Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022

A.13.1.2

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 4 п.п. 5
7.4.5. В организации БС РФ необходимо определить и контролировать выполнение требований:
  • к разделению сегментов вычислительных сетей, в том числе создаваемых с использованием технологии виртуализации;
  • к межсетевому экранированию;
  • к информационному взаимодействию между сегментами вычислительных сетей.
Разделение сегментов вычислительных сетей следует осуществлять с целью обеспечения независимого выполнения банковских платежных технологических процессов организации БС РФ, а также банковских информационных технологических процессов организации БС РФ разной степени критичности, в том числе банковских информационных технологических процессов, в рамках которых осуществляется обработка персональных данных в ИСПДн.
В документах БС РФ должны быть регламентированы и контролироваться процедуры внесения изменений в конфигурацию сетевого оборудования, предусматривающие согласование вносимых изменений со службой ИБ. Работникам службы ИБ рекомендуется предоставлять доступ к конфигурации сетевого оборудования без возможности внесения изменений.
NIST Cybersecurity Framework (RU):
DE.AE-1
DE.AE-1: Для пользователей и систем устанавливается и управляется базовый уровень сетевых операций и ожидаемых потоков данных  
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ОДТ.2 ОДТ.2 Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 13.3 CSC 13.3 Monitor and Block Unauthorized Network Traffic
Deploy an automated tool on network perimeters that monitors for unauthorized transfer of sensitive information and blocks such transfers while alerting information security professionals.
CSC 12.4 CSC 12.4 Deny Communication Over Unauthorized Ports
Deny communication over unauthorized TCP or UDP ports or application traffic to ensure that only authorized protocols are allowed to cross the network boundary in or out of the network at each of the organization's network boundaries.
CSC 9.1 CSC 9.1 Associate Active Ports, Services, and Protocols to Asset Inventory
Associate active ports, services, and protocols to the hardware assets in the asset inventory.
CSC 18.10 CSC 18.10 Deploy Web Application Firewalls
Protect web applications by deploying web application firewalls (WAFs) that inspect all traffic flowing to the web application for common web application attacks. For applications that are not web-based, specific application firewalls should be deployed if such tools are available for the given application type. If the traffic is encrypted, the device should either sit behind the encryption or be capable of decrypting the traffic prior to analysis. If neither option is appropriate, a host-based web application firewall should be deployed.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ОДТ.2 ОДТ.2 Резервирование технических средств, программного обеспечения, каналов передачи информации, средств обеспечения функционирования информационной системы
NIST Cybersecurity Framework (EN):
DE.AE-1 DE.AE-1: A baseline of network operations and expected data flows for users and systems is established and managed

Связанные защитные меры

Название Дата Влияние
Community
9 25 / 45
Выделение ключевых систем в отдельную сеть (сегментация сети)
Разово Вручную Техническая Превентивная
03.05.2022
03.05.2022 9 25 / 45
Цель: защита ключевых активов от несанкционированного доступа на сетевом уровне.

Размещение ключевых систем в отдельных безопасных зонах / контурах безопасности и ограничение доступа в эти выделенные сегменты позволяет защитить наиболее критичные системы в случае компрометации основных сегментов сети компании.
В зависимости от особенностей компании в отдельные сегменты выделяют:
  • Технологические, производственные сети
  • Банковские системы
  • Инфраструктуру SWIFT
  • ПК руководства
  • Ключевые бизнес-системы
  • Системы персональных данных
Способы сегментации: 
  • Логический, с помощью технологий VLAN на сетевом оборудовании
  • Логический, на уровне управления виртуальной инфраструктурой
  • Физический, путем создания отдельных ЛВС для ключевых сегментов
Сегментирование предполагает ограничение/контроль доступа между сегментами на базовом уровне. Использование расширенного контроля средствами межсетевого экранирования выделено в отдельную защитную меру.

