Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

ГОСТ Р № 57580.1-2017 от 01.01.2018

Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации


Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
УИ.16.1 Централизованная**** установка, применение и контроль (в том числе с применением средств автоматизации) стандартов конфигурирования;
Guideline for a healthy information system v.2.0 (EN):
Smartphones and tablets are a part of our daily personal and professional lives. The first recommendation consists precisely of not sharing personal and professional uses on the single and same device, for example by not simultaneously synchronising professional and personal email, social networks and calendar accounts, etc. 

The devices, provided by the organization and used in a professional context, must be subject to a separate securing, as soon as they are connected to the organization’s information system or as soon as they contain potentially sensitive professional information (mails, shared files, contacts, etc.). Consequently, the use of a centralised management solution for mobile devices is to be favoured. It will be desirable to uniformly configure the inherent security policies: a method for unlocking the device, limiting the use of the application store to validated applications from a security point of view, etc. 

Otherwise, configuration prior to distribution of the device and an awareness raising session with users is desirable. 
Finally, in order to make the device on its own unusable, the use of an additional external media (smart card or USB token for example) to hold decryption or authentication secrets may be considered. In this case, it must be kept separate. 
Frequent journeys in a professional context and the miniaturisation of IT hardware often lead to their loss or theft in a public space. This may put the sensitive data of the organization which is stored on it at risk. 

Therefore, on all mobile hardware (laptops, smartphones, USB keys, external hard drives, etc.), only data that has already been encrypted must be stored, in order to maintain its confidentiality. Only confidential information (password, smart card, PIN code, etc.) will allow the person who has it to access this data. 

A partition, archive or file encryption solution may be considered depending on the needs. Here, once again, it is essential to ensure the uniqueness and robustness of the decryption method used. 

As far as possible, it is advisable to start by a complete disk encryption before considering archive and file encryption. These last two respond to different needs and can potentially leave the data storage medium unencrypted (backup files from office suites for example). 
Mobile devices (laptops, tablets and smartphones) are, naturally, exposed to loss and theft. They may contain sensitive information for the organization, locally, and constitute an entry point to wider resources of the information system. Beyond the minimal application of the organization’s security policies, specific security measures for these devices must therefore be provided. 

First and foremost, users’ awareness must be raised to increase their level of vigilance during their trips and keep their devices within sight. Any organization, even a small sized one, may be the victim of a cyberattack. Consequently, when mobile, any device becomes a potential or even favoured target.
It is recommended that mobile devices are as ordinary as possible, avoiding any explicit mention of the organization they belong to (by displaying a sticker with the colours of the organization for example). 

To avoid any indiscretion during journeys, especially on public transport or in waiting areas, a privacy filter must be placed on each screen.. 
The information system’s security relies on the security of the weakest link. It is therefore necessary to standardise the management of security policies applying across the entire IT stock of the organization. 

Applying these policies (managing passwords, restricting logins on certain sensitive devices, configuring web browsers, etc.) must be simple and quick for administrators, with a view to facilitate the implementation of counter measures in the event of an IT crisis. 

To do this, the organization may deploy a centralised management tool (for example Active Directory in the Microsoft environment) into which it is possible to include as many IT devices as possible. Workstations and servers are concerned by this measure, which may require upstream harmonization work in matter of hardware and operating systems selection. 

Therefore, hardening policies for the operating system or applications may easily be applied from a central point while favouring the expected responsiveness in the event reconfiguration is required. 
In a mobile working situation, it is not uncommon for a user to need to connect to the organization’s information system. Consequently, it is important to ensure this network connection is secure through the Internet. Even if the option of establishing VPN SSL/TLS tunnels is now common, the establishment of a VPN IPsec tunnel between the mobile workstation and a VPN IPsec gateway, provided by the organization, is strongly recommended. 

To guarantee an optimal level of security, this VPN IPsec tunnel must be automatically established and not removable by the user, in other words no flow must be able to be sent outside of this tunnel. 

