Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям ГОСТ Р № 57580.1-2017 от 01.01... ФД.12
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

ГОСТ Р № 57580.1-2017 от 01.01.2018

Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации

ФД.12

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗТС.2 ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.2.3
9.2.3
Defined Approach Requirements: 
Physical access to wireless access points, gateways, networking/communications hardware, and telecommunication lines within the facility is restricted. 

Customized Approach Objective:
Physical networking equipment cannot be accessed by unauthorized personnel. 

Defined Approach Testing Procedures:
  • 9.2.3 Interview responsible personnel and observe locations of hardware and lines to verify that physical access to wireless access points, gateways, networking/communications hardware, and telecommunication lines within the facility is restricted. 
Purpose:
Without appropriate physical security over access to wireless components and devices, and computer networking and telecommunications equipment and lines, malicious users could gain access to the entity’s network resources. Additionally, they could connect their own devices to the network to gain unauthorized access to the CDE or systems connected to the CDE. 
Additionally, securing networking and communications hardware prevents malicious users from intercepting network traffic or physically connecting  their own devices to wired network resources. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.11.2.8
A.11.2.8 Оборудование, оставленное пользователем без присмотра 
Мера обеспечения информационной безопасности: Пользователи должны обеспечить соответствующую защиту оборудования, оставленного без присмотра 
A.11.2.1
A.11.2.1 Размещение и защита оборудования 
Мера обеспечения информационной безопасности: Оборудование должно быть размещено и защищено таким образом, чтобы снизить риски информационной безопасности от угроз и опасностей со стороны окружающей среды и возможности несанкционированного доступа 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.2.3
9.2.3
Определенные Требования к Подходу:
Физический доступ к точкам беспроводного доступа, шлюзам, сетевому/коммуникационному оборудованию и линиям связи внутри объекта ограничен.

Цель Индивидуального подхода:
Неавторизованный персонал не может получить доступ к физическому сетевому оборудованию.

Определенные Процедуры Тестирования Подхода:
  • 9.2.3 Опросите ответственный персонал и осмотрите расположение оборудования и линий, чтобы убедиться, что физический доступ к точкам беспроводного доступа, шлюзам, сетевому/коммуникационному оборудованию и линиям связи в пределах объекта ограничен.
Цель:
Без надлежащей физической защиты доступа к беспроводным компонентам и устройствам, а также компьютерному сетевому и телекоммуникационному оборудованию и линиям злоумышленники могут получить доступ к сетевым ресурсам организации. Кроме того, они могут подключать свои собственные устройства к сети, чтобы получить несанкционированный доступ к CDE или системам, подключенным к CDE.
Кроме того, защита сетевого и коммуникационного оборудования не позволяет злоумышленникам перехватывать сетевой трафик или физически подключать свои собственные устройства к ресурсам проводной сети.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ЗТС.2 ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.12
А.8.12 Защита от утечки данных
В отношении систем, сетей и любых иных устройств, которые обрабатывают, хранят или передают критичную информацию должны применяться меры по предотвращению утечки данных.
А.7.8
А.7.8 Размещение и защита оборудования
Оборудование должно защищаться и безопасно размещаться.
А.7.12
А.7.12 Безопасность кабельной сети
Должны быть защищены от перехвата, помех или повреждения кабели, передающие данные или поддерживающие информационные сервисы, в том числе и подающие электропитание. 
SWIFT Customer Security Controls Framework v2022:
3 - 3.1 Physical Security
3.1 Physical Security
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗТС.2 ЗТС.2 Организация контролируемой зоны
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗТС.2 ЗТС.2 Организация контролируемой зоны
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
11.2.1
11.2.1 Размещение и защита оборудования

Мера обеспечения ИБ
Оборудование должно быть размещено и защищено таким образом, чтобы снизить риски ИБ от угроз и опасностей со стороны окружающей среды и возможности несанкционированного доступа.

Руководство по применению
Следующие рекомендации необходимо рассмотреть для защиты оборудования:
  • a) оборудование следует размещать таким образом, чтобы свести к минимуму излишний доступ в рабочие зоны;
  • b) средства обработки информации, обрабатывающие информацию ограниченного доступа, должны располагаться так, чтобы снизить риск просмотра информации посторонними лицами во время их использования;
  • c) оборудование для хранения информации следует защищать от несанкционированного доступа;
  • d) отдельные элементы оборудования, требующие специальной защиты, следует охранять для снижения общего уровня требуемой защиты;
  • e) должны быть предприняты меры по снижению риска потенциальных физических и природных угроз, например краж, пожаров, взрывов, задымления, затопления (или сбоя в водоснабжении), пыли, вибраций, химических воздействий, перебоев в электроснабжении и связи, электромагнитного излучения и вандализма;
  • f) должны быть установлены правила по приему пищи, питью и курению вблизи средств обработки информации;
  • g) следует проводить мониторинг условий окружающей среды, которые могут отрицательно повлиять на работу средств обработки информации, например температура и влажность;
  • h) внешняя молниезащита должна быть установлена на всех зданиях, а фильтры молниезащиты должны ставиться на всех входящих силовых и коммуникационных линиях;
  • i) в отношении оборудования, расположенного в промышленных условиях, следует использовать специальные методы защиты, такие как защитные пленки для клавиатуры;
  • j) оборудование, обрабатывающее конфиденциальную информацию, должно быть защищено соответствующим образом для минимизации риска утечки информации из-за электромагнитного излучения.
11.2.8
11.2.8 Оборудование, оставленное пользователем без присмотра

Мера обеспечения ИБ
Пользователи должны обеспечить соответствующую защиту оборудования, оставленного без присмотра.

Руководство по применению
Все пользователи должны быть осведомлены о требованиях безопасности и процедурах по защите оборудования, оставленного без присмотра, а также об их обязанностях по реализации такой защиты. Пользователям следует рекомендовать:
  • a) прерывать активные сессии после завершения работы, если только они не могут быть защищены соответствующим механизмом блокировки, например защищенной паролем заставкой;
  • b) выходить из приложений или сетевых сервисов, когда в них больше нет необходимости;
  • c) защищать компьютеры или мобильные устройства от несанкционированного использования с помощью запирания на ключ или с помощью аналогичной меры, например защита устройства паролем, когда оно не используется.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.12
А.8.12 Data leakage prevention
Data leakage prevention measures shall be applied to systems, networks and any other devices that process, store or transmit sensitive information.
А.7.12
А.7.12 Cabling security
Cables carrying power, data or supporting information services shall be protected from interception, interference or damage.
А.7.8
А.7.8 Equipment siting and protection
Equipment shall be sited securely and protected.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.