Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений

ГОСТ Р № 57580.1-2017 от 01.01.2018

ЖЦ.2

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 6
6. Кредитные организации должны разработать во внутренних документах и выполнять требования к операционной надежности, которые включают в себя:
  • требования к порядку определения значений целевых показателей операционной надежности и обеспечению контроля за их соблюдением;
  • требования к идентификации состава элементов, указанных в подпункте 6.1 настоящего пункта;
  • требования к управлению изменениями элементов, указанных в подпункте 6.1 настоящего пункта;
  • требования к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации указанных инцидентов с учетом установленных главой 7 Положения Банка России N 716-П требований к выявлению событий риска информационной безопасности, порядку реагирования на выявленные события риска информационной безопасности и восстановлению деятельности кредитной организации в случае реализации таких событий;
  • требования к взаимодействию с третьими лицами (внешними подрядчиками, контрагентами, участниками банковской группы), оказывающими услуги в сфере информационных технологий, связанные с выполнением технологических процессов (далее - поставщики услуг в сфере информационных технологий), с учетом установленных главами 7 и 8 Положения Банка России N 716-П требований к управлению риском информационной безопасности и риском информационных систем при передаче поставщикам услуг в сфере информационных технологий выполнения отдельных функций кредитной организации и (или) использовании внешних информационных систем, а также требований к аутсорсингу обслуживания и функционирования информационных систем;
  • требования к тестированию операционной надежности технологических процессов;
  • требования к нейтрализации информационных угроз со стороны несанкционированного доступа работников кредитной организации или работников поставщиков услуг в сфере информационных технологий, обладающих полномочиями доступа к объектам информационной инфраструктуры (далее - внутренний нарушитель), к объектам информационной инфраструктуры;
  • требования к обеспечению осведомленности кредитной организации об актуальных информационных угрозах, которые могут привести к инцидентам операционной надежности.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.2.1
12.2.1
Defined Approach Requirements: 
Acceptable use policies for end-user technologies are documented and implemented, including:
  • Explicit approval by authorized parties.
  • Acceptable uses of the technology.
  • List of products approved by the company for employee use, including hardware and software. 
Customized Approach Objective:
The use of end-user technologies is defined and managed to ensure authorized usage. 

Applicability Notes:
Examples of end-user technologies for which acceptable use policies are expected include, but are not limited to, remote access and wireless technologies, laptops, tablets, mobile phones, and removable electronic media, email usage, and Internet usage. 

Defined Approach Testing Procedures:
  • 12.2.1 Examine the acceptable use policies for end-user technologies and interview responsible personnel to verify processes are documented and implemented in accordance with all elements specified in this requirement. 
Purpose:
End-user technologies are a significant investment and may pose significant risk to an organization if not managed properly. Acceptable use policies outline the expected behavior from personnel when using the organization’s information technology and reflect the organization’s risk tolerance 
These policies instruct personnel on what they can and cannot do with company equipment and instruct personnel on correct and incorrect uses of company Internet and email resources. Such policies can legally protect an organization and allow it to act when the policies are violated. 

Good Practice:
It is important that usage policies are supported by technical controls to manage the enforcement of the policies. 
Structuring polices as simple “do” and “do not” requirements that are linked to a purpose can help remove ambiguity and provide personnel with the context for the requirement. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.14.1.1
A.14.1.1 Анализ и спецификация требований информационной безопасности 
Мера обеспечения информационной безопасности: Требования, относящиеся к информационной безопасности, должны быть включены в перечень требований для новых информационных систем или для усовершенствования существующих информационных систем 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.2.1
12.2.1
Определенные Требования к Подходу:
Документируются и внедряются политики приемлемого использования технологий конечного пользователя, включая:
  • Явное одобрение уполномоченных сторон.
  • Приемлемое использование технологии.
  • Список продуктов, одобренных компанией для использования сотрудниками, включая аппаратное и программное обеспечение.
Цель Индивидуального подхода:
Использование технологий конечного пользователя определяется и управляется для обеспечения авторизованного использования.

Примечания по применению:
Примеры технологий конечного пользователя, для которых ожидается приемлемая политика использования, включают, но не ограничиваются ими, удаленный доступ и беспроводные технологии, ноутбуки, планшеты, мобильные телефоны и съемные электронные носители, использование электронной почты и использование Интернета.

