Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022

A.14.2.3

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений":
ЖЦ.24
ЖЦ.24 Реализация контроля в сегментах разработки и тестирования корректности функционирования систем защиты информации АС после внесения изменений в АС, включая обновления прикладного ПО
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 3 п.п. 9
7.3.9. На стадии эксплуатации АБС должны быть определены, выполняться и регистрироваться процедуры:
  • контроля работоспособности (функционирования, эффективности) реализованных в АБС защитных мер, в том числе контроль реализации организационных защитных мер, контроль состава и параметров настройки применяемых технических защитных мер;
  • контроля отсутствия уязвимостей в оборудовании и программном обеспечении АБС;
  • контроля внесения изменений в параметры настройки АБС и применяемых технических защитных мер;
  • контроля необходимого обновления программного обеспечения АБС, включая программное обеспечение технических защитных мер.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ЦЗИ.14
ЦЗИ.14 Контроль работоспособности (тестирование) и правильности функционирования АС после выполнения обновлений ПО, предусмотренного мерами ЦЗИ.12 и ЦЗИ.13 настоящей таблицы, выполняемого в сегментах разработки и тестирования
NIST Cybersecurity Framework (RU):
PR.IP-3
PR.IP-3: Реализованы процессы контроля изменений конфигурации 
PR.IP-1
PR.IP-1: С учетом соответствующих принципов безопасности (например, концепция минимальной функциональности) создается и поддерживается базовая конфигурация информационных технологий / промышленных систем управления 
PR.IP-12
PR.IP-12: Разработан и внедрен план управления уязвимостями
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ОПО.3 ОПО.3 Тестирование обновлений программного обеспечения
NIST Cybersecurity Framework (EN):
PR.IP-1 PR.IP-1: A baseline configuration of information technology/industrial control systems is created and maintained incorporating security principles (e.g. concept of least functionality)
PR.IP-12 PR.IP-12: A vulnerability management plan is developed and implemented
PR.IP-3 PR.IP-3: Configuration change control processes are in place
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ОПО.3 ОПО.3 Тестирование обновлений программного обеспечения

Связанные защитные меры

Название Дата Влияние
Community
3 17 / 61
Установка обновлений для ОС Linux
Ежемесячно Вручную Техническая Превентивная Компенсирующая
31.05.2022
31.05.2022 3 17 / 61
Цель: устранение технических уязвимостей в операционных системах Linux.
Варианты реализации: вручную или автоматически (например, с использованием unattended-upgrades).

Возможный алгоритм действий:
  1. Установка обновлений на тестовой среде, проверка работоспособности.
  2. Предварительное резервное копирование хостов, по необходимости. Например, для критичных серверов.
  3. Предупреждение владельцев обновляемых активов, планирование и согласование времени проведения обновлений.
  4. Проведение обновления.
  5. Проверка работоспособности обновленной ОС и размещенных на ОС прикладных приложений/систем.
Процедура может быть совмещена с иными профилактическими мероприятиями - контролем установленных средств защиты, проверкой конфигурации на соответствие требованиям безопасности и т.п. 
Инструкции для обновлений от производителей операционных систем: Red Hat EL, Ubuntu, Debian.
Команды для обновления приложений в Ubuntu:
  • Получение актуальных версий пакетов sudo apt update
  • Вывод списка затрагиваемых пакетов apt list --upgradable
  • Выполнение обновления всех пакетов sudo apt upgrade или sudo apt full-upgrade
    • upgrade - устанавливает самые новые версии всех пакетов доступные в репозиториях. Использует все репозитории их /etc/apt/souces.list и /etc/apt/souces.list.d/*. Происходит обновление только установленных пакетов, если же для обновления пакета необходимо установить или удалить другой пакет, такие пакеты обновлены не будут.
    • full-upgrade - поддерживается умное разрешение зависимостей для новых версий пакетов, конфликтующие пакеты могут быть удалены, а новые, дополнительные - установлены.
Рекомендации к заполнению карточки:
  • Описать политику установки обновлений (объем устанавливаемых обновлений, режим/процедуру установки). В карточке или как ссылку на внешний документ.
  • Если обновления устанавливаются вручную - создать шаблон регулярной задачи на проведение обновлений.
Community
18 10 / 89
Настройка безопасной конфигурации для серверов ОС Linux
Разово Вручную Техническая Превентивная
16.05.2022
16.05.2022 18 10 / 89
Цель: сокращение поверхности атаки.
Часть общего процесса управления безопасностью конфигураций (Hardening).

