Куда я попал?
Guideline for a healthy information system v.2.0 (EN)
Framework
34 STANDARD
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений":
ЖЦ.25
ЖЦ.25 Реализация управления версиями (сборками) и изменениями прикладного ПО при его обновлении (модификации)
3-Н 2-О 1-О
3-Н 2-О 1-О
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 4 п.п. 1
7.4.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры выявления, учета и классификации (отнесение к одному из типов) информационных активов организации БС РФ. Права доступа работников и клиентов организации БС РФ к информационным активам и (или) их типам должны быть учтены и зафиксированы.
Р. 7 п. 3 п.п. 9
7.3.9. На стадии эксплуатации АБС должны быть определены, выполняться и регистрироваться процедуры:
- контроля работоспособности (функционирования, эффективности) реализованных в АБС защитных мер, в том числе контроль реализации организационных защитных мер, контроль состава и параметров настройки применяемых технических защитных мер;
- контроля отсутствия уязвимостей в оборудовании и программном обеспечении АБС;
- контроля внесения изменений в параметры настройки АБС и применяемых технических защитных мер;
- контроля необходимого обновления программного обеспечения АБС, включая программное обеспечение технических защитных мер.
CIS Critical Security Controls v8 (The 18 CIS CSC):
14.7
14.7 Train Workforce on How to Identify and Report if Their Enterprise Assets are Missing Security Updates
Train workforce to understand how to verify and report out-of-date software patches or any failures in automated processes and tools. Part of this training should include notifying IT personnel of any failures in automated processes and tools.
Train workforce to understand how to verify and report out-of-date software patches or any failures in automated processes and tools. Part of this training should include notifying IT personnel of any failures in automated processes and tools.
7.4
7.4 Perform Automated Application Patch Management
Perform application updates on enterprise assets through automated patch management on a monthly, or more frequent, basis.
Perform application updates on enterprise assets through automated patch management on a monthly, or more frequent, basis.
7.3
7.3 Perform Automated Operating System Patch Management
Perform operating system updates on enterprise assets through automated patch management on a monthly, or more frequent, basis.
Perform operating system updates on enterprise assets through automated patch management on a monthly, or more frequent, basis.
2.1
2.1 Establish and Maintain a Software Inventory
Establish and maintain a detailed inventory of all licensed software installed on enterprise assets. The software inventory must document the title, publisher, initial install/use date, and business purpose for each entry; where appropriate, include the Uniform Resource Locator (URL), app store(s), version(s), deployment mechanism, and decommission date. Review and update the software inventory bi-annually, or more frequently.
Establish and maintain a detailed inventory of all licensed software installed on enterprise assets. The software inventory must document the title, publisher, initial install/use date, and business purpose for each entry; where appropriate, include the Uniform Resource Locator (URL), app store(s), version(s), deployment mechanism, and decommission date. Review and update the software inventory bi-annually, or more frequently.
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
7.4
7.4 Применяется автоматизированное управление исправлениями прикладного программного обеспечения
Применять автоматическое управление патчами прикладного программного обеспечения
Применять автоматическое управление патчами прикладного программного обеспечения
2.1
2.1 Создан и поддерживается реестр программного обеспечения
Реестр содержит название ПО, разработчика, дату установки/начала использования и бизнес-задачу ПО. При необходимости указаны версия, механизм развертывания и дата вывода из эксплуатации. Для программ с веб- и мобильным доступом указаны их URL, магазин приложений.
Реестр пересматривается и обновляется каждые полгода или чаще.
Реестр содержит название ПО, разработчика, дату установки/начала использования и бизнес-задачу ПО. При необходимости указаны версия, механизм развертывания и дата вывода из эксплуатации. Для программ с веб- и мобильным доступом указаны их URL, магазин приложений.
Реестр пересматривается и обновляется каждые полгода или чаще.
7.3
7.3 Применяется автоматизированное управление исправлениями операционных систем
Применять автоматическое управление патчами операционной системы
Применять автоматическое управление патчами операционной системы
14.7
14.7 Реализовано обучение работников определению наличия важных обновлений безопасности на устройствах предприятия и сообщению об их отсутствии
Обучить сотрудников, как проверить наличие важных обновлений безопасности на собственных рабочих устройствах
Обучить сотрудников, как проверить наличие важных обновлений безопасности на собственных рабочих устройствах
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 2.2
CSC 2.2 Ensure Software is Supported by Vendor
Ensure that only software applications or operating systems currently supported and receiving vendor updates are added to the organization's authorized software inventory. Unsupported software should be tagged as unsupported in the inventory system.
