Jet Container Security Framework (JCSF)

Описание JCSF

При обеспечении безопасности контейнеров на протяжении всего их жизненного цикла часто возникает вопрос «А что действительно нужно делать вначале и что можно сделать чуть позже?». Ведь если сделать “всю безопасность” сразу, то ничего работать не будет вообще :)

Поэтому мы предлагаем смотреть на безопасность контейнерной инфраструктуры и жизненный цикл контейнеров через 5 абстракций (ДОМЕНОВ):

Безопасность узлов (nodes);
Безопасность оркестратора (orchestrator);
Безопасность образов (images);
Безопасность манифестов (manifests);
Безопасность контейнеров в рантайм (container).

В каждом домене нужно выполнять определенный набор действий (контролей). Некоторые из контролей (например, управление событиями безопасности или управление секретами) могут выполняться в нескольких доменах (но разными способами и\или инструментами).

В свою очередь, каждый из контролей состоит из набора практик (задач), которые необходимо выполнять на том или ином этапе зрелости компании (и процессов защиты контейнерной инфраструктуры).

Для определения уровня зрелости в рамках домена, используются уровни зрелости JCSF:

Uninitiated - L0;
Beginners - L1;
Intermediate - L2;
Advanced - L3;
Experts - L4

Необязательное требование

Графические результаты

Для визуализации получаемых в результате аудита (или самооценки компании) контейнерной инфраструктуры мы добавили лист “Результаты”, где на лепестковой диаграмме отображаются “успехи” по каждому домену.

На каждом листе, содержащем в названии “sec” сгруппированы практики по уровням зрелости (по аналогии с большинством общеизвестных фреймворков):

Уровень 0: Uninitiated

На этом уровне компания не имеет никаких формализованных процессов или инструментов контейнерной безопасности. Практики могут использоваться случайным образом по инициативе отдельных работников.

Уровень 1: Beginners

На этом уровне зрелости практик в компании начинают появляются инструменты, используемые при защите контейнеров с минимальной зоной покрытия и без автоматизации. Появляются базовые процессы.

Уровень 2: Intermediate

Процессы на этом уровне становятся повторяемыми и управляемыми, происходит расширение зоны покрытия используемых инструментов, внедрение автоматизации. Компания начинает применять методики для планирования, выполнения и отслеживания активностей. Однако эти методики могут быть не всегда последовательными или полностью документированными. Инструменты по прежнему не покрывают весь процесс защиты контейнеров.

Уровень 3: Advanced

На данном уровне фактически инструменты контейнерной безопасности обеспечивают максимальное покрытие и автоматизацию. Все процессы являются последовательными и полностью документированными

Уровень 4: Experts

Когда все процессы и инструменты развиты максимально, нет предела совершенству. Можно по прежнему что-то улучшить и повысить зрелость.

Безопасность запущенных контейнеров (Containers)

CONT-1-1: Используются профили по умолчанию Secomp
Классификация: Харденинг | Уровень критичности: Высокий | Вес критерия: 5

Обязательно для уровня зрелости 1

CONT-1-2: Ограничиваются вычислительные ресурсы работающего контейнера
Классификация: Контроль ресурсов | Уровень критичности: Высокий | Вес критерия: 5

Обязательно для уровня зрелости 1

CONT-2-1: Используются сетевые политики для разграничения доступа между неймспейсами
Классификация: Сетевая безопасность | Уровень критичности: Высокий | Вес критерия: 5

Обязательно для уровня зрелости 1 2

CONT-2-2: Настроены и используются L7 сетевые политики контроля трафика в режиме мониторинга
Классификация: Сетевая безопасность | Уровень критичности: Средний | Вес критерия: 3

Обязательно для уровня зрелости 1 2

CONT-2-3: Осуществляется мониторинг запускаемых процессов в контейнерах. Используются правила по умолчанию
Классификация: События ИБ | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2

CONT-3-1: Используются сетевые политики для разграничения доступа между микросервисами
Классификация: Сетевая безопасность | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2 3

CONT-3-2: Настроены и используются L7 сетевые политики контроля трафика в режиме Block
Классификация: Сетевая безопасность | Вес критерия: Средний | Уровень критичности: 3

