rely on a database, use standard hardening configuration templates. All systems that are part of critical business processes should also be tested.
CSC 11.2 CSC 11.2 Document Traffic Configuration Rules
All configuration rules that allow traffic to flow through network devices should be documented in a configuration management system with a specific business reason for each rule, a specific individual’s name responsible for that business need, and an expected duration of the need.
CSC 11.1 CSC 11.1 Maintain Standard Security Configurations for Network Devices
Maintain documented security configuration standards for all authorized network devices.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.32
А.8.32 Управление изменениями
Изменения в средствах обработки информации и информационных системах должны быть объектом процедур управления изменениями.
SWIFT Customer Security Controls Framework v2022:
2 - 2.3 System Hardening
2.3 System Hardening
2 - 2.10 Application Hardening
2.10 Application Hardening
Положение Банка России № 779-П от 15.11.2021 "Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"":
п. 1.5.
1.5. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны обеспечивать выполнение следующих требований в отношении управления изменениями критичной архитектуры:
  • управление уязвимостями в критичной архитектуре, с использованием которых могут реализоваться информационные угрозы и которые могут повлечь отклонение от значений целевых показателей операционной надежности, указанных в пункте 1.3 настоящего Положения;
  • планирование и внедрение изменений в критичной архитектуре, направленных на обеспечение непрерывного оказания финансовых услуг;
  • управление конфигурациями объектов информационной инфраструктуры некредитных финансовых организаций;
  • управление уязвимостями и обновлениями (исправлениями) объектов информационной инфраструктуры некредитных финансовых организаций.
NIST Cybersecurity Framework (EN):
PR.IP-1 PR.IP-1: A baseline configuration of information technology/industrial control systems is created and maintained incorporating security principles (e.g. concept of least functionality)
PR.IP-3 PR.IP-3: Configuration change control processes are in place
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
УКФ.2 УКФ.2 Управление изменениями
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.32
А.8.32 Change management
Changes to information processing facilities and information systems shall be subject to change management procedures.

Связанные защитные меры

Название Дата Влияние
Community
3 17 / 69
Установка обновлений для ОС Linux
Ежемесячно Вручную Техническая Превентивная Компенсирующая
31.05.2022
31.05.2022 3 17 / 69
Community
18 10 / 103
Настройка безопасной конфигурации для серверов ОС Linux
Разово Вручную Техническая Превентивная
16.05.2022
16.05.2022 18 10 / 103
Community
1 15 / 68
Централизованная установка обновлений для ОС Windows через WSUS сервер
Ежедневно Автоматически Техническая Превентивная Компенсирующая
04.05.2022
04.05.2022 1 15 / 68
Community
2 17 / 117
Настройка контроля учетных записей (UAC) в ОС Windows
Постоянно Автоматически Техническая Превентивная
24.02.2022
24.02.2022 2 17 / 117
Community
2 21 / 124
Ограничение запуска неизвестного ПО с помощью Windows SmartScreen
Постоянно Автоматически Техническая Превентивная
16.02.2022
16.02.2022 2 21 / 124
Community
1 28 / 86
Сканирование внешнего сетевого периметра на наличие уязвимостей
Еженедельно Автоматически Техническая Детективная
11.02.2022
11.02.2022 1 28 / 86
Community
3 3 / 60
Приведение конфигурации IP телефонов в соответствие требованиям безопасности
Ежегодно Вручную Техническая Превентивная
29.07.2021
29.07.2021 3 3 / 60
Community
1 9 / 56
Резервное копирование и архивирование конфигураций сетевого оборудования
Еженедельно Автоматически Восстановительная
26.07.2021
26.07.2021 1 9 / 56
Community
1 3 / 39
Блокировка возможности удаленного подключения к ПК через RDP Shadow
Разово Автоматически Техническая Превентивная
22.06.2021
22.06.2021 1 3 / 39
Community
2 2 / 24
Включение подписи SMB пакетов
Разово Вручную Техническая Превентивная
15.06.2021
15.06.2021 2 2 / 24