Куда я попал?
ГОСТ Р № 57580.1-2017 от 01.01.2018
Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации
ФД.12
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
ФД.12 Расположение серверного и сетевого оборудования в запираемых серверных стоечных шкафах
3-Н 2-О 1-ООбязательно для уровня защиты 1 2
Похожие требования
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗТС.2
ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.2.3
9.2.3
Defined Approach Requirements:
Physical access to wireless access points, gateways, networking/communications hardware, and telecommunication lines within the facility is restricted.
Customized Approach Objective:
Physical networking equipment cannot be accessed by unauthorized personnel.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Physical access to wireless access points, gateways, networking/communications hardware, and telecommunication lines within the facility is restricted.
Customized Approach Objective:
Physical networking equipment cannot be accessed by unauthorized personnel.
Defined Approach Testing Procedures:
- 9.2.3 Interview responsible personnel and observe locations of hardware and lines to verify that physical access to wireless access points, gateways, networking/communications hardware, and telecommunication lines within the facility is restricted.
Purpose:
Without appropriate physical security over access to wireless components and devices, and computer networking and telecommunications equipment and lines, malicious users could gain access to the entity’s network resources. Additionally, they could connect their own devices to the network to gain unauthorized access to the CDE or systems connected to the CDE.
Additionally, securing networking and communications hardware prevents malicious users from intercepting network traffic or physically connecting their own devices to wired network resources.
Without appropriate physical security over access to wireless components and devices, and computer networking and telecommunications equipment and lines, malicious users could gain access to the entity’s network resources. Additionally, they could connect their own devices to the network to gain unauthorized access to the CDE or systems connected to the CDE.
Additionally, securing networking and communications hardware prevents malicious users from intercepting network traffic or physically connecting their own devices to wired network resources.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.11.2.8
A.11.2.8 Оборудование, оставленное пользователем без присмотра
Мера обеспечения информационной безопасности: Пользователи должны обеспечить соответствующую защиту оборудования, оставленного без присмотра
Мера обеспечения информационной безопасности: Пользователи должны обеспечить соответствующую защиту оборудования, оставленного без присмотра
A.11.2.1
A.11.2.1 Размещение и защита оборудования
Мера обеспечения информационной безопасности: Оборудование должно быть размещено и защищено таким образом, чтобы снизить риски информационной безопасности от угроз и опасностей со стороны окружающей среды и возможности несанкционированного доступа
Мера обеспечения информационной безопасности: Оборудование должно быть размещено и защищено таким образом, чтобы снизить риски информационной безопасности от угроз и опасностей со стороны окружающей среды и возможности несанкционированного доступа
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.2.3
9.2.3
Определенные Требования к Подходу:
Физический доступ к точкам беспроводного доступа, шлюзам, сетевому/коммуникационному оборудованию и линиям связи внутри объекта ограничен.
Цель Индивидуального подхода:
Неавторизованный персонал не может получить доступ к физическому сетевому оборудованию.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Физический доступ к точкам беспроводного доступа, шлюзам, сетевому/коммуникационному оборудованию и линиям связи внутри объекта ограничен.
Цель Индивидуального подхода:
Неавторизованный персонал не может получить доступ к физическому сетевому оборудованию.
Определенные Процедуры Тестирования Подхода:
- 9.2.3 Опросите ответственный персонал и осмотрите расположение оборудования и линий, чтобы убедиться, что физический доступ к точкам беспроводного доступа, шлюзам, сетевому/коммуникационному оборудованию и линиям связи в пределах объекта ограничен.
Цель:
Без надлежащей физической защиты доступа к беспроводным компонентам и устройствам, а также компьютерному сетевому и телекоммуникационному оборудованию и линиям злоумышленники могут получить доступ к сетевым ресурсам организации. Кроме того, они могут подключать свои собственные устройства к сети, чтобы получить несанкционированный доступ к CDE или системам, подключенным к CDE.
Кроме того, защита сетевого и коммуникационного оборудования не позволяет злоумышленникам перехватывать сетевой трафик или физически подключать свои собственные устройства к ресурсам проводной сети.
Без надлежащей физической защиты доступа к беспроводным компонентам и устройствам, а также компьютерному сетевому и телекоммуникационному оборудованию и линиям злоумышленники могут получить доступ к сетевым ресурсам организации. Кроме того, они могут подключать свои собственные устройства к сети, чтобы получить несанкционированный доступ к CDE или системам, подключенным к CDE.
Кроме того, защита сетевого и коммуникационного оборудования не позволяет злоумышленникам перехватывать сетевой трафик или физически подключать свои собственные устройства к ресурсам проводной сети.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ЗТС.2
ЗТС.2 Организация контролируемой зоны, в пределах которой постоянно размещаются стационарные технические средства, обрабатывающие информацию, и средства защиты информации, а также средства обеспечения функционирования
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.12
А.8.12 Защита от утечки данных
В отношении систем, сетей и любых иных устройств, которые обрабатывают, хранят или передают критичную информацию должны применяться меры по предотвращению утечки данных.
В отношении систем, сетей и любых иных устройств, которые обрабатывают, хранят или передают критичную информацию должны применяться меры по предотвращению утечки данных.
А.7.8
А.7.8 Размещение и защита оборудования
Оборудование должно защищаться и безопасно размещаться.
Оборудование должно защищаться и безопасно размещаться.
А.7.12
А.7.12 Безопасность кабельной сети
Должны быть защищены от перехвата, помех или повреждения кабели, передающие данные или поддерживающие информационные сервисы, в том числе и подающие электропитание.
Должны быть защищены от перехвата, помех или повреждения кабели, передающие данные или поддерживающие информационные сервисы, в том числе и подающие электропитание.
SWIFT Customer Security Controls Framework v2022:
3 - 3.1 Physical Security
3.1 Physical Security
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗТС.2
ЗТС.2 Организация контролируемой зоны
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗТС.2
ЗТС.2 Организация контролируемой зоны
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.12
А.8.12 Data leakage prevention
Data leakage prevention measures shall be applied to systems, networks and any other devices that process, store or transmit sensitive information.
Data leakage prevention measures shall be applied to systems, networks and any other devices that process, store or transmit sensitive information.
А.7.12
А.7.12 Cabling security
Cables carrying power, data or supporting information services shall be protected from interception, interference or damage.
Cables carrying power, data or supporting information services shall be protected from interception, interference or damage.
А.7.8
А.7.8 Equipment siting and protection
Equipment shall be sited securely and protected.
Equipment shall be sited securely and protected.
Связанные защитные меры
Ничего не найдено