Определенные Процедуры Тестирования Подхода:
  • 12.2.1 Изучите политику приемлемого использования технологий конечного пользователя и опросите ответственный персонал, чтобы убедиться, что процессы документированы и реализованы в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Технологии для конечных пользователей являются значительными инвестициями и могут представлять значительный риск для организации, если ими не управлять должным образом. Политика приемлемого использования описывает ожидаемое поведение персонала при использовании информационных технологий организации и отражает толерантность организации к риску
Эти правила инструктируют персонал о том, что они могут и не могут делать с оборудованием компании, а также инструктируют персонал о правильном и неправильном использовании ресурсов Интернета и электронной почты компании. Такая политика может юридически защитить организацию и позволить ей действовать в случае нарушения политики.

Надлежащая практика:
Важно, чтобы политики использования поддерживались техническими средствами контроля для управления применением политик.
Структурирование политики в виде простых требований “делать” и “не делать”, связанных с целью, может помочь устранить двусмысленность и предоставить персоналу контекст для требования.

Связанные защитные меры

Название Дата Влияние
Community
3 17 / 61
Установка обновлений для ОС Linux
Ежемесячно Вручную Техническая Превентивная Компенсирующая
31.05.2022
31.05.2022 3 17 / 61
Цель: устранение технических уязвимостей в операционных системах Linux.
Варианты реализации: вручную или автоматически (например, с использованием unattended-upgrades).

Возможный алгоритм действий:
  1. Установка обновлений на тестовой среде, проверка работоспособности.
  2. Предварительное резервное копирование хостов, по необходимости. Например, для критичных серверов.
  3. Предупреждение владельцев обновляемых активов, планирование и согласование времени проведения обновлений.
  4. Проведение обновления.
  5. Проверка работоспособности обновленной ОС и размещенных на ОС прикладных приложений/систем.
Процедура может быть совмещена с иными профилактическими мероприятиями - контролем установленных средств защиты, проверкой конфигурации на соответствие требованиям безопасности и т.п. 
Инструкции для обновлений от производителей операционных систем: Red Hat EL, Ubuntu, Debian.
Команды для обновления приложений в Ubuntu:
  • Получение актуальных версий пакетов sudo apt update
  • Вывод списка затрагиваемых пакетов apt list --upgradable
  • Выполнение обновления всех пакетов sudo apt upgrade или sudo apt full-upgrade
    • upgrade - устанавливает самые новые версии всех пакетов доступные в репозиториях. Использует все репозитории их /etc/apt/souces.list и /etc/apt/souces.list.d/*. Происходит обновление только установленных пакетов, если же для обновления пакета необходимо установить или удалить другой пакет, такие пакеты обновлены не будут.
    • full-upgrade - поддерживается умное разрешение зависимостей для новых версий пакетов, конфликтующие пакеты могут быть удалены, а новые, дополнительные - установлены.
Рекомендации к заполнению карточки:
  • Описать политику установки обновлений (объем устанавливаемых обновлений, режим/процедуру установки). В карточке или как ссылку на внешний документ.
  • Если обновления устанавливаются вручную - создать шаблон регулярной задачи на проведение обновлений.
Community
18 10 / 89
Настройка безопасной конфигурации для серверов ОС Linux
Разово Вручную Техническая Превентивная
16.05.2022
16.05.2022 18 10 / 89
Цель: сокращение поверхности атаки.
Часть общего процесса управления безопасностью конфигураций (Hardening).

Общий алгоритм:
  1. Определить, задокументировать требования к безопасности конфигурации.
  2. Применить безопасную конфигурацию на существующих хостах.
  3. Применять безопасную конфигурацию на новых хостах в рамках процесса их ввода в эксплуатацию.
  4. Регулярно проверять конфигурацию хостов на соответствие установленным требованиям.
Источником для формирования требований к безопасности конфигурации служат:
Документирование требований осуществляется в зависимости от принятых подходов в организации.
Вариант реализации: описать требования в карточке защитной меры. Пример документа

Отклонения от выбранной конфигурации документируются вместе с обоснованием и применяемыми компенсирующими мерами.
Вариант реализации: вести учет отклонений в заметках к карточкам активов (хостов) либо защитной мере.

Минимальные требования к безопасной конфигурации:
  • Изменить пароли по умолчанию.
  • Настроить SSH 
  • Настроить сложность паролей
  • Настроить смену (жизненный цикл) паролей 
  • Настроить политику аутентификации
  • Отключить или удалить ненужные учетные записи пользователей
  • Отключить или ограничить ненужные службы, порты и протоколы
  • Удалить ненужное программное обеспечение
  • При необходимости ограничить физические порты
  • Настроить баннеры при входе
В зависимости от выстроенной в компании инфраструктуры к требованиям безопасности конфигурации могут быть отнесены:
  • Подключение хоста к корпоративной системе мониторинга
  • Настройка передачи логов на централизованный сервер (nxlog, SEM / SIEM) 
  • Конфигурация NTP и часового пояса
Настройка может осуществляться вручную, скриптами или с использованием централизованных систем управления конфигурацией (например, Ansible).