Необязательное требование

CONT-3-3: Используются кастомизированные политики Runtime для сред контейнеризации, как минимум уровня всего кластера
Классификация: Харденинг | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2 3

CONT-3-4: Используются профили seccomp, кастомизированные под микросервисы
Классификация: Контроль ресурсов | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2 3

CONT-3-5: Используется мониторинг аномалий для запущенных контейнеров
Классификация: События ИБ | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2 3

CONT-4-1: Настроены и используются кастомизированные Runtime политики для отдельных контейнерных приложений в режиме block
Классификация: Контроль ресурсов | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2 3 4

Безопасность используемых образов (Images)

IMG-1-1: В собранных образах не должны храниться секреты
Классификация: Защита секретов | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

IMG-1-2: Контейнеры запускаются из образов, хранящихся в локальных репозиториях
Классификация: Контроль репозиториев | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

IMG-1-3: Выполняется сканирование образов контейнеров. Запуск сканирования происходит в ручном режиме
Классификация: Сканирование образов контейнеров | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

IMG-1-4: Осуществляется мультиуровневая сборка для минимизации размера образа и его функционала
Классификация: Харденинг | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

IMG-1-5: Осуществляется сканирование Docker файлов на недостатки конфигурации ИБ
Классификация: Сканирование Docker файлов | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

IMG-2-1: Образы контейнеров не должны содержать уязвимостей, которые возможно проэксплуатировать
Классификация: Сканирование образов контейнеров | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2

IMG-2-2: Выполняется сканирование образов контейнеров в CI/CD на наличие уязвимостей
Классификация: Сканирование образов контейнеров | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2

IMG-2-3: При обнаружении дефектов ИБ в образах контейнеров автоматизированно создаются задачи на их устранение в тикет-системе
Классификация: Сканирование образов контейнеров | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2

IMG-3-1: Для собираемых образов генерируется SBOM
Классификация: SBOM | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2 3

IMG-3-2: На образы регулярно устанавливаются обновления (обновляются базовые образы)
Классификация: Обновление ПО | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2 3

IMG-3-3: Собираемые образы подписываются электронной подписью при сборке, а также осуществляется их проверка
Классификация: Харденинг | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2 3

IMG-3-4: Выполняется периодическое сканирование образов контейнеров, размещенных во внутренних репозиториях, на наличие уязвимостей
Классификация: Сканирование образов контейнеров | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2 3

IMG-4-1: Должны использоваться образы, содержащие минимальный функционал (distroless)
Классификация: Харденинг | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2 3 4

IMG-4-2: Сборки в CI/CD блокируются при найденных уязвимостях в образах контейнеров по договоренности между ИБ и разработчиками
Классификация: Сканирование образов контейнеров | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2 3 4

Безопасность манифестов (Manifests)

MAN-1-1: В манифестах не должны использоваться секреты в открытом виде
Классификация: Защита секретов | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

MAN-1-2: В конфигурациях deployments/replicasets/pods/daemonsets/statefulsets для контейнеров не используется флаг privileged
Классификация: Привилегии контейнера | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

MAN-1-3: В конфигурациях deployments/replicasets/pods/daemonsets/statefulsets для контейнеров не используется hostnetwork
Классификация: Сетевая безопасность | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1

MAN-1-3: В конфигурациях deployments/replicasets/pods/daemonsets/statefulset для контейнеров не используются флаги allowPrivilegeEscalation или capabilities CAP_SYS_ADMIN
Классификация: Привилегии контейнера | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

MAN-2-1: В конфигурациях deployments/replicasets/pods/daemonsets/statefulsets используются проверки доступности приложений
Классификация: Проверка доступа | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2

MAN-2-2: В конфигурациях deployments/replicasets/pods/daemonsets/statefulsets для контейнеров не используют volume типа hostpath
Классификация: Подключение томов | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2

MAN-2-3: Используются Policy engine или Admission controller, позволяющие контролировать конфигурацию запускаемых микросервисов
Классификация: Контроль манифестов | Вес критерия: Высокий| Уровень критичности: 5

Обязательно для уровня зрелости 1 2

MAN-2-4: Не должны использоваться образы с тегом latest
Классификация: Образы в манифестах | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2

