Куда я попал?
ГОСТ Р № 57580.1-2017 от 01.01.2018
Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации
ЗБС.3
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ЗБС.7
ЗБС.7 Реализация и контроль информационного взаимодействия внутренних вычислительных сетей финансовой организации и сегментов вычисленных сетей, выделенных в соответствии с мерой ЗБС.3 настоящей таблицы, в соответствии с установленными правилами и протоколами сетевого взаимодействия
3-Н 2-Т 1-Т
3-Н 2-Т 1-Т
ЗБС.6
ЗБС.6 Межсетевое экранирование внутренних вычислительных сетей финансовой организации и сегментов вычисленных сетей, выделенных в соответствии с мерой ЗБС.3 настоящей таблицы, включая фильтрацию данных на сетевом и прикладном уровнях семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1
3-Н 2-Т 1-Т
3-Н 2-Т 1-Т
ЗБС.4
ЗБС.4 Реализация сетевого взаимодействия и сетевой изоляции на уровне не выше второго (канальный) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1, внутренних вычислительных сетей финансовой организации и сегментов вычисленных сетей, выделенных в соответствии с пунктом ЗБС.3 настоящей таблицы
3-Н 2-Н 1-Т
3-Н 2-Н 1-Т
ЗБС.5
ЗБС.5 Реализация сетевого взаимодействия и сетевой изоляции на уровне не выше третьего (сетевой) по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1, внутренних вычислительных сетей финансовой организации и сегментов вычисленных сетей, выделенных в соответствии с мерой ЗБС.3 настоящей таблицы
3-Н 2-Т 1-Н
3-Н 2-Т 1-Н
ЗБС.10
ЗБС.10 Регистрация изменений параметров настроек средств и систем защиты информации, обеспечивающих реализацию сегментации, межсетевого экранирования и защиты внутренних вычислительных сетей финансовой организации и сегментов вычисленных сетей, выделенных в соответствии с мерой ЗБС.3 таблицы 20
3-Н 2-Т 1-Т
3-Н 2-Т 1-Т
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
УПД.14
УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 11.2.1
11.2.1
Defined Approach Requirements:
Authorized and unauthorized wireless access points are managed as follows:
Defined Approach Requirements:
Authorized and unauthorized wireless access points are managed as follows:
- The presence of wireless (Wi-Fi) access points is tested for,
- All authorized and unauthorized wireless access points are detected and identified,
- Testing, detection, and identification occurs at least once every three months.
- If automated monitoring is used, personnel are notified via generated alerts.
Customized Approach Objective:
Unauthorized wireless access points are identified and addressed periodically.
Applicability Notes:
The requirement applies even when a policy exists that prohibits the use of wireless technology since attackers do not read and follow company policy.
Methods used to meet this requirement must be sufficient to detect and identify both authorized and unauthorized devices, including unauthorized devices attached to devices that themselves are authorized.
Defined Approach Testing Procedures:
Unauthorized wireless access points are identified and addressed periodically.
Applicability Notes:
The requirement applies even when a policy exists that prohibits the use of wireless technology since attackers do not read and follow company policy.
Methods used to meet this requirement must be sufficient to detect and identify both authorized and unauthorized devices, including unauthorized devices attached to devices that themselves are authorized.
Defined Approach Testing Procedures:
- 11.2.1.a Examine policies and procedures to verify processes are defined for managing both authorized and unauthorized wireless access points with all elements specified in this requirement.
- 11.2.1.b Examine the methodology(ies) in use and the resulting documentation, and interview personnel to verify processes are defined to detect and identify both authorized and unauthorized wireless access points in accordance with all elements specified in this requirement.
- 11.2.1.c Examine wireless assessment results and interview personnel to verify that wireless assessments were conducted in accordance with all elements specified in this requirement.
- 11.2.1.d If automated monitoring is used, examine configuration settings to verify the configuration will Customized Approach Objective generate alerts to notify personnel.
