Соответствие требованиям

Куда я попал?

SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Подробнее

Наш канал

Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022

A.13.1

Для проведения оценки соответствия по документу войдите в систему.

Показывать только требования

А.13.1 Менеджмент безопасности сетей
Цель: обеспечить защиту информации в сетях и в образующих их средствах обработки информации

A.13.1.1 Меры обеспечения информационной безопасности для сетей
Мера обеспечения информационной безопасности: Сети должны управляться и контролироваться для обеспечения защиты информации систем и приложений

A.13.1.2 Безопасность сетевых сервисов
Мера обеспечения информационной безопасности: Механизмы обеспечения безопасности, уровни обслуживания и требования к управлению для всех сетевых сервисов должны быть идентифицированы и включены в соглашения по сетевым сервисам независимо от того, будут ли они обеспечиваться силами организации или осуществляться с использованием аутсорсинга

A.13.1.3 Разделение в сетях
Мера обеспечения информационной безопасности: Группы информационных сервисов, пользователей и информационных систем в сети должны быть разделены

Связанные защитные меры

	Название	Дата	Влияние
Community 3 11 / 53	Выделение периферийного оборудования и IP телефонов в отдельную сеть (сегментация сети) Разово Вручную Техническая 29.07.2021	29.07.2021	3 11 / 53
Цель: защита ключевых активов от несанкционированного доступа на сетевом уровне со стороны периферийного оборудования и IP телефонов. К периферийному оборудованию могут относятся принтеры, сканеры, IP телефоны и иные устройства подключаемые к локальной сети компании. Обязательным условием сегментации является ограничение доступа в выделенный сегмент и из него. Пример политики ограничения доступа к сегменту периферийного оборудования: доступом к выделенному сегменту могут обладать только серверы управления (сервер IP телефонии, сервер печати). Доступ из выделенного сегмента возможен также только к серверам управления. Доступ к локальным сетям с рабочими станциями и доступ в интернет заблокированы. Часто мера в части ограничения доступа сложно реализуема. Например если подключение рабочих станций к принтерам осуществляется по сети напрямую а не через сервер печати. Или если IP телефон подключен в одну сетевую розетку с рабочей станцией. В таких случаях следует настроить более широкие права доступа к сегменту и из него. Реализация: настройкой сетевого оборудования (VLAN). После реализации защитной меры следует внедрить меру по регулярному поиску периферийных устройств в локальных сетях, с целью их переноса в выделенный сегмент. *Рекомендации к заполнению карточки:* Указать перечень сегментов и их назначение Описать способы/технологии сегментации Описать как настроено ограничение доступа (ACL) Если сети учитываются в реестре активов - привязать их к карточке в качестве инструментов (тип актива Локальная сеть).