MAN-3-1: В конфигурациях deployments/replicasets/pods/daemonsets/statefulsets используются определения вычислительных ресурсов, которые могут быть использованы приложениями (limits and requests)
Классификация: Контроль ресурсов | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2 3

MAN-3-2: Процесс настройки параметров безопасности регламентирован, используются базовые стандарты безопасного конфигурирования манифестов
Классификация: Харденинг | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2 3

MAN-3-3: Осуществляется контроль за выполнением команд внутри контейнера от пользователя root
Классификация: Привилегии контейнера | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2 3

MAN-3-4: В конфигурациях deployments/replicasets/pods/daemonsets/statefulsets для контейнеров, используется read only корневая системы (readOnlyRootFilesystem)
Классификация: Привилегии контейнера | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2 3

MAN-4-1: В конфигурациях deployments/replicasets/pods/daemonsets/statefulsets для контейнеров используются профили apparmor
Классификация: Контроль процессов | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2 3 4

Безопасность оркестратора (Orchestrator)

Orch-1-1: Для доступа к kube-apiserver используется аутентификация и авторизация
Классификация: Аутентификация и авторизация | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

Orch-1-2: Для доступа к kube-apiserver не используется базовая аутентификация
Классификация: Аутентификация и авторизация | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

Orch-1-3: УЗ администраторов Kubernetes должны содержать уникальный идентификатор, позволяющий связать администратора с их действиями в среде контейнерной оркестрации
Классификация: Учетные записи | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

Orch-1-4: Для доступа к kube-apiserver используется только защищенное TLS соединение
Классификация: Харденинг | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

Orch-1-5: Для коммуникации между узлами кластера (master, worker, infrastructure) используются только шифрованные соединения TLS
Классификация: Харденинг | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

Orch-1-6: Admission controller AlwaysAdmit не используется
Классификация: Харденинг | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

Orch-1-7: Для доступа kube-apiserver к etcd используется аутентификация через сертификаты
Классификация: Харденинг | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

Orch-1-8: Анонимная аутентификация kubelet отключена
Классификация: Харденинг | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

Orch-1-9: Read-only доступ к kubelet не используется
Классификация: Харденинг | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

Orch-1-10: Для доступа к kubelet используется только шифрованный трафик TLS
Классификация: Харденинг | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

Orch-1-11: Используется webhook авторизация kubelet с использованием сертификата kube-apiserver
Классификация: Харденинг | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1

Orch-2-1: УЗ администраторов оркестратора подвергаются ревизии. В случае необходимости, УЗ деактивируются или отключаются
Классификация: Учетные записи | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2

Orch-2-2: Установлены актуальные обновления безопасности оркестратора, процесс обновления является системным
Классификация: Версии ПО | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2

Orch-2-3: УЗ cluster-admin не используется для администрирования кластеров Kubernetes
Классификация: Учетные записи | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2

Orch-2-4: Admission controller AlwaysPullImages активирован и используется
Классификация: Харденинг | Вес критерия: Низкий | Уровень критичности: 1

Обязательно для уровня зрелости 1 2

Orch-2-5: Разрешения на конфигурационные файлы, хранящиеся на узлах master соответствуют лучшим практикам CIS
Классификация: Харденинг | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2

Orch-2-6: Разрешения на конфигурационные файлы, хранящиеся на узлах worker соответствуют лучшим практикам CIS
Классификация: Харденинг | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2

Orch-2-7: Используются версии оркестратора, поддерживаемые производителем. Для неподдерживаемых версий ОС имеется расширенная поддержка
Классификация: Версии ПО | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2

Orch-2-8: Настроены параметры аудита сред оркестрации (k8s audit policy), логи передаются и анализируются в SIEM
Классификация: События ИБ | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2

Orch-2-9: Определен список возможных инцидентов ИБ в части оркестратора
Классификация: События ИБ | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2

Orch-2-10: При администрировании оркестратора используется ролевая модель, при назначении прав используется принцип минимальных привилегий
Классификация: Аутентификация и авторизация | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2

Orch-2-11: Для аутентификации в оркестраторе используется внешний сервис, например Active Directory
Классификация: Аутентификация и авторизация | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2

Orch-2-12: Процесс установки обновлений безопасности оркестратора регламентирован
Классификация: Версии ПО | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2

