Куда я попал?
ГОСТ Р № 57580.1-2017 от 01.01.2018
Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации
ФД.13
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
ФД.13 Контроль доступа к серверному и сетевому оборудованию, расположенному в запираемых серверных стоечных шкафах
3-Н 2-О 1-ООбязательно для уровня защиты 1 2
Похожие требования
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗТС.3
ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.2.3
9.2.3
Defined Approach Requirements:
Physical access to wireless access points, gateways, networking/communications hardware, and telecommunication lines within the facility is restricted.
Customized Approach Objective:
Physical networking equipment cannot be accessed by unauthorized personnel.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Physical access to wireless access points, gateways, networking/communications hardware, and telecommunication lines within the facility is restricted.
Customized Approach Objective:
Physical networking equipment cannot be accessed by unauthorized personnel.
Defined Approach Testing Procedures:
- 9.2.3 Interview responsible personnel and observe locations of hardware and lines to verify that physical access to wireless access points, gateways, networking/communications hardware, and telecommunication lines within the facility is restricted.
Purpose:
Without appropriate physical security over access to wireless components and devices, and computer networking and telecommunications equipment and lines, malicious users could gain access to the entity’s network resources. Additionally, they could connect their own devices to the network to gain unauthorized access to the CDE or systems connected to the CDE.
Additionally, securing networking and communications hardware prevents malicious users from intercepting network traffic or physically connecting their own devices to wired network resources.
Without appropriate physical security over access to wireless components and devices, and computer networking and telecommunications equipment and lines, malicious users could gain access to the entity’s network resources. Additionally, they could connect their own devices to the network to gain unauthorized access to the CDE or systems connected to the CDE.
Additionally, securing networking and communications hardware prevents malicious users from intercepting network traffic or physically connecting their own devices to wired network resources.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.11.2.8
A.11.2.8 Оборудование, оставленное пользователем без присмотра
Мера обеспечения информационной безопасности: Пользователи должны обеспечить соответствующую защиту оборудования, оставленного без присмотра
Мера обеспечения информационной безопасности: Пользователи должны обеспечить соответствующую защиту оборудования, оставленного без присмотра
A.11.1.1
A.11.1.1 Физический периметр безопасности
Мера обеспечения информационной безопасности: Должны быть определены и использованы периметры безопасности для защиты зон, содержащих чувствительную или критическую информацию и средства ее обработки
Мера обеспечения информационной безопасности: Должны быть определены и использованы периметры безопасности для защиты зон, содержащих чувствительную или критическую информацию и средства ее обработки
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.2.3
9.2.3
Определенные Требования к Подходу:
Физический доступ к точкам беспроводного доступа, шлюзам, сетевому/коммуникационному оборудованию и линиям связи внутри объекта ограничен.
Цель Индивидуального подхода:
Неавторизованный персонал не может получить доступ к физическому сетевому оборудованию.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Физический доступ к точкам беспроводного доступа, шлюзам, сетевому/коммуникационному оборудованию и линиям связи внутри объекта ограничен.
Цель Индивидуального подхода:
Неавторизованный персонал не может получить доступ к физическому сетевому оборудованию.
Определенные Процедуры Тестирования Подхода:
- 9.2.3 Опросите ответственный персонал и осмотрите расположение оборудования и линий, чтобы убедиться, что физический доступ к точкам беспроводного доступа, шлюзам, сетевому/коммуникационному оборудованию и линиям связи в пределах объекта ограничен.
Цель:
Без надлежащей физической защиты доступа к беспроводным компонентам и устройствам, а также компьютерному сетевому и телекоммуникационному оборудованию и линиям злоумышленники могут получить доступ к сетевым ресурсам организации. Кроме того, они могут подключать свои собственные устройства к сети, чтобы получить несанкционированный доступ к CDE или системам, подключенным к CDE.
Кроме того, защита сетевого и коммуникационного оборудования не позволяет злоумышленникам перехватывать сетевой трафик или физически подключать свои собственные устройства к ресурсам проводной сети.
Без надлежащей физической защиты доступа к беспроводным компонентам и устройствам, а также компьютерному сетевому и телекоммуникационному оборудованию и линиям злоумышленники могут получить доступ к сетевым ресурсам организации. Кроме того, они могут подключать свои собственные устройства к сети, чтобы получить несанкционированный доступ к CDE или системам, подключенным к CDE.
Кроме того, защита сетевого и коммуникационного оборудования не позволяет злоумышленникам перехватывать сетевой трафик или физически подключать свои собственные устройства к ресурсам проводной сети.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ЗТС.3
ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.7.2
А.7.2 Защита физического входа
Зоны физической безопасности должны быть защищены соответствующими средствами контроля и управления доступом.