Ensure that only software applications or operating systems currently supported and receiving vendor updates are added to the organization's authorized software inventory. Unsupported software should be tagged as unsupported in the inventory system.
CSC 3.5
CSC 3.5 Deploy Automated Software Patch Management Tools
Deploy automated software update tools in order to ensure that third-party software on all systems is running the most recent security updates provided by the software vendor.
Deploy automated software update tools in order to ensure that third-party software on all systems is running the most recent security updates provided by the software vendor.
CSC 3.4
CSC 3.4 Deploy Automated Operating System Patch Management Tools
Deploy automated software update tools in order to ensure that the operating systems are running the most recent security updates provided by the software vendor.
Deploy automated software update tools in order to ensure that the operating systems are running the most recent security updates provided by the software vendor.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 6.3.3
6.3.3
Определенные Требования к Подходу:
Все компоненты системы защищены от известных уязвимостей путем установки соответствующих исправлений/обновлений безопасности следующим образом:
Определенные Требования к Подходу:
Все компоненты системы защищены от известных уязвимостей путем установки соответствующих исправлений/обновлений безопасности следующим образом:
- Критические или высокозащищенные исправления/обновления (идентифицированные в соответствии с процессом ранжирования рисков в требовании 6.3.1) устанавливаются в течение одного месяца после выпуска.
- Все другие применимые исправления/обновления безопасности устанавливаются в течение соответствующего периода времени, определенного организацией (например, в течение трех месяцев после выпуска).
Цель Индивидуального подхода:
Компоненты системы не могут быть скомпрометированы путем использования известной уязвимости.
Определенные Процедуры Тестирования Подхода:
Компоненты системы не могут быть скомпрометированы путем использования известной уязвимости.
Определенные Процедуры Тестирования Подхода:
- 6.3.3.a Изучить политики и процедуры для проверки того, определены ли процессы для устранения уязвимостей путем установки соответствующих исправлений/обновлений безопасности в соответствии со всеми элементами, указанными в этом требовании.
- 6.3.3.b Изучите системные компоненты и связанное с ними программное обеспечение и сравните список установленных исправлений/обновлений безопасности с самой последней информацией об исправлениях/обновлениях безопасности, чтобы убедиться, что уязвимости устранены в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Постоянно обнаруживаются новые эксплойты, которые могут позволить проводить атаки на системы, ранее считавшиеся безопасными. Если самые последние исправления/обновления безопасности не будут внедрены в критические системы как можно скорее, злоумышленник может использовать эти эксплойты для атаки или отключения системы или получения доступа к конфиденциальным данным.
Надлежащая практика:
Приоритизация исправлений/обновлений безопасности для критической инфраструктуры гарантирует, что высокоприоритетные системы и устройства будут защищены от уязвимостей как можно скорее после выпуска исправления.
Частота исправлений организации должна учитывать любую переоценку уязвимостей и последующие изменения критичности уязвимости в соответствии с требованием 6.3.1. Например, уязвимость, первоначально идентифицированная как низкая степень риска, позже может стать более высокой степенью риска. Кроме того, уязвимости, которые по отдельности считаются уязвимостями низкого или среднего риска, могут в совокупности представлять высокий или критический риск, если они присутствуют в одной и той же системе или если они используются в системе с низким уровнем риска, что может привести к доступу к CDE.
Постоянно обнаруживаются новые эксплойты, которые могут позволить проводить атаки на системы, ранее считавшиеся безопасными. Если самые последние исправления/обновления безопасности не будут внедрены в критические системы как можно скорее, злоумышленник может использовать эти эксплойты для атаки или отключения системы или получения доступа к конфиденциальным данным.
Надлежащая практика:
Приоритизация исправлений/обновлений безопасности для критической инфраструктуры гарантирует, что высокоприоритетные системы и устройства будут защищены от уязвимостей как можно скорее после выпуска исправления.
Частота исправлений организации должна учитывать любую переоценку уязвимостей и последующие изменения критичности уязвимости в соответствии с требованием 6.3.1. Например, уязвимость, первоначально идентифицированная как низкая степень риска, позже может стать более высокой степенью риска. Кроме того, уязвимости, которые по отдельности считаются уязвимостями низкого или среднего риска, могут в совокупности представлять высокий или критический риск, если они присутствуют в одной и той же системе или если они используются в системе с низким уровнем риска, что может привести к доступу к CDE.
SWIFT Customer Security Controls Framework v2022:
2 - 2.2 Security Updates
2.2 Security Updates
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ОПО.0
ОПО.0 Разработка политики управления обновлениями программного обеспечения
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ОПО.0
ОПО.0 Регламентация правил и процедур управления обновлениями программного обеспечения
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.