Orch-3-1: Admission controller NamespaceLifecycle активирован и используется
Классификация: Харденинг | Вес критерия: Низкий | Уровень критичности: 1

Обязательно для уровня зрелости 1 2 3

Orch-3-2: Процесс настройки параметров безопасности среды контейнерной оркестрации регламентирован, используются стандарты безопасного конфигурирования
Классификация: Харденинг | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2 3

Orch-3-3: Используется ротация сертификатов kubelet
Классификация: Харденинг | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2 3

Orch-3-4: База данных etcd шифруется
Классификация: Харденинг | Вес критерия: Низкий | Уровень критичности: 1

Обязательно для уровня зрелости 1 2 3

Orch-3-5: Используется мониторинг ИТ состояние сред контейнеризации
Классификация: Мониторинг | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2 3

Orch-3-6: Используются отдельные решения по хранению секретов
Классификация: Защита секретов | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2 3

Orch-4-1: Используются стандарты безопасности на основе CIS Benchmark
Классификация: Харденинг | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2 3 4

Orch-4-2: При хранении настроек и развертывании оркестратора используется подход IaC
Классификация: IaC | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2 3 4

Orch-4-3: Для размещения etcd используются выделенные серверы с отдельной БД. Обеспечивается отказоустойчивость
Классификация: Харденинг | Вес критерия: Низкий | Уровень критичности: 1

Обязательно для уровня зрелости 1 2 3 4

Безопасность узлов сред контейнеризации (nodes)

Nodes-1-1: УЗ администраторов ОС серверов должны содержать уникальный идентификатор, позволяющий связать администратора с их действиями в ОС
Классификация: Учетные записи | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

Nodes-1-2: УЗ root не должна использоваться для администрирования ОС
Классификация: Учетные записи | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1

Nodes-1-3: Используются версии ОС, поддерживаемые производителем. Для неподдерживаемых версий ОС имеется расширенная поддержка
Классификация: Версии ПО | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

Nodes-1-4: Осуществляется сбор логов о состоянии серверов (мониторинг ИТ) - собираются данные о состоянии сервера
Классификация: Мониторинг | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

Nodes-1-5: Используется антивирусное ПО с постоянно обновляемыми базами
Классификация: СЗИ | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1

Nodes-1-6: Реализованы механизмы синхронизации времени в ОС с целью возможности подтверждения времени записи событий
Классификация: Харденинг | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

Nodes-1-7: Выполнены настройки сложности пароля:

Возможность использования пустых паролей - нет
длина пароля: 14;
сложность: да;
срок действия: не более года;
блокирование известных паролей: 20 и более из ТОП, 5 ранее использованных

Классификация: Харденинг | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

Nodes-2-1: Привилегированные права в ОС имеют только УЗ, которым такой доступ необходим, данные УЗ актуальны
Классификация: Учетные записи | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2

Nodes-2-2: Установлены актуальные обновления безопасности ОС, процесс обновления является системным
Классификация: Версии ПО | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2

Nodes-2-3: Проводятся периодические сканирования ОС, направленные на выявление уязвимостей
Классификация: Управление уязвимостями | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2

Nodes-2-4: Для установки ОС используется «золотой» образ
Классификация: Золотой образ | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2

Nodes-2-5: Обновления ОС для серверов, содержащих критичную информацию, устанавливаются только после предварительного успешного тестирования на специально выделенном стенде
Классификация: Версии ПО | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2

Nodes-2-6: Проводятся регулярные сканирования антивирусом
Классификация: СЗИ | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2

Nodes-2-7: Используются базовые настройки безопасности для ОС:

выполнен харденинг SSH:
LoginGraceTime = 1 m;
PermitRootLogin = no;
MaxAuthTries = 6;
IgnoreRhosts = yes;
UsePAM = yes;
TCPKeepAlive = yes;
X11Forwarding = no;
ClientAliveInterval = 600;
ClientAliveCountMax = 3

Классификация: Харденинг | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2

Nodes-2-8: Логин на сервер только через SSH ключ
Классификация: Харденинг | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2

Nodes-2-9: Определены и настроены s критичные события, которые должны собираться с *nix-серверов (перечень параметров). События передаются и анализируются в SIEM
Классификация: События ИБ | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2