Purpose:
Implementation and/or exploitation of wireless technology within a network are common paths for malicious users to gain unauthorized access to the network and cardholder data. Unauthorized wireless devices could be hidden within or attached to a computer or other system component. These devices could also be attached directly to a network port, to a network device such as a switch or router, or inserted as a wireless interface card inside a system component.
If a wireless device or network is installed without a company’s knowledge, it can allow an attacker to enter the network easily and “invisibly.” Detecting and removing such unauthorized access points reduces the duration and likelihood of such devices being leveraged for an attack.
Good Practice:
The size and complexity of an environment will dictate the appropriate tools and processes to be used to provide sufficient assurance that a rogue wireless access point has not been installed in the environment.
For example, performing a detailed physical inspection of a single stand-alone retail kiosk in a shopping mall, where all communication components are contained within tamper-resistant and tamper-evident casings, may be sufficient to provide assurance that a rogue wireless access point has not been attached or installed. However, in an environment with multiple nodes (such as in a large retail store, call center, server room or data center), detailed physical inspection can be difficult. In this case, multiple methods may be combined, such as performing physical system inspections in conjunction with the results of a wireless analyzer.
Definitions:
This is also referred to as rogue access point detection.
Examples:
Methods that may be used include but are not limited to wireless network scans, physical/logical inspections of system components and infrastructure, network access control (NAC), or wireless IDS/IPS. NAC and wireless IDS/IPS are examples of automated monitoring tools.
Implementation and/or exploitation of wireless technology within a network are common paths for malicious users to gain unauthorized access to the network and cardholder data. Unauthorized wireless devices could be hidden within or attached to a computer or other system component. These devices could also be attached directly to a network port, to a network device such as a switch or router, or inserted as a wireless interface card inside a system component.
If a wireless device or network is installed without a company’s knowledge, it can allow an attacker to enter the network easily and “invisibly.” Detecting and removing such unauthorized access points reduces the duration and likelihood of such devices being leveraged for an attack.
Good Practice:
The size and complexity of an environment will dictate the appropriate tools and processes to be used to provide sufficient assurance that a rogue wireless access point has not been installed in the environment.
For example, performing a detailed physical inspection of a single stand-alone retail kiosk in a shopping mall, where all communication components are contained within tamper-resistant and tamper-evident casings, may be sufficient to provide assurance that a rogue wireless access point has not been attached or installed. However, in an environment with multiple nodes (such as in a large retail store, call center, server room or data center), detailed physical inspection can be difficult. In this case, multiple methods may be combined, such as performing physical system inspections in conjunction with the results of a wireless analyzer.
Definitions:
This is also referred to as rogue access point detection.
Examples:
Methods that may be used include but are not limited to wireless network scans, physical/logical inspections of system components and infrastructure, network access control (NAC), or wireless IDS/IPS. NAC and wireless IDS/IPS are examples of automated monitoring tools.
Requirement 1.3.3
1.3.3
Defined Approach Requirements:
NSCs are installed between all wireless networks and the CDE, regardless of whether the wireless network is a CDE, such that:
Defined Approach Requirements:
NSCs are installed between all wireless networks and the CDE, regardless of whether the wireless network is a CDE, such that:
- All wireless traffic from wireless networks into the CDE is denied by default.
- Only wireless traffic with an authorized business purpose is allowed into the CDE.
Customized Approach Objective:
Unauthorized traffic cannot traverse network boundaries between any wireless networks and wired environments in the CDE.
Defined Approach Testing Procedures:
Unauthorized traffic cannot traverse network boundaries between any wireless networks and wired environments in the CDE.
Defined Approach Testing Procedures:
- 1.3.3 Examine configuration settings and network diagrams to verify that NSCs are implemented between all wireless networks and the CDE, in accordance with all elements specified in this requirement.
Purpose:
The known (or unknown) implementation and exploitation of wireless technology within a network is a common path for malicious individuals to gain access to the network and account data. If a wireless device or network is installed without the entity’s knowledge, a malicious individual could easily and “invisibly” enter the network. If NSCs do not restrict access from wireless networks into the CDE, malicious individuals that gain unauthorized access to the wireless network can easily connect to the CDE and compromise account information.