Контроль конфигурации может осуществляться скриптами, системами контроля конфигураций, сканерами уязвимостей с соответствующим модулем контроля конфигураций.

Показателем эффективности процесса может являться: 
- общий процент соответствия требованиям (суммарно по всем хостам), 
- процент хостов, соответствующих требованиям.

Рекомендации к заполнению карточки:
  • Каждый из этапов процесса (определение требований, первичная настройка, ввод в эксплуатацию новых хостов, контроль соответствия) может быть описан отдельной защитной мерой.
  • Описать принятый в компании перечень требований к безопасности конфигурации.
  • Если для приведения в соответствие и/или контроля конфигураций используется ПО - зарегистрировать его в реестре активов и привязать к мере как инструмент
  • Если ведется учет (реестр) скриптов - привязать использующиеся скрипты как инструмент 
  • Добавить шаблон регулярной задачи по проверке конфигураций.
  • Добавить шаблон регулярной задачи на пересмотр/актуализацию набора требований безопасности
Community
13 / 86
Проведение штабных киберучений
Ежегодно Вручную Организационная
08.05.2022
08.05.2022 13 / 86
Цель: проверка реагирования службы информационной безопасности и персонала компании на типовые сценарии инцидентов безопасности.

Штабные киберучения позволяют проверить как будет производиться реагирование на различные сценарии угроз и определить необходимую степень взаимодействия между различным персоналом, как со стороны службы информационной безопасности, так и со стороны других подразделений организации. 
В отличие от проведения тестирования на проникновение или проведения тренировок на киберполигоне штабные киберучения не требуют работы с инфраструктурой, но требуют построения четкого плана по минимизации рисков той или иной угрозы.
Примеры сценариев для киберучений

Способ реализации: самостоятельно или с привлечением внешних контрагентов/консультантов.

Рекомендации к заполнению карточки:
  • Создать шаблон регулярной задачи на проведение киберучений.
  • В результатах выполненных задач или в заметках к мере вести учет принятых корректирущих действий по результатам киберучений.
Community
1 15 / 62
Централизованная установка обновлений для ОС Windows через WSUS сервер
Ежедневно Автоматически Техническая Превентивная Компенсирующая
04.05.2022
04.05.2022 1 15 / 62
Цель: устранение технических уязвимостей в системном и прикладном ПО Microsoft
Для доменной инфраструктуры Windows централизация установки обновлений ОС и продуктов Microsoft (Edge, Office) осуществляется через службу обновлений Windows Server Update Services (WSUS).
Обновления могут устанавливаться автоматически или вручную. Режим обновления может быть различным в зависимости от типа обновляемых активов. Например для ПК - автоматическая установка, а на серверы - вручную администратором.
Могут устанавливаться все обновления или только критические обновления и обновления безопасности.
Настройка режима обновления осуществляется на уровне службы WSUS и на уровне ПК/Серверов через групповые политики домена (GPO).

Рекомендации к заполнению карточки:
  • Описать политику установки обновлений (объем устанавливаемых обновлений, режим/процедуру установки) 
  • Добавить WSUS сервер(ы) в реестр активов (тип - WSUS) и связать с карточкой как инструменты.
  • Описать политики (GPO) обновлений. Если GPO ведутся в реестре активов - связать с карточкой меры как инструменты.
  • Добавить шаблон регулярной задачи на контроль работоспособности WSUS
Community
27 / 76
Ведение реестра информационных активов
По событию Вручную Организационная
16.03.2022
16.03.2022 27 / 76
Цель: учёт, инвентаризация активов различного типа 
Типы активов, подлежащие в учёту, определяются в зависимости от уровня зрелости компании, исполняемых требований и целей. 
Варианты реализации:
  • Бумажные реестры
  • Электронные таблицы (excel)
  • CMDB/ITAM системы
  • Сервис SECURITM (модуль Активы)
В заметке к защитной мере приведен пример регламента учёта информационных активов на базе SECURITM.

