Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации

ГОСТ Р № 57580.1-2017 от 01.01.2018

ЗБС.7

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 1.2.2
1.2.2
Defined Approach Requirements: 
All changes to network connections and to configurations of NSCs are approved and managed in accordance with the change control process defined at Requirement 6.5.1. 

Customized Approach Objective:
Changes to network connections and NSCs cannot result in misconfiguration, implementation of insecure services, or unauthorized network connections. 

Applicability Notes:
Changes to network connections include the addition, removal, or modification of a connection. 
Changes to NSC configurations include those related to the component itself as well as those affecting how it performs its security function. 

Defined Approach Testing Procedures:
  • 1.2.2.a Examine documented procedures to verify that changes to network connections and configurations of NSCs are included in the formal change control process in accordance with Requirement 6.5.1. 
  • 1.2.2.b Examine network configuration settings to identify changes made to network connections. Interview responsible personnel and examine change control records to verify that identified changes to network connections were approved and managed in accordance with Requirement 6.5.1. 
  • 1.2.2.c Examine network configuration settings to identify changes made to configurations of NSCs. Interview responsible personnel and examine change control records to verify that identified changes to configurations of NSCs were approved and managed in accordance with Requirement 6.5.1. 
Good Practice:
Changes should be approved by individuals with the appropriate authority and knowledge to understand the impact of the change. Verification should provide reasonable assurance that the change did not adversely impact the security of the network and that the change performs as expected. 
To avoid having to address security issues introduced by a change, all changes should be approved prior to being implemented and verified after the change is implemented. Once approved and verified, network documentation should be updated to include the changes to prevent inconsistencies between network documentation and the actual configuration. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 1.2.2
1.2.2
Определенные Требования к Подходу:
Все изменения в сетевых подключениях и конфигурациях NSCS утверждаются и управляются в соответствии с процессом управления изменениями, определенным в Требовании 6.5.1.

Цель Индивидуального подхода:
Изменения в сетевых подключениях и NSCS не должны приводить к неправильной настройке, внедрению небезопасных служб или несанкционированным сетевым подключениям.

Примечания по применению:
Изменения сетевых подключений включают добавление, удаление или изменение подключения.
Изменения в конфигурациях NSC включают изменения, связанные с самим компонентом, а также те, которые влияют на то, как он выполняет свои функции безопасности.

Определенные Процедуры Тестирования Подхода:
  • 1.2.2.a Изучить документированные процедуры для проверки того, что изменения в сетевых подключениях и конфигурациях NSCS включены в формальный процесс управления изменениями в соответствии с требованием 6.5.1.
  • 1.2.2.b Изучите параметры конфигурации сети, чтобы определить изменения, внесенные в сетевые подключения. Опросите ответственный персонал и изучите записи контроля изменений, чтобы убедиться, что выявленные изменения в сетевых подключениях были одобрены и управлялись в соответствии с требованием 6.5.1.
  • 1.2.2.c Изучите параметры конфигурации сети для выявления изменений, внесенных в конфигурации NSCs. Опросите ответственный персонал и изучите записи контроля изменений, чтобы убедиться, что выявленные изменения в конфигурациях NSCS были одобрены и управлялись в соответствии с требованием 6.5.1.
Надлежащая практика:
Изменения должны быть одобрены лицами, обладающими соответствующими полномочиями и знаниями, чтобы оценить возможное негативное влияние изменений. Проверка должна обеспечивать уверенность в том, что изменение не оказало отрицательного влияния на безопасность сети и что изменения выполнены должным образом. 
Чтобы избежать необходимости устранять проблемы безопасности, вызванные изменением, все изменения должны быть одобрены до внедрения и проверены после внедрения изменения. После утверждения и проверки сетевая документация должна быть обновлена, чтобы включить изменения и предотвратить несоответствия между сетевой документацией и фактической конфигурацией.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗИС.35 ЗИС.35 Управление сетевыми соединениями
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗИС.35 ЗИС.35 Управление сетевыми соединениями

Связанные защитные меры

3
Название Дата Влияние
Community
9 25 / 57
Выделение ключевых систем в отдельную сеть (сегментация сети)
Разово Вручную Техническая Превентивная
03.05.2022
03.05.2022 9 25 / 57
Цель: защита ключевых активов от несанкционированного доступа на сетевом уровне.

Размещение ключевых систем в отдельных безопасных зонах / контурах безопасности и ограничение доступа в эти выделенные сегменты позволяет защитить наиболее критичные системы в случае компрометации основных сегментов сети компании.
В зависимости от особенностей компании в отдельные сегменты выделяют:
  • Технологические, производственные сети
  • Банковские системы
  • Инфраструктуру SWIFT
  • ПК руководства
  • Ключевые бизнес-системы
  • Системы персональных данных
Способы сегментации: 
  • Логический, с помощью технологий VLAN на сетевом оборудовании
  • Логический, на уровне управления виртуальной инфраструктурой
  • Физический, путем создания отдельных ЛВС для ключевых сегментов
Сегментирование предполагает ограничение/контроль доступа между сегментами на базовом уровне. Использование расширенного контроля средствами межсетевого экранирования выделено в отдельную защитную меру.

Рекомендации к заполнению карточки:
  • Указать перечень сегментов и их назначение 
  • Пояснить способы/технологии сегментации
  • Описать как настроено ограничение доступа (ACL)
  • Если сети учитываются в реестре активов - привязать их к карточке в качестве инструментов (тип актива Локальная сеть).
Community
1 9 / 72
Блокировка доступа к несанкционированным сетевым папкам в локальной сети
Постоянно Автоматически Техническая Превентивная
12.11.2021
12.11.2021 1 9 / 72
Цель: 
  • сокращение каналов утечки информации
  • уменьшение возможностей для горизонтального перемещения в локальной сети;
  • снизить возможность загрузки ВПО с несанкционированной общей сетевой папки SMB;
  • противодействие атакам на перехват сессии и кражу паролей (SCF File Attacks).
На уровне источника (ПК и серверы) нужно ограничить исходящие соединения к сетевым папкам (SMB shared folder), оставив доступ только к списку легитимных сетевых папок.
Варианты реализации:
  • Локальный межсетевой экран
  • DLP с функцией контроля SMB протокола, например КИБ SearchInform
Общий алгоритм действий
  1. Определить перечень легальных SMB шар и узлов, к которым необходимо подключаться по SMB
  2. Настроить белый список на локальных СЗИ
  3. Включить блокировку 
Важно: SMB один из ключевых протоколов для локального взаимодействия в доменной инфраструктуре. Перед включением блокировки необходимо провести тщательный аудит всех информационных потоков по протоколу SMB.

Рекомендации к заполнению карточки:
  • Описать в карточке общую политику в отношении сетевых файловых ресурсов,
  • Средство защиты, которым осуществляется блокировка, присоединить к карточке как Инструмент,
  • Добавить Инструкцию (например, в заметках к мере) по добавлению/исключению каталогов из доступа 
  • Если ведется учет (реестр) сетевых файловых ресурсов - вести его в разделе Объекты файловой системы \ Файлы и папки 
  • Создать шаблон регулярной задачи на актуализацию списка общих сетевых папок и прав.