The known (or unknown) implementation and exploitation of wireless technology within a network is a common path for malicious individuals to gain access to the network and account data. If a wireless device or network is installed without the entity’s knowledge, a malicious individual could easily and “invisibly” enter the network. If NSCs do not restrict access from wireless networks into the CDE, malicious individuals that gain unauthorized access to the wireless network can easily connect to the CDE and compromise account information.
Guideline for a healthy information system v.2.0 (EN):
20 STANDARD
/STANDARD
The use of Wi-Fi in a professional environment is now widespread, yet it still presents very specific security risks: poor guarantees in terms of availability, no control over the coverage area which can lead to an attack out of the geographical scope of the organization, default configuration of access points that are not secure by design, etc.
The network architecture segmentation must be able to limit the consequences of intrusion by radio access up to a given perimeter of the information system. The flows coming from devices connected to the Wi-Fi access network must therefore be filtered and restricted to just the necessary flows.
Furthermore, it is important to give priority to the use of robust encryption (WPA2 mode, AES CCMP algorithm) and centralised authentication, if possible through client certificates for devices.
Protecting the Wi-Fi network with a single and shared password is not advisable. However, if this is inevitable, it must be complex and its renewal must be planned, but under no circumstances must be transmitted to unauthorized third parties.
Moreover, access points must be administrated in a secure way (e.g.: dedicated interface, changing the default administrator password).
Finally, all Wi-Fi connection from staff or visitor terminals (laptops, smartphones) must be separate from Wi-Fi connections from the organization’s devices (e.g.: distinct SSID and VLAN, dedicated internet access).
The use of Wi-Fi in a professional environment is now widespread, yet it still presents very specific security risks: poor guarantees in terms of availability, no control over the coverage area which can lead to an attack out of the geographical scope of the organization, default configuration of access points that are not secure by design, etc.
The network architecture segmentation must be able to limit the consequences of intrusion by radio access up to a given perimeter of the information system. The flows coming from devices connected to the Wi-Fi access network must therefore be filtered and restricted to just the necessary flows.
Furthermore, it is important to give priority to the use of robust encryption (WPA2 mode, AES CCMP algorithm) and centralised authentication, if possible through client certificates for devices.
Protecting the Wi-Fi network with a single and shared password is not advisable. However, if this is inevitable, it must be complex and its renewal must be planned, but under no circumstances must be transmitted to unauthorized third parties.
Moreover, access points must be administrated in a secure way (e.g.: dedicated interface, changing the default administrator password).
Finally, all Wi-Fi connection from staff or visitor terminals (laptops, smartphones) must be separate from Wi-Fi connections from the organization’s devices (e.g.: distinct SSID and VLAN, dedicated internet access).
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 1.3.3
1.3.3
Определенные Требования к Подходу:
NSCS устанавливаются между всеми беспроводными сетями и CDE, независимо от того, является ли беспроводная сеть CDE, так что:
Определенные Требования к Подходу:
NSCS устанавливаются между всеми беспроводными сетями и CDE, независимо от того, является ли беспроводная сеть CDE, так что:
- По умолчанию весь беспроводной трафик из беспроводных сетей в CDE запрещен.
- В CDE разрешен только беспроводной трафик с разрешенной бизнес-целью.
Цель Индивидуального подхода:
Несанкционированный трафик не может пересекать границы сети между любыми беспроводными сетями и проводными средами в CDE.
Определенные Процедуры Тестирования Подхода:
Несанкционированный трафик не может пересекать границы сети между любыми беспроводными сетями и проводными средами в CDE.
Определенные Процедуры Тестирования Подхода:
- 1.3.3 Изучите параметры конфигурации и сетевые схемы, чтобы убедиться, что NSCS реализованы между всеми беспроводными сетями и CDE в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Известная (или неизвестная) реализация и использование беспроводной технологии в сети является распространенным способом получения злоумышленниками доступа к сети и данным учетной записи. Если беспроводное устройство или сеть установлены без ведома субъекта, злоумышленник может легко и “незаметно” проникнуть в сеть. Если NSCS не ограничивают доступ из беспроводных сетей в CDE, злоумышленники, которые получают несанкционированный доступ к беспроводной сети, могут легко подключиться к CDE и скомпрометировать информацию учетной записи.