Рекомендации к заполнению карточки:
  • Написать регламент учета активов и разместить его прямо в карточке или как ссылку на внешний документ 
  • Указать перечень учитываемых типов активов
Community
1 12 / 98
Блокировка возможности удаленного завершения работы в ОС Windows
Постоянно Автоматически Техническая Превентивная
25.02.2022
25.02.2022 1 12 / 98
Цель: запрет удаленного завершения работы ОС Windows всем группам пользователей кроме локальных администраторов.
Любой пользователь, который может отключить устройство, может вызвать отказ в обслуживании как самого оборудования, операционной системы, так и работающих на данной ОС сервисов и приложений. Поэтому право на удаленное завершение работы и перезагрузку должно быть строго ограничено.
Наиболее актуальна данная мера для серверных экземпляров ОС.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя.
Параметр: Принудительное удаленное завершение работы.
Значение: Администраторы

Рекомендации к заполнению карточки:
Community
1 28 / 82
Сканирование внешнего сетевого периметра на наличие уязвимостей
Еженедельно Автоматически Техническая Детективная
11.02.2022
11.02.2022 1 28 / 82
Цель: управление техническими уязвимостями
Регулярное сканирование всех публичных IP адресов компании сканером уязвимостей. Сканирование проводится из Интернета (из вне инфраструктуры).
Варианты реализации
  1. Купить соответствующую услугу у компании, занимающейся информационной безопасностью
  2. Развернуть собственный экземпляр сканера уязвимостей (или его агент) на внешних, облачных серверах
  3. Купить подписку на облачный сканер уязвимостей
  4. Воспользоваться бесплатными инструментами
    Например: Сканер уязвимостей Qualys Community Edition позволяет проводить регулярное полноценное сканирование ограниченного количества публичных IP адресов
Результаты сканирования могут загружаться в SECURITM (модуль VM) и обрабатываться в рамках процесса управления техническими уязвимостями.

Рекомендации к заполнению карточки:
  • Указать название сканера, область и периодичность сканирования.
  • Сканер (актив) привязать к карточке как инструмент
  • Если ведётся реестр публичных адресов - привязать адреса к карточке как инструмент.
  • Если сканирование запускается вручную - создать в карточке шаблон задачи на проведение регулярного сканирования
Community
1 8 / 113
Доведение до новых работников документов по информационной безопасности
По событию Вручную Организационная Удерживающая
28.10.2021
28.10.2021 1 8 / 113
Цель: Ознакомление с действующими в компании документами по информационной безопасности (политики, положения, обязательства) под подпись при трудоустройстве.

Варианты реализации, в зависимости от специфики организации:
  • В момент трудоустройства и подписания трудового договора (в кадровом подразделении);
  • После трудоустройства в службе безопасности или информационных технологий;
  • После трудоустройства на рабочем месте (ответственность непосредственного руководителя).
Рекомендации к заполнению карточки:
  • Зафиксировать ответственное за сбор подписей подразделение и место хранения реестров с подписями.
  • Добавить шаблон регулярной контрольной задачи по проверке наличия реестров с подписями
Community
4 5 / 72
Подписание работниками обязательств о конфиденциальности
Разово Вручную Организационная Удерживающая
12.10.2021
12.10.2021 4 5 / 72
Цель: закрепление за работниками ответственности за нарушения информационной безопасности.
 
Обязательство о конфиденциальности - минималистичный (в идеале одностраничный) документ который подписывает работник.
Документ формулируется от первого лица: я обязуюсь..., я уведомлен..., я согласен....
Обязательство следует делать универсальным документом, закрывающим различные требования по безопасности: коммерческая тайна, персональные данные, легитимизация систем защиты и мониторинга, материальная ответственность и т.д.

Варианты утверждения:
  • Как самостоятельный документ, отдельным приказом;
  • Как часть другого документа, например, Положения о коммерческой тайне.
Варианты распространения:
  • Первичный сбор обязательств осуществляется руководителями подразделений, канцелярией, службой документооборота;
  • Подписание обязательств новыми работниками осуществляется службой персонала в процессе оформления трудоустройства. 
Варианты контроля:
  • Контроль наличия обязательств осуществляется службой информационной безопасности в рамках внутреннего аудита подразделений;
  • Контроль подписания обязательств возлагается на кадровые подразделения или руководителей подразделений.
Рекомендации к заполнению карточки:
  • Приложить к карточке шаблон обязательства, подписываемого работниками, или ссылку на содержащий его документ;
  • Добавить шаблон регулярной контрольной задачи на проверку наличия подписанных обязательств, если контроль не осуществляется в рамках иной защитной меры.
Community
11 / 62
Разработка высокоуровневой политики информационной безопасности
Разово Вручную Организационная Удерживающая
03.06.2021
03.06.2021 11 / 62
Общая и публичная политика постулирующая позицию компании по вопросам информационной безопасности.
В заметке к защитной мере приведен пример высокоуровневой Политики информационной безопасности

Рекомендации к заполнению карточки:
  • Описать в карточке меры политику компании или привести ссылку на документ
  • Создать шаблон регулярной задачи на пересмотр политики