Куда я попал?
ГОСТ Р № 57580.1-2017 от 01.01.2018
Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации
СМЭ.7
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 6.5.3
6.5.3
Defined Approach Requirements:
Pre-production environments are separated from production environments and the separation is enforced with access controls.
Customized Approach Objective:
Pre-production environments cannot introduce risks and vulnerabilities into production environments.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Pre-production environments are separated from production environments and the separation is enforced with access controls.
Customized Approach Objective:
Pre-production environments cannot introduce risks and vulnerabilities into production environments.
Defined Approach Testing Procedures:
- 6.5.3.a Examine policies and procedures to verify that processes are defined for separating the preproduction environment from the production environment via access controls that enforce the separation.
- 6.5.3.b Examine network documentation and configurations of network security controls to verify that the pre-production environment is separate from the production environment(s).
- 6.5.3.c Examine access control settings to verify that access controls are in place to enforce separation between the pre-production and production environment(s).
Purpose:
Purpose Due to the constantly changing state of preproduction environments, they are often less secure than the production environment.
Good Practice:
Organizations must clearly understand which environments are test environments or development environments and how these environments interact on the level of networks and applications.
Definitions:
Pre-production environments include development, testing, user acceptance testing (UAT), etc. Even where production infrastructure is used to facilitate testing or development, production environments still need to be separated (logically or physically) from preproduction functionality such that vulnerabilities introduced as a result of pre-production activities do not adversely affect production systems.
Purpose Due to the constantly changing state of preproduction environments, they are often less secure than the production environment.
Good Practice:
Organizations must clearly understand which environments are test environments or development environments and how these environments interact on the level of networks and applications.
Definitions:
Pre-production environments include development, testing, user acceptance testing (UAT), etc. Even where production infrastructure is used to facilitate testing or development, production environments still need to be separated (logically or physically) from preproduction functionality such that vulnerabilities introduced as a result of pre-production activities do not adversely affect production systems.
Requirement 1.4.1
1.4.1
Defined Approach Requirements:
NSCs are implemented between trusted and untrusted networks.
Customized Approach Objective:
Unauthorized traffic cannot traverse network boundaries between trusted and untrusted networks.
Defined Approach Testing Procedures:
Defined Approach Requirements:
NSCs are implemented between trusted and untrusted networks.
Customized Approach Objective:
Unauthorized traffic cannot traverse network boundaries between trusted and untrusted networks.
Defined Approach Testing Procedures:
- 1.4.1.a Examine configuration standards and network diagrams to verify that NSCs are defined between trusted and untrusted networks.
- 1.4.1.b Examine network configurations to verify that NSCs are in place between trusted and untrusted networks, in accordance with the documented configuration standards and network diagrams.
Purpose:
Implementing NSCs at every connection coming into and out of trusted networks allows the entity to monitor and control access and minimizes the chances of a malicious individual obtaining access to the internal network via an unprotected connection.
Examples:
An entity could implement a DMZ, which is a part of the network that manages connections between an untrusted network (for examples of untrusted networks refer to the Requirement 1 Overview) and services that an organization needs to have available to the public, such as a web server. Please note that if an entity’s DMZ processes or transmits account data (for example, e-commerce website), it is also considered a CDE
Implementing NSCs at every connection coming into and out of trusted networks allows the entity to monitor and control access and minimizes the chances of a malicious individual obtaining access to the internal network via an unprotected connection.
Examples:
An entity could implement a DMZ, which is a part of the network that manages connections between an untrusted network (for examples of untrusted networks refer to the Requirement 1 Overview) and services that an organization needs to have available to the public, such as a web server. Please note that if an entity’s DMZ processes or transmits account data (for example, e-commerce website), it is also considered a CDE
Guideline for a healthy information system v.2.0 (EN):
19 STANDARD
/STANDARD
When the network is "flat", without any partitioning mechanism, each device in the network can access any other device. If one is compromised all of the connected devices are therefore in jeopardy. A hacker can therefore compromise a user’s device and then, moving around from device to device, find a way to critical servers.
Therefore it is important, from the network architecture’s design, to work through segmentation into areas made up of systems with uniform security needs. You may, for example, separately group infrastructure servers, business servers, user workstations, administrator workstations, IP phones, etc.
One area is therefore characterised by dedicated VLANs and IP subnetworks or even by infrastructures dedicated according to their criticality. Therefore, partitioning measures such as an IP filter with the help of a firewall can be implemented between the different areas. Specifically, you will ensure that the devices and flows associated with administration tasks are segregated as far as possible.
For networks for which subsequent partitioning would not be easy, integrating this approach in any new network extension or when devices are changed is recommended.
When the network is "flat", without any partitioning mechanism, each device in the network can access any other device. If one is compromised all of the connected devices are therefore in jeopardy. A hacker can therefore compromise a user’s device and then, moving around from device to device, find a way to critical servers.
Therefore it is important, from the network architecture’s design, to work through segmentation into areas made up of systems with uniform security needs. You may, for example, separately group infrastructure servers, business servers, user workstations, administrator workstations, IP phones, etc.
One area is therefore characterised by dedicated VLANs and IP subnetworks or even by infrastructures dedicated according to their criticality. Therefore, partitioning measures such as an IP filter with the help of a firewall can be implemented between the different areas. Specifically, you will ensure that the devices and flows associated with administration tasks are segregated as far as possible.