Известная (или неизвестная) реализация и использование беспроводной технологии в сети является распространенным способом получения злоумышленниками доступа к сети и данным учетной записи. Если беспроводное устройство или сеть установлены без ведома субъекта, злоумышленник может легко и “незаметно” проникнуть в сеть. Если NSCS не ограничивают доступ из беспроводных сетей в CDE, злоумышленники, которые получают несанкционированный доступ к беспроводной сети, могут легко подключиться к CDE и скомпрометировать информацию учетной записи.
Requirement 11.2.1
11.2.1
Определенные Требования к Подходу:
Авторизованные и несанкционированные точки беспроводного доступа управляются следующим образом:
Определенные Требования к Подходу:
Авторизованные и несанкционированные точки беспроводного доступа управляются следующим образом:
- Проверяется наличие беспроводных (Wi-Fi) точек доступа,
- Обнаруживаются и идентифицируются все авторизованные и несанкционированные точки беспроводного доступа,
- Тестирование, обнаружение и идентификация происходят не реже одного раза в три месяца.
- Если используется автоматизированный мониторинг, персонал уведомляется с помощью сгенерированных оповещений.
Цель Индивидуального подхода:
Несанкционированные точки беспроводного доступа периодически выявляются и устраняются.
Примечания по применению:
Это требование применяется даже в тех случаях, когда существует политика, запрещающая использование беспроводной технологии, поскольку злоумышленники не читают и не следуют политике компании.
Методы, используемые для выполнения этого требования, должны быть достаточными для обнаружения и идентификации как авторизованных, так и неавторизованных устройств, включая неавторизованные устройства, подключенные к устройствам, которые сами авторизованы.
Определенные Процедуры Тестирования Подхода:
Несанкционированные точки беспроводного доступа периодически выявляются и устраняются.
Примечания по применению:
Это требование применяется даже в тех случаях, когда существует политика, запрещающая использование беспроводной технологии, поскольку злоумышленники не читают и не следуют политике компании.
Методы, используемые для выполнения этого требования, должны быть достаточными для обнаружения и идентификации как авторизованных, так и неавторизованных устройств, включая неавторизованные устройства, подключенные к устройствам, которые сами авторизованы.
Определенные Процедуры Тестирования Подхода:
- 11.2.1.a Изучить политики и процедуры для проверки процессов, определенных для управления как авторизованными, так и неавторизованными точками беспроводного доступа со всеми элементами, указанными в этом требовании.
- 11.2.1.b Изучите используемую методологию (методологии) и полученную документацию и опросите персонал для проверки того, определены ли процессы для обнаружения и идентификации как авторизованных, так и несанкционированных точек беспроводного доступа в соответствии со всеми элементами, указанными в этом требовании.
- 11.2.1.c Изучите результаты оценки беспроводной связи и опросите персонал, чтобы убедиться, что оценки беспроводной связи были проведены в соответствии со всеми элементами, указанными в этом требовании.
- 11.2.1.d Если используется автоматизированный мониторинг, изучите параметры конфигурации, чтобы убедиться, что конфигурация настроит подход и будет генерировать оповещения для уведомления персонала.
Цель:
Внедрение и/или использование беспроводной технологии в сети являются распространенными путями получения злоумышленниками несанкционированного доступа к сети и данным о держателях карт. Несанкционированные беспроводные устройства могут быть скрыты внутри компьютера или другого системного компонента или подключены к нему. Эти устройства также могут быть подключены непосредственно к сетевому порту, к сетевому устройству, такому как коммутатор или маршрутизатор, или вставлены в качестве платы беспроводного интерфейса внутри системного компонента.
