Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022

Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А

A.12.5.1

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

CIS Critical Security Controls v8 (The 18 CIS CSC):

9.1

9.1 Ensure Use of Only Fully Supported Browsers and Email Clients
Ensure only fully supported browsers and email clients are allowed to execute in the enterprise, only using the latest version of browsers and email clients provided through the vendor.

9.4

9.4 Restrict Unnecessary or Unauthorized Browser and Email Client Extensions
Restrict, either through uninstalling or disabling, any unauthorized or unnecessary browser or email client plugins, extensions, and add-on applications.

NIST Cybersecurity Framework (RU):

PR.DS-6

PR.DS-6: Механизмы проверки целостности используются для проверки программного обеспечения, встроенного программного обеспечения и целостности информации.

PR.IP-3

PR.IP-3: Реализованы процессы контроля изменений конфигурации

PR.IP-1

PR.IP-1: С учетом соответствующих принципов безопасности (например, концепция минимальной функциональности) создается и поддерживается базовая конфигурация информационных технологий / промышленных систем управления

DE.CM-5

DE.CM-5: Обнаруживается неавторизованный мобильный код

ID.AM-2

ID.AM-2: В организации инвентаризированы программные платформы и приложения

Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":

АНЗ.2 АНЗ.2 Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации

ОПС.2 ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, контроль за установкой компонентов программного обеспечения

ОПС.3 ОПС.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов

ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":

УИ.23.3

УИ.23.3 Обеспечение корректного применения обновлений (исправлений), включая предварительный и последующий контроль их применения (например, согласно принципу «четырех глаз»);

Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):

9.1

9.1 Реализовано использование браузеров и почтовых клиентов только с полной поддержкой разработчика
Использовать только браузеры и почтовые клиенты последних версий с полной поддержкой вендора.

9.4

9.4 Ограничено применение неиспользуемых или неавторизованных расширений браузера и почтовых клиентов
Запрещать неавторизованные расширения браузера и почтовых клиентов

CIS Critical Security Controls v7.1 (SANS Top 20):

CSC 7.2 CSC 7.2 Disable Unnecessary or Unauthorized Browser or Email Client Plugins
Uninstall or disable any unauthorized browser or email client plugins or add-on applications.

CSC 5.4 CSC 5.4 Deploy System Configuration Management Tools
Deploy system configuration management tools that will automatically enforce and redeploy configuration settings to systems at regularly scheduled intervals.

CSC 2.10 CSC 2.10 Physically or Logically Segregate High Risk Applications
Physically or logically segregated systems should be used to isolate and run software that is required for business operations but incurs higher risk for the organization.

CSC 7.1 CSC 7.1 Ensure Use of Only Fully Supported Browsers and Email Clients
Ensure that only fully supported web browsers and email clients are allowed to execute in the organization, ideally only using the latest version of the browsers and email clients provided by the vendor.

Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":

Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":

А.8.19

А.8.19 Установка программного обеспечения
Должны быть реализованы процедуры и меры безопасного управления установкой программного обеспечения в операционных системах.

SWIFT Customer Security Controls Framework v2022:

6 - 6.3 Database Integrity

6.3 Database Integrity

6 - 6.2 Software Integrity

6.2 Software Integrity

Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":

ОПС.2 ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения

УКФ.3 УКФ.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения

NIST Cybersecurity Framework (EN):

PR.IP-1 PR.IP-1: A baseline configuration of information technology/industrial control systems is created and maintained incorporating security principles (e.g. concept of least functionality)

DE.CM-5 DE.CM-5: Unauthorized mobile code is detected

ID.AM-2 ID.AM-2: Software platforms and applications within the organization are inventoried

PR.DS-6 PR.DS-6: Integrity checking mechanisms are used to verify software, firmware, and information integrity

PR.IP-3 PR.IP-3: Configuration change control processes are in place

Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":

ОПС.2 ОПС.2 Управление установкой (инсталляцией) компонентов программного обеспечения

УКФ.3 УКФ.3 Установка (инсталляция) только разрешенного к использованию программного обеспечения

ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":

12.5.1

12.5.1 Установка программного обеспечения в эксплуатируемых системах

Мера обеспечения ИБ

Должны быть реализованы процедуры контроля установки программного обеспечения в системах, находящихся в эксплуатации.

Руководство по применению

Необходимо принять во внимание следующие рекомендации по управлению изменениями программного обеспечения в эксплуатируемых системах:

a) обновление эксплуатируемого программного обеспечения, приложений и программных библиотек должны выполнять только обученные администраторы при наличии соответствующего разрешения руководства (см. 9.4.5);
b) эксплуатируемые системы должны содержать только утвержденный исполняемый код и не должны содержать разрабатываемые коды или компиляторы;
c) программное обеспечение и приложения следует внедрять в эксплуатируемую систему только после обширного и успешного тестирования; тесты должны охватывать удобство использования, безопасность, влияние на другие системы, дружелюбность интерфейса и должны проводиться на выделенных для этого системах (см. 12.1.4); следует убедиться, что все соответствующие исходные программные библиотеки были обновлены;
d) должна использоваться система управления конфигурацией для контроля над всем внедренным программным обеспечением и системной документацией;
e) перед внедрением изменений должна быть разработана стратегия возврата в исходное состояние;
f) следует вести журнал всех обновлений действующих программных библиотек;
g) предыдущие версии прикладного программного обеспечения следует сохранять в качестве меры на случай непредвиденных обстоятельств;
h) старые версии программного обеспечения должны быть заархивированы вместе со всей необходимой информацией и параметрами, процедурами, деталями настройки и вспомогательным программным обеспечением на тот же срок, что и данные.

Поставляемое программное обеспечение, используемое в эксплуатируемых системах, должно поддерживаться на уровне, обеспечиваемом поставщиком. Со временем поставщики программного обеспечения перестанут поддерживать более старые версии программного обеспечения. Организация должна учитывать риски, связанные с использованием неподдерживаемого программного обеспечения.

Любое решение об обновлении до новой версии должно учитывать требования бизнеса по изменению и безопасности новой версии, например введение нового функционала, связанного с ИБ, или количество и серьезность проблем безопасности, связанных с этой версией. Пакеты исправлений программного обеспечения должны применяться тогда, когда они могут помочь устранить или снизить уязвимости ИБ (см. 12.6).

Физический или логический доступ должен предоставляться поставщикам только когда это необходимо для целей поддержки и с одобрения руководства. Действия поставщика следует контролировать (см. 15.2.1).

Компьютерное программное обеспечение может зависеть от поставляемого внешнего программного обеспечения и модулей, которые должны быть контролируемы и управляемы во избежание несанкционированных изменений, которые могут привести к уязвимостям в безопасности.

Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":

А.8.19

А.8.19 Installation of software on operational systems
Procedures and measures shall be implemented to securely manage software installation on operational systems.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.