Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022

A.14.2.9

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений":
ЖЦ.14
ЖЦ.14 Реализация контроля защищенности АС, включающего (по решению финансовой организации при модернизации АС проводится контроль защищенности только элементов информационной инфраструктуры, подвергнутых модернизации): - тестирование на проникновение; - анализ уязвимостей системы защиты информации АС и информационной инфраструктуры промышленной среды
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ОПО.3 ОПО.3 Тестирование обновлений программного обеспечения
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ОПО.3 ОПО.3 Тестирование обновлений программного обеспечения

Связанные защитные меры

Название Дата Влияние
Community
3 17 / 44
Установка обновлений для ОС Linux
Ежемесячно Вручную Техническая Превентивная Компенсирующая
31.05.2022
31.05.2022 3 17 / 44
Цель: устранение технических уязвимостей в операционных системах Linux.
Варианты реализации: вручную или автоматически (например, с использованием unattended-upgrades).

Возможный алгоритм действий:
  1. Установка обновлений на тестовой среде, проверка работоспособности.
  2. Предварительное резервное копирование хостов, по необходимости. Например, для критичных серверов.
  3. Предупреждение владельцев обновляемых активов, планирование и согласование времени проведения обновлений.
  4. Проведение обновления.
  5. Проверка работоспособности обновленной ОС и размещенных на ОС прикладных приложений/систем.
Процедура может быть совмещена с иными профилактическими мероприятиями - контролем установленных средств защиты, проверкой конфигурации на соответствие требованиям безопасности и т.п. 
Инструкции для обновлений от производителей операционных систем: Red Hat EL, Ubuntu, Debian.
Команды для обновления приложений в Ubuntu:
  • Получение актуальных версий пакетов sudo apt update
  • Вывод списка затрагиваемых пакетов apt list --upgradable
  • Выполнение обновления всех пакетов sudo apt upgrade или sudo apt full-upgrade
    • upgrade - устанавливает самые новые версии всех пакетов доступные в репозиториях. Использует все репозитории их /etc/apt/souces.list и /etc/apt/souces.list.d/*. Происходит обновление только установленных пакетов, если же для обновления пакета необходимо установить или удалить другой пакет, такие пакеты обновлены не будут.
    • full-upgrade - поддерживается умное разрешение зависимостей для новых версий пакетов, конфликтующие пакеты могут быть удалены, а новые, дополнительные - установлены.
Рекомендации к заполнению карточки:
  • Описать политику установки обновлений (объем устанавливаемых обновлений, режим/процедуру установки). В карточке или как ссылку на внешний документ.
  • Если обновления устанавливаются вручную - создать шаблон регулярной задачи на проведение обновлений.
Community
1 28 / 50
Сканирование внешнего сетевого периметра на наличие уязвимостей
Еженедельно Автоматически Техническая Детективная
11.02.2022
11.02.2022 1 28 / 50
Цель: управление техническими уязвимостями
Регулярное сканирование всех публичных IP адресов компании сканером уязвимостей. Сканирование проводится из Интернета (из вне инфраструктуры).
Варианты реализации
  1. Купить соответствующую услугу у компании, занимающейся информационной безопасностью
  2. Развернуть собственный экземпляр сканера уязвимостей (или его агент) на внешних, облачных серверах
  3. Купить подписку на облачный сканер уязвимостей
  4. Воспользоваться бесплатными инструментами
    Например: Сканер уязвимостей Qualys Community Edition позволяет проводить регулярное полноценное сканирование ограниченного количества публичных IP адресов
Результаты сканирования могут загружаться в SECURITM (модуль VM) и обрабатываться в рамках процесса управления техническими уязвимостями.

Рекомендации к заполнению карточки:
  • Указать название сканера, область и периодичность сканирования.
  • Сканер (актив) привязать к карточке как инструмент
  • Если ведётся реестр публичных адресов - привязать адреса к карточке как инструмент.
  • Если сканирование запускается вручную - создать в карточке шаблон задачи на проведение регулярного сканирования