Рекомендации к заполнению карточки:
  • Указать перечень сегментов и их назначение 
  • Пояснить способы/технологии сегментации
  • Описать как настроено ограничение доступа (ACL)
  • Если сети учитываются в реестре активов - привязать их к карточке в качестве инструментов (тип актива Локальная сеть).
Community
1 9 / 51
Блокировка доступа к несанкционированным сетевым папкам в локальной сети
Постоянно Автоматически Техническая Превентивная
12.11.2021
12.11.2021 1 9 / 51
Цель: 
  • сокращение каналов утечки информации
  • уменьшение возможностей для горизонтального перемещения в локальной сети;
  • снизить возможность загрузки ВПО с несанкционированной общей сетевой папки SMB;
  • противодействие атакам на перехват сессии и кражу паролей (SCF File Attacks).
На уровне источника (ПК и серверы) нужно ограничить исходящие соединения к сетевым папкам (SMB shared folder), оставив доступ только к списку легитимных сетевых папок.
Варианты реализации:
  • Локальный межсетевой экран
  • DLP с функцией контроля SMB протокола, например КИБ SearchInform
Общий алгоритм действий
  1. Определить перечень легальных SMB шар и узлов, к которым необходимо подключаться по SMB
  2. Настроить белый список на локальных СЗИ
  3. Включить блокировку 
Важно: SMB один из ключевых протоколов для локального взаимодействия в доменной инфраструктуре. Перед включением блокировки необходимо провести тщательный аудит всех информационных потоков по протоколу SMB.

Рекомендации к заполнению карточки:
  • Описать в карточке общую политику в отношении сетевых файловых ресурсов,
  • Средство защиты, которым осуществляется блокировка, присоединить к карточке как Инструмент,
  • Добавить Инструкцию (например, в заметках к мере) по добавлению/исключению каталогов из доступа 
  • Если ведется учет (реестр) сетевых файловых ресурсов - вести его в разделе Объекты файловой системы \ Файлы и папки 
  • Создать шаблон регулярной задачи на актуализацию списка общих сетевых папок и прав.
Community
1 3 / 22
Ограничение (блокировка) доступа к некорпоративным облачным сервисам
Постоянно Автоматически Техническая Превентивная
09.11.2021
09.11.2021 1 3 / 22
Цель: сокращение каналов утечки информации.

Возможные инструменты для реализации меры:
  • Межсетевой экран с функциями HTTPS inspection и Application Control;
  • Любое Endpoint protection ПО с функцией ограничения доступа в интернет;
  • Брокер безопасного доступа в облако (CASB).
В зависимости от политики организации и возможностей средств защиты ограничение может быть полным или частичным: 
  • ко всем или к части облачных сервисов;
  • для всех или для части узлов инфраструктуры;
  • полностью на доступ или только на запись.
Альтернативная защитная мера: Обнаружение записи рабочей информации в некорпоративные облачные сервисы

Рекомендации к заполнению карточки:
  • Описать политику ограничений (белый/черный список облачных сервисов, матрицу доступа);
  • Описать используемые параметры средства защиты;
  • Добавить шаблон формы допуска, инструкцию по предоставлению доступа к облачным сервисам.
Community
1 3 / 22
Обнаружение записи рабочей информации в некорпоративные облачные сервисы
По событию Автоматически Техническая
09.11.2021
09.11.2021 1 3 / 22
Цель: предотвращение утечки конфиденциальной информации при работе с общедоступными облачными сервисами.

В компании может быть разрешено использование некорпоративных облачных сервисов (например, облачного хранилища Google Диск или Яндекс Диск), при этом вестись протоколирование и аудит записываемой в облачные хранилища информации.

Варианты реализации:
  • Система обнаружения утечек информации (DLP)
  • Межсетевой экран с функциями HTTPS inspection, Application Control и DLP
  • Брокер безопасного доступа в облако (CASB)
В дополнение к данной мере в компании должна быть определена политика в отношении использования облачных сервисов.
Альтернативная защитная мера: полная или частичная блокировка доступа к некорпоративным облачным сервисам.

Рекомендации к заполнению карточки:
  • Описать политику ипользования некорпоративных облачных сервисов;
  • Добавить шаблон регулярной задачи по анализу журналов средств защиты;
  • Добавить шаблон регулярной задачи по поиску конфиденциальной информации на общедоступных облачных сервисах.