Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее

Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления

Приказ ФСТЭК России № 31 от 14.03.2014

ЗИС

Для проведения оценки соответствия по документу войдите в систему.
ЗИС.5 Организация демилитаризованной зоны
Обязательно для класса защищенности К1 К2 К3
ЗИС.6 Управление сетевыми потоками
Необязательное требование
ЗИС.9 Создание гетерогенной среды
Необязательное требование
ЗИС.13 Защита неизменяемых данных
Обязательно для класса защищенности К1 К2
ЗИС.16 Защита от спама
Обязательно для класса защищенности К1 К2
ЗИС.17 Защита информации от утечек
Необязательное требование
ЗИС.19 Защита информации при ее передаче по каналам связи
Обязательно для класса защищенности К1 К2 К3
ЗИС.20 Обеспечение доверенных канала, маршрута
Обязательно для класса защищенности К1 К2 К3
ЗИС.23 Контроль использования мобильного кода
Обязательно для класса защищенности К1 К2
ЗИС.24 Контроль передачи речевой информации
Обязательно для класса защищенности К1 К2
ЗИС.25 Контроль передачи видеоинформации
Обязательно для класса защищенности К1 К2
ЗИС.27 Обеспечение подлинности сетевых соединений
Обязательно для класса защищенности К1 К2
ЗИС.28 Исключение возможности отрицания отправки информации
Обязательно для класса защищенности К1 К2
ЗИС.29 Исключение возможности отрицания получения информации
Обязательно для класса защищенности К1 К2
ЗИС.31 Защита от скрытых каналов передачи информации
Обязательно для класса защищенности К1
ЗИС.32 Защита беспроводных соединений
Обязательно для класса защищенности К1 К2 К3
ЗИС.33 Исключение доступа через общие ресурсы
Обязательно для класса защищенности К1
ЗИС.34 Защита от угроз отказа в обслуживании (DOS, DDOS-атак)
Обязательно для класса защищенности К1 К2 К3
ЗИС.35 Управление сетевыми соединениями
Обязательно для класса защищенности К1 К2
ЗИС.38 Защита информации при использовании мобильных устройств
Обязательно для класса защищенности К1 К2 К3

Связанные защитные меры

Название Дата Влияние
Community
1 9 / 27
Блокировка доступа к несанкционированным сетевым папкам в локальной сети
Постоянно Автоматически Техническая Превентивная
12.11.2021
12.11.2021 1 9 / 27
На уровне источника (ПК и серверы) нужно ограничить исходящие соединения к сетевым папкам (SMB шары), оставив доступ только к списку легитимных сетевых папок.
Цель: 
  • исключить канал утечки и горизонтального перемещения в рамках локальной сети;
  • снизить возможность загрузки ВПО с несанкционированной SMB шары;
  • противодействие атакам на перехват сессии и кражу паролей (SCF File Attacks).
Варианты реализации:
  • Локальный межсетевой экран
  • DLP с функцией контроля SMB протокола, например КИБ SearchInform
Community
3 10 / 30
Выделение периферийного оборудования и IP телефонов в отдельную сеть (сегментация сети)
Разово Вручную Техническая
29.07.2021
29.07.2021 3 10 / 30
К периферийному оборудованию могут относятся принтеры, сканеры, IP телефоны и иные устройства подключаемые к локальной сети компании.
Обязательным условием сегментации является ограничение доступа в выделенный сегмент и из него.
Пример политики ограничения доступа к сегменту периферийного оборудования:
  • доступом к выделенному сегменту могут обладать только серверы управления (сервер IP телефонии, сервер печати). 
  • Доступ из выделенного сегмента возможен также только к серверам управления. Доступ к локальным сетям с рабочими станциями и доступ в интернет заблокированы.
Часто мера в части ограничения доступа сложно реализуема. Например если подключение рабочих станций к принтерам осуществляется по сети напрямую а не через сервер печати. Или если IP телефон подключен в одну сетевую розетку с рабочей станцией. В таких случаях следует настроить более широкие права доступа к сегменту и из него.
Реализация: настройкой сетевого оборудования (VLAN).
После реализации защитной меры следует внедрить меру по регулярному поиску периферийных устройств в локальных сетях, с целью их переноса в выделенный сегмент.