For specific authentication needs on captive portals, the organization may choose to depart from automatic connection by authorising a connection upon request, or keep this recommendation by encouraging the user to use tethering on a trusted mobile phone.. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.6.2.1  Политика использования мобильных устройств 
Мера обеспечения информационной безопасности: Следует определить политику и реализовать поддерживающие меры безопасности для управления рисками информационной безопасности, связанными с использованием мобильных устройств 
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.7.9 Безопасность активов за пределами организации
Должны защищаться активы за пределами защищаемого периметра организации.
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
6.2.1 Политика использования мобильных устройств

Мера обеспечения ИБ
Должна быть определена политика и реализованы поддерживающие меры обеспечения ИБ для управления рисками ИБ, связанными с использованием мобильных устройств.

Руководство по применению
При использовании мобильных устройств особое внимание следует уделять тому, чтобы информация ограниченного доступа не была скомпрометирована. Политика использования мобильных устройств должна принимать во внимание риски работы с мобильными устройствами в незащищенных средах.

Политика использования мобильных устройств должна предусматривать:
  • a) регистрацию мобильных устройств;
  • b) требования к физической защите;
  • c) ограничения на установку программного обеспечения;
  • d) требования к версиям программного обеспечения мобильного устройства и применению исправлений;
  • e) ограничение подключения к информационным сервисам;
  • f) управление доступом;
  • g) криптографические методы обеспечения ИБ;
  • h) защиту от вредоносного программного обеспечения;
  • i) возможности дистанционного отключения, стирания или блокировки;
  • j) резервное копирование;
  • k) использование веб-сервисов и веб-приложений;
  • l) контроль получения прав "root" на устройстве.
Следует проявлять осторожность при использовании устройств в общественных местах, конференц-залах и других незащищенных местах. Должна быть предусмотрена защита от несанкционированного доступа или раскрытия информации, хранящейся и обрабатываемой этими устройствами, например, использование криптографических методов (раздел 10) и принудительное применение секретной аутентификационной информации (см. 9.2.4).
Мобильные устройства также должны быть физически защищены от кражи, особенно если они могут быть оставлены, например, в автомобилях и других видах транспорта, в гостиничных номерах, конференц-центрах и местах для встреч. Для случаев кражи или утери мобильных устройств должна быть установлена специальная процедура, учитывающая правовые, страховые и другие требования безопасности организации. Устройства, несущие важную, ограниченную информацию, не следует оставлять без присмотра и, по возможности, их следует физически запирать или использовать специальные замки для защиты.
Следует организовать обучение персонала, использующего мобильные устройства, для повышения их осведомленности о дополнительных рисках, связанных с таким способом работы, и о мерах обеспечения ИБ, которые должны быть выполнены.

Там, где политика допускает использование личных мобильных устройств, политика и соответствующие меры обеспечения ИБ также должны предусматривать:
  • a) разделение использования устройств в личных и рабочих целях, включая использование программного обеспечения для обеспечения такого разделения и защиты информации ограниченного доступа на личном устройстве;
  • b) предоставление доступа к информации ограниченного доступа только после того, как пользователи подпишут соглашение, признающее их обязанности (физическая защита, обновление программного обеспечения и т.д.), отказ от владения информацией ограниченного доступа, позволяющее организации дистанционно удалять данные в случае кражи или утери устройства, или когда пользователь больше не авторизован на использование. Политика должна учитывать особенности законодательства по защите конфиденциальной информации.

Дополнительная информация
Беспроводные сети для мобильных устройств похожи на другие типы сетей, однако имеют важные отличия, которые необходимо учитывать при определении мер обеспечения ИБ. Типичными отличиями являются:
  • a) некоторые беспроводные протоколы, обеспечивающие безопасность, недостаточно развиты и имеют известные недостатки;
  • b) информация, хранящаяся на мобильных устройствах, может быть не скопирована из-за ограниченной пропускной способности сети или из-за того, что мобильные устройства могут оказаться не подключены к сети во время запланированного резервного копирования.

Мобильные устройства обычно имеют общие функции со стационарно используемыми устройствами, например доступ в сеть и Интернет, электронная почта и управление файлами. Меры обеспечения ИБ для мобильных устройств, как правило, состоят из адаптированных мер, которые используются в стационарных устройствах и тех, которые предназначены для устранения угроз, возникающих при их использовании вне помещений организации.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.7.9 Security of assets off-premises
Off-site assets shall be protected.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.