Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021

Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности

9.4.2

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

CIS Critical Security Controls v8 (The 18 CIS CSC):

6.4

6.4 Require MFA for Remote Network Access
Require MFA for remote network access.

5.2

5.2 Use Unique Passwords
Use unique passwords for all enterprise assets. Best practice implementation includes, at a minimum, an 8-character password for accounts using MFA and a 14-character password for accounts not using MFA.

4.7

4.7 Manage Default Accounts on Enterprise Assets and Software
Manage default accounts on enterprise assets and software, such as root, administrator, and other pre-configured vendor accounts. Example implementations can include: disabling default accounts or making them unusable.

6.5

6.5 Require MFA for Administrative Access
Require MFA for all administrative access accounts, where supported, on all enterprise assets, whether managed on-site or through a third-party provider.

6.7

6.7 Centralize Access Control
Centralize access control for all enterprise assets through a directory service or SSO provider, where supported.

12.3

12.3 Securely Manage Network Infrastructure
Securely manage network infrastructure. Example implementations include version-controlled-infrastructure-ascode, and the use of secure network protocols, such as SSH and HTTPS.

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":

УЗП.19

УЗП.19 Определение состава ролей, связанных с выполнением операции (транзакции) в АС, имеющих финансовые последствия для финансовой организации, клиентов и контрагентов, и ролей, связанных с контролем выполнения указанных операций (транзакций), запрет выполнения указанных ролей одним субъектом логического доступа
3-О 2-Т 1-Т

УЗП.20

УЗП.20 Реализация правил управления правами логического доступа, обеспечивающих запрет совмещения одним субъектом логического доступа ролей, предусмотренных мерой УЗП.19 настоящей таблицы
3-О 2-Т 1-Т

NIST Cybersecurity Framework (RU):

PR.AC-7

PR.AC-7: Пользователи, устройства и другие активы проходят аутентификацию (например, однофакторную, многофакторную), соизмеримую с риском транзакции (например, рисками безопасности и конфиденциальности отдельных лиц и другими организационными рисками)

PR.AC-1

PR.AC-1: Для авторизованных устройств, пользователей и процессов выдаются, управляются, верифицируются, аннулируются и проверяются идентификационные и учетные данные

Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":

УПД.2 УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):

6.4

6.4 Требуется многофакторная аутентификация для удаленного доступа к сети
Запрашивать многофакторную аутентификацию для удаленного доступа к сети.

5.2

5.2 Используются уникальные пароли
Для учетных записей с многофакторной аутентификацией задан пароль длиной не менее 8 символов.
Для учетных записей без многофакторной аутентификации задан пароль длиной не менее 14 символов.

4.7

4.7 Реализовано управление учетными записями по умолчанию на устройствах и в программном обеспечении
Пересмотрены и обновлены настройки всех предварительно настроенных учетных записей, например, root, administrator и так далее.

6.5

6.5 Требуется многофакторная аутентификация для доступа с использованием прав администратора
Запрашивать многофакторную аутентификацию для доступа с правами администратора.

6.7

6.7 Внедрен централизованный контроль доступа
Для реализации может использоваться служба каталогов или технологии единого входа (SSO).

12.3

12.3 Реализовано управление безопасной сетевой инфраструктурой
Внедрить лучшие практики безопасного управления сетевой инфраструктурой

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":

Requirement 3.5.1.3

3.5.1.3
Defined Approach Requirements:
If disk-level or partition-level encryption is used (rather than file-, column-, or field--level database encryption) to render PAN unreadable, it is managed as follows:

Logical access is managed separately and independently of native operating system authentication and access control mechanisms.
Decryption keys are not associated with user accounts.
Authentication factors (passwords, passphrases, or cryptographic keys) that allow access to unencrypted data are stored securely

Customized Approach Objective:
Disk encryption implementations are configured to require independent authentication and logical access controls for decryption.

Applicability Notes:
Disk or partition encryption implementations must also meet all other PCI DSS encryption and keymanagement requirements.

Defined Approach Testing Procedures:

3.5.1.3.a If disk-level or partition-level encryption is used to render PAN unreadable, examine the system configuration and observe the authentication process to verify that logical access is implemented in accordance with all elements specified in this requirement.
3.5.1.3.b Examine files containing authentication factors (passwords, passphrases, or cryptographic keys) and interview personnel to verify that authentication factors that allow access to unencrypted data are stored securely and are independent from the native operating system’s authentication and access control methods.

Purpose:
Disk-level encryption typically encrypts the entire disk or partition using the same key, with all data automatically decrypted when the system runs or when an authorized user requests it. Many diskencryption solutions intercept operating system read/write operations and perform the appropriate cryptographic transformations without any special action by the user other than supplying a password or passphrase at system start-up or at the beginning of a session. This provides no protection from a malicious individual that has already managed to gain access to a valid user account.

Good Practice:
Full disk encryption helps to protect data in the event of physical loss of a disk and therefore its use is best limited only to removable electronic media storage devices.

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":

A.9.4.2

A.9.4.2 Безопасные процедуры входа в систему
Мера обеспечения информационной безопасности: Когда этого требует политика управления доступом, доступ к системам и приложениям должен управляться посредством безопасной процедуры входа в систему

CIS Critical Security Controls v7.1 (SANS Top 20):

CSC 12.12 CSC 12.12 Manage All Devices Remotely Logging into Internal Network
Scan all enterprise devices remotely logging into the organization's network prior to accessing the network to ensure that each of the organization's security policies has been enforced in the same manner as local network devices.