Общий алгоритм:
  1. Определить, задокументировать требования к безопасности конфигурации.
  2. Применить безопасную конфигурацию на существующих хостах.
  3. Применять безопасную конфигурацию на новых хостах в рамках процесса их ввода в эксплуатацию.
  4. Регулярно проверять конфигурацию хостов на соответствие установленным требованиям.
Источником для формирования требований к безопасности конфигурации служат:
Документирование требований осуществляется в зависимости от принятых подходов в организации.
Вариант реализации: описать требования в карточке защитной меры. Пример документа

Отклонения от выбранной конфигурации документируются вместе с обоснованием и применяемыми компенсирующими мерами.
Вариант реализации: вести учет отклонений в заметках к карточкам активов (хостов) либо защитной мере.

Минимальные требования к безопасной конфигурации:
  • Изменить пароли по умолчанию.
  • Настроить SSH 
  • Настроить сложность паролей
  • Настроить смену (жизненный цикл) паролей 
  • Настроить политику аутентификации
  • Отключить или удалить ненужные учетные записи пользователей
  • Отключить или ограничить ненужные службы, порты и протоколы
  • Удалить ненужное программное обеспечение
  • При необходимости ограничить физические порты
  • Настроить баннеры при входе
В зависимости от выстроенной в компании инфраструктуры к требованиям безопасности конфигурации могут быть отнесены:
  • Подключение хоста к корпоративной системе мониторинга
  • Настройка передачи логов на централизованный сервер (nxlog, SEM / SIEM) 
  • Конфигурация NTP и часового пояса
Настройка может осуществляться вручную, скриптами или с использованием централизованных систем управления конфигурацией (например, Ansible).

Контроль конфигурации может осуществляться скриптами, системами контроля конфигураций, сканерами уязвимостей с соответствующим модулем контроля конфигураций.

Показателем эффективности процесса может являться: 
- общий процент соответствия требованиям (суммарно по всем хостам), 
- процент хостов, соответствующих требованиям.

Рекомендации к заполнению карточки:
  • Каждый из этапов процесса (определение требований, первичная настройка, ввод в эксплуатацию новых хостов, контроль соответствия) может быть описан отдельной защитной мерой.
  • Описать принятый в компании перечень требований к безопасности конфигурации.
  • Если для приведения в соответствие и/или контроля конфигураций используется ПО - зарегистрировать его в реестре активов и привязать к мере как инструмент
  • Если ведется учет (реестр) скриптов - привязать использующиеся скрипты как инструмент 
  • Добавить шаблон регулярной задачи по проверке конфигураций.
  • Добавить шаблон регулярной задачи на пересмотр/актуализацию набора требований безопасности
Community
1 3 / 18
Отключение Cisco Smart Install
Разово Вручную Техническая Превентивная Компенсирующая
09.03.2022
09.03.2022 1 3 / 18
Цель: снижение последствий от санкционных действий производителя (Cisco).

Проверка наличия smartinstall
1. Заходим на оборудование, вводим команду - "show vstack config"
 #show vstack config
Role: Client (SmartInstall disabled) <- компонент выключен никаких действия не требуется
Role: Not Director (SmartInstall enabled) <- компонент включен
 Vstack Director IP address: 0.0.0.0
 *** Following configurations will be effective only on director ***
Vstack default management vlan: 1
Vstack start-up management vlan: 1
Vstack management Vlans: none
Join Window Details:
Window: Open (default)
Operation Mode: auto (default)
Vstack Backup Details:
Mode: On (default)
Repository:

2. Если компонент включен, для его отключения:
  • Заходим в конфигурацию "conf t"
  • Вводим команду "no vstack"
  • Проверяем "show vstack config"
3. Если коммутатор не применяет команду "no vstack" требуется на vlan управления применить ACL
3.1. создаем ACL
Заходим в конфигурацию "conf t"
ip access-list extended SMI_HARDENING_LIST
deny tcp any any eq 4786
permit ip any any
exit
3.2 применяем на vlan управления
int vlan 11 – номер vlan управления
ip access-group SMI_HARDENING_LIST in
exit

Проверка лицензий
4. Выполнить команду (если такой команды нет, то переходим к п.5)
#show license status
Smart Licensing is ENABLED <- если DISABLED то никаких действия не требуется
Registration:
Status: REGISTERED
Smart Account: XXXXX
Virtual Account: DEFAULT
Export-Controlled Functionality: NOT ALLOWED
Initial Registration: SUCCEEDED on Nov 13 09:12:34 NNNN MSK
Last Renewal Attempt: SUCCEEDED on Nov 02 09:15:07 NNNN MSK
Next Renewal Attempt: May 01 09:15:05 NNNN MSK
Registration Expires: Nov 02 09:10:04 NNNN MSK
License Authorization:
Status: OUT OF COMPLIANCE on Nov 13 09:12:45 NNNN MSK
Last Communication Attempt: PENDING on Mar 04 15:58:19 2022 MSK
Failure reason: Waiting for reply
Next Communication Attempt: Mar 04 16:14:04 2022 MSK
Communication Deadline: May 06 01:36:48 2022 MSK
 

5. Выполнить команду (если такой команды нет, никаких действия не требуется)
#show call-home
Current call home settings:
call home feature : enable              <- включен call-home
call home message's from address: Not yet set up
call home message's reply-to address: Not yet set up
 
vrf for call-home messages: Not yet set up
contact person's email address: NNNN
contact person's phone number: Not yet set up
street address: Not yet set up
customer ID: Not yet set up
contract ID: Not yet set up
site ID: Not yet set up
 
source ip address: Not yet set up
source interface: Not yet set up
Mail-server: XXXXXXXXXXXXXXXXXXX
http proxy: XXXXXXXXXXXXXXXXXX
http secure:
server identity check: enabled
http resolve-hostname: default

Smart licensing messages: enabled
Profile: CiscoTAC-1 (status: ACTIVE)

6. Проверить конфигурацию call-home (имя профиля, email даны для примера)
#show run | beg ^call-home
call-home
contact-email-addr cisco_support@rt.ru
profile "CiscoTAC-1"
active
destination transport-method http
no destination transport-method email

7. При необходимости - заблокировать, например так
conf t
call-home
http-proxy "127.0.0.10" port 8128
profile "CiscoTAC-1"
destination transport-method http
no destination transport-method email
end
wr mem

Community
3 3 / 48
Приведение конфигурации IP телефонов в соответствие требованиям безопасности
Ежегодно Вручную Техническая Превентивная
29.07.2021
29.07.2021 3 3 / 48
Цель: защита IP телефонов от несанкционированного доступа и эксплуатации.

Пример требований безопасности к конфигурации IP телефонов:
  1. Смена пароля для учетной записи администратора
  2. Обновление прошивки IP телефонов до крайней стабильной версии
  3. Отключение неиспользуемых/небезопасных портов/протоколов
    1. HTTP (порт 80)
    2. Telnet (порт 23)
    3. VxWorks debugger (порт 17185) 
  4. Настройка встроенного межсетевого экрана
Отключение портов/протоколов осуществляется или соответствующими пунктами меню (например у Yealink) или через настройку встроенного межсетевого экрана (например у D-Link).

Инструкция к регулярной задаче
  1. Найти в локальной сети все IP телефоны
    Для поиска IP телефонов можно использовать nmap с такими параметрами: nmap -p 5060,5061 --open 192.168.1.0/24
  2. Проверить текущие настройки и версию прошивки.
  3. Если требуется - провести настройку в соответствии с установленными требованиями
Рекомендации к заполнению карточки:
  • Описать требования к безопасной конфигурации
  • Добавить в заметки к мере Инструкции по настройке IP телефонов различного типа
  • Добавить шаблон регулярной задачи по проверке и настройке конфигурации IP телефонов;