Nodes-2-10: Определен список возможных инцидентов ИБ в части ОС
Классификация: События ИБ | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2

Nodes-2-11: Выполняется ревизия УЗ администраторов ОС. В случае необходимости, УЗ деактивируется или отключается
Классификация: Учетные записи | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2

Nodes-2-12: Неразрешенное ПО или не требуемое для администрирования на ОС хост-серверов не установлено
Классификация: Харденинг | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2

Nodes-3-1: Процесс установки обновлений безопасности ОС регламентирован
Классификация: Версии ПО | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2 3

Nodes-3-2: Проводится сканирование «золотого» образа ОС на уязвимости
Классификация: Золотой образ | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2 3

Nodes-3-3: Процесс настройки параметров безопасности ОС регламентирован, используются стандарты безопасного конфигурирования c минимальным количеством параметров
Классификация: Харденинг | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2 3

Nodes-3-4: Включен хостовый МЭ и настроен в соответствии с правилом «запрещено все, что не разрешено»
Классификация: Харденинг | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2 3

Nodes-3-5: Определен перечень базовых СЗИ, устанавливаемых на серверы (помимо антивируса)
Классификация: СЗИ | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2 3

Nodes-3-6: Проводятся на регулярной основе внутренние аудиты ИБ конфигурационных настроек ОС
Классификация: Харденинг | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2 3

Nodes-3-7: Небезопасные службы ОС (стандартные службы, например, telnet и нестандартные службы - службы стороннего ПО для удаленного доступа и т.д.) отсутствуют или отключены
Классификация: Харденинг | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2 3

Nodes-4-1: Применяется шифрование диска
Классификация: Харденинг | Вес критерия: Низкий | Уровень критичности: 1

Обязательно для уровня зрелости 1 2 3 4

Nodes-4-2: Должны использоваться специально настроенные АРМ (SAW/PAW – закрытая рабочая станция с высоким уровнем защиты) для администрирования инфраструктуры
Классификация: СЗИ | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2 3 4

Nodes-4-3: Используются стандарты безопасности, включающие в себя большую часть настроек на основе CIS Benchmark
Классификация: СЗИ | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2 3 4

Nodes-4-4: При хранении настроек и развертывании ОС используется подход IaC
Классификация: IaC | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2 3 4

Общие практики безопасности, касающиеся контейнерной инфраструктуры и компонентов (Gen)

Gen-1-1: Создаются резервные копии критичных серверов, процесс резервирования является системным
Классификация: Резервное копирование | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

Gen-1-2: Должна быть обеспечена отказоустойчивость серверной инфраструктуры в рамках 1 сайта
Классификация: Отказоустойчивость | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

Gen-1-3: Выполняется контроль сетевого трафика на уровне межсетевых экранов (L3/L4) в PROD сегменте (доступ к узлам)
Классификация: Сетевая безопасность | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

Gen-1-4: PROD инфраструктура находится в выделенном сетевом сегменте
Классификация: Сетевая безопасность | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1

Gen-2-1: Удаленный доступ подрядчиков регламентирован, права минимально необходимы и контролируется
Классификация: Ролевая модель и разделение зон ответственности | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2

Gen-2-2: Зоны распределения ответственности администраторов разграничены и задокументированы для оркестратора и ОС
Классификация: Ролевая модель и разделение зон ответственности | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2

Gen-2-3: Процесс резервного копирования регламентирован
Классификация: Резервное копирование | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2

Gen-2-4: Процесс восстановления доступности регламентирован
Классификация: Резервное копирование | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2

Gen-3-1: Тестовая среда располагается в отдельном сетевом сегменте. Доступ к среде ограничен
Классификация: Сетевая безопасность | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2 3

Gen-3-2: Проводятся учения по отработке плана аварийного восстановления с фактическим прохождением этапов восстановления на условно аварийном сервере
Классификация: Резервное копирование | Вес критерия: Высокий | Уровень критичности: 5

Обязательно для уровня зрелости 1 2 3

Gen-4-1: Обеспечена отказоустойчивость серверной инфраструктуры в рамках нескольких сайтов
Классификация: Отказоустойчивость | Вес критерия: Средний | Уровень критичности: 3

Обязательно для уровня зрелости 1 2 3 4

Framework

Группы областей

Список требований