Куда я попал?
Guideline for a healthy information system v.2.0 (EN)
Framework
24 STANDARD
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 5 п.п. 5
7.5.5. В организации БС РФ должна быть организована антивирусная фильтрация всего трафика электронного почтового обмена.
Р. 7 п. 6 п.п. 8
7.6.8. Должны быть определены состав и порядок применения мер защиты, применяемых для организации почтового обмена через сеть Интернет.
Рекомендуется организовать почтовый обмен с сетью Интернет через ограниченное количество точек, состоящих из внешнего (подключенного к сети Интернет) и внутреннего (подключенного к внутренним сетям организации) почтовых серверов с безопасной системой репликации почтовых сообщений между ними (интернет-киоски).
CIS Critical Security Controls v8 (The 18 CIS CSC):
9.6
9.6 Block Unnecessary File Types
Block unnecessary file types attempting to enter the enterprise’s email gateway.
Block unnecessary file types attempting to enter the enterprise’s email gateway.
9.1
9.1 Ensure Use of Only Fully Supported Browsers and Email Clients
Ensure only fully supported browsers and email clients are allowed to execute in the enterprise, only using the latest version of browsers and email clients provided through the vendor.
Ensure only fully supported browsers and email clients are allowed to execute in the enterprise, only using the latest version of browsers and email clients provided through the vendor.
9.4
9.4 Restrict Unnecessary or Unauthorized Browser and Email Client Extensions
Restrict, either through uninstalling or disabling, any unauthorized or unnecessary browser or email client plugins, extensions, and add-on applications.
Restrict, either through uninstalling or disabling, any unauthorized or unnecessary browser or email client plugins, extensions, and add-on applications.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ЗВК.5
ЗВК.5 Реализация защиты от вредоносного кода на уровне контроля почтового трафика
3-Т 2-Т 1-Т
3-Т 2-Т 1-Т
ВСА.10
ВСА.10 Контроль и обеспечение возможности блокировки нежелательных сообщений электронной почты (SPAM)
3-Т 2-Т 1-Т
3-Т 2-Т 1-Т
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
9.1
9.1 Реализовано использование браузеров и почтовых клиентов только с полной поддержкой разработчика
Использовать только браузеры и почтовые клиенты последних версий с полной поддержкой вендора.
Использовать только браузеры и почтовые клиенты последних версий с полной поддержкой вендора.
9.6
9.6 Блокируются неавторизованные типы файлов во вложении
Блокировать неавторизованные типы файлов во вложении
Блокировать неавторизованные типы файлов во вложении
9.4
9.4 Ограничено применение неиспользуемых или неавторизованных расширений браузера и почтовых клиентов
Запрещать неавторизованные расширения браузера и почтовых клиентов
Запрещать неавторизованные расширения браузера и почтовых клиентов
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 7.9
CSC 7.9 Block Unnecessary File Types
Block all email attachments entering the organization's email gateway if the file types are unnecessary for the organization's business.
Block all email attachments entering the organization's email gateway if the file types are unnecessary for the organization's business.
CSC 7.1
CSC 7.1 Ensure Use of Only Fully Supported Browsers and Email Clients
Ensure that only fully supported web browsers and email clients are allowed to execute in the organization, ideally only using the latest version of the browsers and email clients provided by the vendor.
Ensure that only fully supported web browsers and email clients are allowed to execute in the organization, ideally only using the latest version of the browsers and email clients provided by the vendor.
CSC 7.2
CSC 7.2 Disable Unnecessary or Unauthorized Browser or Email Client Plugins
Uninstall or disable any unauthorized browser or email client plugins or add-on applications.
Uninstall or disable any unauthorized browser or email client plugins or add-on applications.
CSC 7.3
CSC 7.3 Limit Use of Scripting Languages in Web Browsers and Email Clients
Ensure that only authorized scripting languages are able to run in all web browsers and email clients.
Ensure that only authorized scripting languages are able to run in all web browsers and email clients.
Strategies to Mitigate Cyber Security Incidents (EN):
1.17.
TLS encryption between email servers to help prevent legitimate emails being intercepted and subsequently leveraged for social engineering. Perform content scanning after email traffic is decrypted.
Relative Security Effectiveness: Limited | Potential User Resistance: Low | Upfront Cost: Low | Ongoing Maintenance Cost: Low
Relative Security Effectiveness: Limited | Potential User Resistance: Low | Upfront Cost: Low | Ongoing Maintenance Cost: Low
1.14.
Block spoofed emails. Use Sender Policy Framework (SPF) or Sender ID to check incoming emails. Use ‘hard fail’ SPF TXT and DMARC DNS records to mitigate emails that spoof the organisation’s domain.
Relative Security Effectiveness: Very Good | Potential User Resistance: Low | Upfront Cost: Low | Ongoing Maintenance Cost: Low
Relative Security Effectiveness: Very Good | Potential User Resistance: Low | Upfront Cost: Low | Ongoing Maintenance Cost: Low
1.6.
Email content filtering. Allow only approved attachment types (including in archives and nested archives). Analyse/sanitise hyperlinks, PDF and Microsoft Office attachments. Quarantine Microsoft Office macros.
Relative Security Effectiveness: Excellent | Potential User Resistance: Medium | Upfront Cost: Medium | Ongoing Maintenance Cost: Medium
Relative Security Effectiveness: Excellent | Potential User Resistance: Medium | Upfront Cost: Medium | Ongoing Maintenance Cost: Medium
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
АВЗ.2
АВЗ.2 Антивирусная защита электронной почты и иных сервисов
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
АВЗ.2
АВЗ.2 Антивирусная защита электронной почты и иных сервисов
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.