Зоны физической безопасности должны быть защищены соответствующими средствами контроля и управления доступом.
А.7.8
А.7.8 Размещение и защита оборудования
Оборудование должно защищаться и безопасно размещаться.
Оборудование должно защищаться и безопасно размещаться.
SWIFT Customer Security Controls Framework v2022:
3 - 3.1 Physical Security
3.1 Physical Security
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗТС.3
ЗТС.3 Управление физическим доступом
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗТС.3
ЗТС.3 Управление физическим доступом
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
11.2.8
11.2.8 Оборудование, оставленное пользователем без присмотра
Мера обеспечения ИБ
Пользователи должны обеспечить соответствующую защиту оборудования, оставленного без присмотра.
Руководство по применению
Все пользователи должны быть осведомлены о требованиях безопасности и процедурах по защите оборудования, оставленного без присмотра, а также об их обязанностях по реализации такой защиты. Пользователям следует рекомендовать:
- a) прерывать активные сессии после завершения работы, если только они не могут быть защищены соответствующим механизмом блокировки, например защищенной паролем заставкой;
- b) выходить из приложений или сетевых сервисов, когда в них больше нет необходимости;
- c) защищать компьютеры или мобильные устройства от несанкционированного использования с помощью запирания на ключ или с помощью аналогичной меры, например защита устройства паролем, когда оно не используется.
11.1.1
11.1.1 Физический периметр безопасности
Мера обеспечения ИБ
Должны быть определены и использованы периметры безопасности для защиты зон, содержащих информацию ограниченного доступа и средства ее обработки.
Руководство по применению
Там, где это применимо, для физических периметров безопасности должны быть рассмотрены и реализованы следующие рекомендации:
- a) периметры безопасности должны быть четко определены, а расположение и степень защиты каждого из них должны зависеть от требований безопасности активов в пределах периметра и результатов оценки риска;
- b) периметры здания или помещения, где расположены средства обработки информации, должны быть физически прочными (то есть не должно быть пробелов по периметру или участков, где можно легко проникнуть); внешняя крыша, стены и полы помещений должны быть надлежащим образом защищены от несанкционированного доступа с помощью соответствующих механизмов (например, решеток, сигнализации, замков); двери и окна должна быть заперты, когда они находятся без присмотра, и следует рассмотреть вопрос внешней защиты окон, особенно если они находятся на уровне земли;
- c) для контроля физического доступа в здание или помещение должна быть выделена и укомплектована персоналом зона приема посетителей или предусмотрены другие меры контроля; доступ в помещения и здания должен быть предоставлен только авторизованному персоналу;
- d) где это применимо, должны быть установлены физические барьеры для предотвращения несанкционированного доступа и воздействия окружающей среды;
- e) все пожарные выходы по периметру безопасности должны безотказно функционировать в соответствии с местными правилами пожарной безопасности, быть оборудованы аварийной сигнализацией, находиться под наблюдением и проверены в местах соединения со стенами для установления необходимого уровня защищенности в соответствии с действующими региональными, национальными и международными стандартами;
- f) следует установить подходящие системы обнаружения вторжений в соответствии с национальными, региональными или международными стандартами, а также регулярно их проверять, покрывая при этом все доступные снаружи двери и окна; незанятые площади должны быть поставлены на постоянную сигнализацию; аналогично следует оборудовать и другие зоны, например серверную или кроссовую;
- g) средства обработки информации, которыми управляет организация, должны быть физически отделены от средств, управляемых сторонними организациями.
Дополнительная информация
Физическая защита может быть обеспечена путем создания одного или нескольких физических барьеров вокруг помещений организации и средств обработки информации. Использование нескольких барьеров дает дополнительную защиту - отказ одного барьера не означает немедленного нарушения безопасности.
Зоной безопасности может быть запираемый офис или несколько помещений, окруженных непрерывным внутренним физическим барьером. Могут потребоваться дополнительные барьеры и периметры для контроля физического доступа между зонами с различными требованиями безопасности. Особое внимание безопасности физического доступа должно быть уделено в случае, если в здании находятся активы нескольких организаций.
Применение мер обеспечения физической безопасности, особенно в зонах безопасности, должно быть адаптировано к техническому и экономическому положению организации, как это следует из оценки рисков.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.7.8
А.7.8 Equipment siting and protection
Equipment shall be sited securely and protected.
Equipment shall be sited securely and protected.
А.7.2
А.7.2 Physical entry
Secure areas shall be protected by appropriate entry controls and access points.
Secure areas shall be protected by appropriate entry controls and access points.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.