For networks for which subsequent partitioning would not be easy, integrating this approach in any new network extension or when devices are changed is recommended.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.12.1.4
A.12.1.4 Разделение сред разработки, тестирования и эксплуатации
Мера обеспечения информационной безопасности: Для снижения рисков несанкционированного доступа или изменений среды эксплуатации необходимо обеспечивать разделение сред разработки, тестирования и эксплуатации
Мера обеспечения информационной безопасности: Для снижения рисков несанкционированного доступа или изменений среды эксплуатации необходимо обеспечивать разделение сред разработки, тестирования и эксплуатации
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 1.4.1
1.4.1
Определенные Требования к Подходу:
NSCs реализуются между доверенными и ненадежными сетями.
Цель Индивидуального подхода:
Несанкционированный трафик не может пересекать границы сети между доверенными и ненадежными сетями.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
NSCs реализуются между доверенными и ненадежными сетями.
Цель Индивидуального подхода:
Несанкционированный трафик не может пересекать границы сети между доверенными и ненадежными сетями.
Определенные Процедуры Тестирования Подхода:
- 1.4.1.a Изучите стандарты конфигурации и схемы сети, чтобы убедиться, что NSC определены между доверенными и ненадежными сетями.
- 1.4.1.b Изучите сетевые конфигурации, чтобы убедиться, что NSC установлены между доверенными и ненадежными сетями в соответствии с документированными стандартами конфигураций и сетевыми схемами.
Цель:
Внедрение NSCS при каждом подключении, входящем в доверенные сети и выходящем из них, позволяет организации отслеживать и контролировать доступ и сводит к минимуму вероятность получения злоумышленником доступа к внутренней сети через незащищенное соединение.
Примеры:
Организация может внедрить DMZ, которая является частью сети, которая управляет соединениями между ненадежной сетью (примеры ненадежных сетей см. в обзоре Требования 1) и службами, которые организация должна иметь общедоступными, такими как веб-сервер. Пожалуйста, обратите внимание, что если DMZ организации обрабатывает или передает данные учетной записи (например, веб-сайт электронной коммерции), это также считается CDE
Внедрение NSCS при каждом подключении, входящем в доверенные сети и выходящем из них, позволяет организации отслеживать и контролировать доступ и сводит к минимуму вероятность получения злоумышленником доступа к внутренней сети через незащищенное соединение.
Примеры:
Организация может внедрить DMZ, которая является частью сети, которая управляет соединениями между ненадежной сетью (примеры ненадежных сетей см. в обзоре Требования 1) и службами, которые организация должна иметь общедоступными, такими как веб-сервер. Пожалуйста, обратите внимание, что если DMZ организации обрабатывает или передает данные учетной записи (например, веб-сайт электронной коммерции), это также считается CDE
Requirement 6.5.3
6.5.3
Определенные Требования к Подходу:
Предпроизводственные среды отделены от производственных сред, и это разделение обеспечивается с помощью средств контроля доступа.
Цель Индивидуального подхода:
Предпроизводственная среда не может привносить риски и уязвимости в производственную среду.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Предпроизводственные среды отделены от производственных сред, и это разделение обеспечивается с помощью средств контроля доступа.
Цель Индивидуального подхода:
Предпроизводственная среда не может привносить риски и уязвимости в производственную среду.
Определенные Процедуры Тестирования Подхода:
- 6.5.3.a Изучите политики и процедуры, чтобы убедиться, что определены процессы для отделения среды подготовки производства от производственной среды с помощью средств управления доступом, которые обеспечивают разделение.
- 6.5.3.b Изучите сетевую документацию и конфигурации средств управления сетевой безопасностью, чтобы убедиться, что предпроизводственная среда отделена от производственной среды (ов).
- 6.5.3.c Проверьте настройки контроля доступа, чтобы убедиться, что средства контроля доступа установлены для обеспечения разделения между предварительной и производственной средой (средами).
Цель:
Среды разработки и тестирования из-за постоянно меняющегося состояния часто менее безопасны, чем производственная среда.
Надлежащая практика:
Организации должны четко понимать, какие среды являются средами тестирования или средами разработки, и как эти среды взаимодействуют на уровне сетей и приложений.
Определения:
Предпроизводственные среды включают разработку, тестирование, приемочное тестирование пользователей (UAT) и т.д. Даже в тех случаях, когда производственная инфраструктура используется для облегчения тестирования или разработки, производственные среды все равно должны быть отделены (логически или физически) от функциональных возможностей подготовки производства, чтобы уязвимости, возникающие в результате подготовительных действий, не оказывали негативного влияния на производственные системы.
Среды разработки и тестирования из-за постоянно меняющегося состояния часто менее безопасны, чем производственная среда.
Надлежащая практика:
Организации должны четко понимать, какие среды являются средами тестирования или средами разработки, и как эти среды взаимодействуют на уровне сетей и приложений.
Определения:
Предпроизводственные среды включают разработку, тестирование, приемочное тестирование пользователей (UAT) и т.д. Даже в тех случаях, когда производственная инфраструктура используется для облегчения тестирования или разработки, производственные среды все равно должны быть отделены (логически или физически) от функциональных возможностей подготовки производства, чтобы уязвимости, возникающие в результате подготовительных действий, не оказывали негативного влияния на производственные системы.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.31
А.8.31 Разделение сред разработки, тестирования и производства
Должны быть разделены и защищены среды разработки, тестирования и производства.
Должны быть разделены и защищены среды разработки, тестирования и производства.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.31
А.8.31 Separation of development, test and production environments
Development, testing and production environments shall be separated and secured.
Development, testing and production environments shall be separated and secured.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.