CSC 4.5 CSC 4.5 Use Multi-Factor Authentication for All Administrative Access
Use multi-factor authentication and encrypted channels for all administrative account access.

CSC 15.8 CSC 15.8 Use Wireless Authentication Protocols That Require Mutual, Multi-Factor Authentication
Ensure that wireless networks use authentication protocols such as Extensible Authentication Protocol-Transport Layer Security (EAP/TLS), which requires mutual, multi-factor authentication.

CSC 11.5 CSC 11.5 Manage Network Devices Using Multi-Factor Authentication and Encrypted Sessions
Manage all network devices using multi-factor authentication and encrypted sessions.

CSC 12.11 CSC 12.11 Require All Remote Login to Use Multi-Factor Authentication
Require all remote login access to the organization's network to encrypt data in transit and use multi-factor authentication.

CSC 16.2 CSC 16.2 Configure Centralized Point of Authentication
Configure access for all accounts through as few centralized points of authentication as possible, including network, security, and cloud systems.

CSC 4.2 CSC 4.2 Change Default Passwords
Before deploying any new asset, change all default passwords to have values consistent with administrative level accounts.

CSC 16.3 CSC 16.3 Require Multi-Factor Authentication
Require multi-factor authentication for all user accounts, on all systems, whether managed on-site or by a third-party provider.

CSC 4.4 CSC 4.4 Use Unique Passwords
Where multi-factor authentication is not supported (such as local administrator, root, or service accounts), accounts will use passwords that are unique to that system.

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":

Requirement 3.5.1.3

3.5.1.3
Определенные Требования к Подходу:
Если используется шифрование на уровне диска или раздела (а не шифрование базы данных на уровне файлов, столбцов или полей), чтобы сделать PAN нечитаемым, оно управляется следующим образом:

Логический доступ управляется отдельно и независимо от собственных механизмов аутентификации и контроля доступа операционной системы.
Ключи дешифрования не связаны с учетными записями пользователей.
Факторы аутентификации (пароли, кодовые фразы или криптографические ключи), которые позволяют получить доступ к незашифрованным данным, хранятся надежно

Цель Индивидуального подхода:
Реализации шифрования диска настроены таким образом, чтобы для дешифрования требовалась независимая проверка подлинности и логический контроль доступа.

Примечания по применению:
Реализации шифрования диска или раздела также должны соответствовать всем другим требованиям к шифрованию PCI DSS и управлению ключами.

Определенные Процедуры Тестирования Подхода:

3.5.1.3.a Если для того, чтобы сделать PAN нечитаемым, используется шифрование на уровне диска или раздела, проверьте конфигурацию системы и проследите за процессом аутентификации, чтобы убедиться, что логический доступ реализован в соответствии со всеми элементами, указанными в этом требовании.
3.5.1.3.b Изучите файлы, содержащие факторы аутентификации (пароли, кодовые фразы или криптографические ключи), и опросите персонал, чтобы убедиться, что факторы аутентификации, позволяющие получить доступ к незашифрованным данным, хранятся надежно и не зависят от методов аутентификации и контроля доступа собственной операционной системы.

Цель:
Шифрование на уровне диска обычно шифрует весь диск или раздел с использованием одного и того же ключа, при этом все данные автоматически расшифровываются при запуске системы или по запросу авторизованного пользователя. Многие решения для шифрования дисков перехватывают операции чтения/записи операционной системы и выполняют соответствующие криптографические преобразования без каких-либо специальных действий со стороны пользователя, кроме ввода пароля или ключевой фразы при запуске системы или в начале сеанса. Это не обеспечивает никакой защиты от злоумышленника, которому уже удалось получить доступ к действительной учетной записи пользователя.

Надлежащая практика:
Полное шифрование диска помогает защитить данные в случае физической потери диска, и поэтому его использование лучше всего ограничить только съемными электронными устройствами хранения данных.

Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":

ИАФ.7 ИАФ.7 Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа

Методика экспресс-оценки уровня кибербезопасности организации РезБез:

9.1.1.4.

Обеспечивается безопасность для сетевых соединений (в том числе удаленных) с сотрудниками и третьими лицами (например, с использованием VPN, двухфакторной аутентификации и т. д.)

SWIFT Customer Security Controls Framework v2022:

2 - 2.6 Operator Confidentiality and Integrity

2.6 Operator Session Confidentiality and Integrity

4 - 4.2 Multi-Factor Authentication

4.2 Multi-Factor Authentication

Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":

УПД.2 УПД.2 Реализация политик управления доступа

NIST Cybersecurity Framework (EN):

PR.AC-7 PR.AC-7: Users, devices, and other assets are authenticated (e.g., single-factor, multi-factor) commensurate with the risk of the transaction (e.g., individuals’ security and privacy risks and other organizational risks)

PR.AC-1 PR.AC-1: Identities and credentials are issued, managed, verified, revoked, and audited for authorized devices, users and processes

Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":

УПД.2 УПД.2 Реализация модели управления доступом

УПД.0 УПД.0 Регламентация правил и процедур управления доступом

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.