Если беспроводное устройство или сеть установлены без ведома компании, это может позволить злоумышленнику легко и “незаметно” проникнуть в сеть. Обнаружение и удаление таких несанкционированных точек доступа сокращает продолжительность и вероятность использования таких устройств для атаки.
Надлежащая практика:
Размер и сложность среды будут диктовать соответствующие инструменты и процессы, которые необходимо использовать для обеспечения достаточной уверенности в том, что в среде не установлена несанкционированная точка беспроводного доступа.
Например, выполнения детального физического осмотра одного отдельно стоящего розничного киоска в торговом центре, где все коммуникационные компоненты находятся в защищенных от несанкционированного доступа и защищенных от несанкционированного доступа корпусах, может быть достаточно, чтобы обеспечить уверенность в том, что не была подключена или установлена несанкционированная точка беспроводного доступа. Однако в среде с несколькими узлами (например, в крупном розничном магазине, колл-центре, серверной комнате или центре обработки данных) детальный физический осмотр может быть затруднен. В этом случае можно комбинировать несколько методов, таких как выполнение физических проверок системы в сочетании с результатами беспроводного анализатора.
Определения:
Это также называется обнаружением несанкционированной точки доступа.
Примеры:
Методы, которые могут быть использованы, включают, но не ограничиваются ими, сканирование беспроводной сети, физические/логические проверки системных компонентов и инфраструктуры, контроль доступа к сети (NAC) или беспроводные идентификаторы/IP-адреса. NAC и беспроводные идентификаторы/IP-адреса являются примерами автоматизированных средств мониторинга.
Внедрение и/или использование беспроводной технологии в сети являются распространенными путями получения злоумышленниками несанкционированного доступа к сети и данным о держателях карт. Несанкционированные беспроводные устройства могут быть скрыты внутри компьютера или другого системного компонента или подключены к нему. Эти устройства также могут быть подключены непосредственно к сетевому порту, к сетевому устройству, такому как коммутатор или маршрутизатор, или вставлены в качестве платы беспроводного интерфейса внутри системного компонента.
Если беспроводное устройство или сеть установлены без ведома компании, это может позволить злоумышленнику легко и “незаметно” проникнуть в сеть. Обнаружение и удаление таких несанкционированных точек доступа сокращает продолжительность и вероятность использования таких устройств для атаки.
Надлежащая практика:
Размер и сложность среды будут диктовать соответствующие инструменты и процессы, которые необходимо использовать для обеспечения достаточной уверенности в том, что в среде не установлена несанкционированная точка беспроводного доступа.
Например, выполнения детального физического осмотра одного отдельно стоящего розничного киоска в торговом центре, где все коммуникационные компоненты находятся в защищенных от несанкционированного доступа и защищенных от несанкционированного доступа корпусах, может быть достаточно, чтобы обеспечить уверенность в том, что не была подключена или установлена несанкционированная точка беспроводного доступа. Однако в среде с несколькими узлами (например, в крупном розничном магазине, колл-центре, серверной комнате или центре обработки данных) детальный физический осмотр может быть затруднен. В этом случае можно комбинировать несколько методов, таких как выполнение физических проверок системы в сочетании с результатами беспроводного анализатора.
Определения:
Это также называется обнаружением несанкционированной точки доступа.
Примеры:
Методы, которые могут быть использованы, включают, но не ограничиваются ими, сканирование беспроводной сети, физические/логические проверки системных компонентов и инфраструктуры, контроль доступа к сети (NAC) или беспроводные идентификаторы/IP-адреса. NAC и беспроводные идентификаторы/IP-адреса являются примерами автоматизированных средств мониторинга.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
УПД.14
УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.22
А.8.22 Сегментирование сетей
Сеть организации должны быть сегментирована на группы информационных сервисов, пользователей и информационных систем.
Сеть организации должны быть сегментирована на группы информационных сервисов, пользователей и информационных систем.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.22
А.8.22 Segregation of networks
Groups of information services, users and information systems shall be segregated in the organization’s networks.
Groups of information services, users and information systems shall be segregated in the organization’s networks.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.