Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

NIST Cybersecurity Framework (EN)

Framework

PR.DS-2

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

CIS Critical Security Controls v8 (The 18 CIS CSC):
3.10
3.10 Encrypt Sensitive Data in Transit 
Encrypt sensitive data in transit. Example implementations can include: Transport Layer Security (TLS) and Open Secure Shell (OpenSSH). 
NIST Cybersecurity Framework (RU):
PR.DS-2
PR.DS-2: Данные при передаче защищаются  
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗИС.4 ЗИС.4 Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации)
ЗИС.3 ЗИС.3 Обеспечение защиты персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 4.2.1
4.2.1
Defined Approach Requirements: 
Strong cryptography and security protocols are implemented as follows to safeguard PAN during transmission over open, public networks:
  • Only trusted keys and certificates are accepted.
  • Certificates used to safeguard PAN during transmission over open, public networks are confirmed as valid and are not expired or revoked. This bullet is a best practice until its effective date; refer to applicability notes below for details.
  • The protocol in use supports only secure versions or configurations and does not support fallback to, or use of insecure versions, algorithms, key sizes, or implementations.
  • The encryption strength is appropriate for the encryption methodology in use. 
Customized Approach Objective:
Cleartext PAN cannot be read or intercepted from any transmissions over open, public networks. 

Defined Approach Testing Procedures:
  • 4.2.1.a Examine documented policies and procedures and interview personnel to verify processes are defined to include all elements specified in this requirement. 
  • 4.2.1.b Examine system configurations to verify that strong cryptography and security protocols are implemented in accordance with all elements specified in this requirement. 
  • 4.2.1.c Examine cardholder data transmissions to verify that all PAN is encrypted with strong cryptography when it is transmitted over open, public networks. 
  • 4.2.1.d Examine system configurations to verify that keys and/or certificates that cannot be verified as trusted are rejected. 
Purpose:
Sensitive information must be encrypted during transmission over public networks because it is easy and common for a malicious individual to intercept and/or divert data while in transit. 

Good Practice:
The network and data-flow diagrams defined in Requirement 1 are useful resources for identifying all connection points where account data is transmitted or received over open, public networks. 
While not required, it is considered a good practice for entities to also encrypt PAN over their internal networks, and for entities to establish any new network implementations with encrypted communications. 
PAN transmissions can be protected by encrypting the data before it is transmitted, or by encrypting the session over which the data is transmitted, or both. While it is not required that strong cryptography be applied at both the data level and the session level, it is strongly recommended. If encrypted at the data level, the cryptographic keys used for protecting the data can be managed in accordance with Requirements 3.6 and 3.7. If the data is encrypted at the session level, designated key custodians should be assigned responsibility for managing transmission keys and certificates. 
Some protocol implementations (such as SSL, SSH v1.0, and early TLS) have known vulnerabilities that an attacker can use to gain access to the cleartext data. It is critical that entities maintain awareness of industry-defined deprecation dates for the cipher suites they are using and are prepared to migrate to newer versions or protocols when older ones are no longer deemed secure. 
Verifying that certificates are trusted helps ensure the integrity of the secure connection. To be considered trusted, a certificate should be issued from a trusted source, such as a trusted certificate authority (CA), and not be expired. Up-to-date Certificate Revocation Lists (CRLs) or Online Certificate Status Protocol (OCSP) can be used to validate certificates. 
Techniques to validate certificates may include certificate and public key pinning, where the trusted certificate or a public key is pinned either during development or upon its first use. Entities can also confirm with developers or review source code to ensure that clients and servers reject connections if the certificate is bad. 
For browser-based TLS certificates, certificate trust can often be verified by clicking on the lock icon that appears next to the address bar. 

Examples:
 Open, public networks include, but are not limited to: 
  • The Internet and
  • Wireless technologies, including Wi-Fi, Bluetooth, cellular technologies, and satellite communications. 
Further Information:
Vendor recommendations and industry best practices can be consulted for information about the proper encryption strength specific to the encryption methodology in use. 
For more information about strong cryptography and secure protocols, see industry standards and best practices such as NIST SP 800-52 and SP 800-57. 
For more information about trusted keys and certificates, see NIST Cybersecurity Practice Guide Special Publication 1800-16, Securing Web Transactions: Transport Layer Security (TLS) Server Certificate Management. 
Requirement 4.2.2
4.2.2
Defined Approach Requirements: 
PAN is secured with strong cryptography whenever it is sent via end-user messaging technologies. 

Customized Approach Objective:
Cleartext PAN cannot be read or intercepted from transmissions using end-user messaging technologies. 

Applicability Notes:
This requirement also applies if a customer, or other third-party, requests that PAN is sent to them via end-user messaging technologies. 
There could be occurrences where an entity receives unsolicited cardholder data via an insecure communication channel that was not intended for transmissions of sensitive data. In this situation, the entity can choose to either include the channel in the scope of their CDE and secure it according to PCI DSS or delete the cardholder data and implement measures to prevent the channel from being used for cardholder data. 

Defined Approach Testing Procedures:
  • 4.2.2.a Examine documented policies and procedures to verify that processes are defined to secure PAN with strong cryptography whenever sent over end-user messaging technologies. 
  • 4.2.2.b Examine system configurations and vendor documentation to verify that PAN is secured with strong cryptography whenever it is sent via enduser messaging technologies. 
Purpose:
End-user messaging technologies typically can be easily intercepted by packet-sniffing during delivery across internal and public networks. 

Good Practice:
The use of end-user messaging technology to send PAN should only be considered where there is a defined business need. 

Examples:
E-mail, instant messaging, SMS, and chat are examples of the type of end-user messaging technology that this requirement refers to. 
Guideline for a healthy information system v.2.0 (EN):
21 STANDARD
/STANDARD
Although security is no longer optional today, this has not always been the case. This is why numerous network protocols had to evolve to integrate this component and respond to the confidentiality and integrity requirements that exchanging data requires. Secure network protocols must be used as soon as possible, whether on public networks (the Internet for example) or on the organization’s internal network. 

Although it may be difficult to provide an exhaustive list, the most common protocols rely on the use of TLS and are often identifiable by the addition of the letter "s" (for secure) in the protocol acronym. As an example HTTPS for web browsing or IMAPS, SMTPS or POP3S for email. 

Other protocols were designed securely from their creation to replace prior, insecure protocols. As an example SSH (Secure SHell) which came to replace the TELNET and RLOGIN historic communication protocols.. 
18 STANDARD
/STANDARD
The Internet is a network from which it is almost impossible to obtain guarantees as to the way that data will take when you send it through this medium. It is, therefore, entirely possible that a hacker will be on the pathway of data travelling between two correspondents. 

All the data sent by email or uploaded to online hosting tools (Cloud) is therefore vulnerable. Therefore, its systematic encryption must be undertaken before sending it to a correspondent or uploading it. 

Passing on confidential information (password, key, etc.) that is therefore able to decrypt data, if required, must be carried out by a trusted channel or, failing that, a different channel from the data transmission channel. Therefore, although the encrypted data is sent by mail, handing over the password by hand or, failing that, over the phone must be favoured. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.13.2.3
A.13.2.3 Электронный обмен сообщениями 
Мера обеспечения информационной безопасности: Следует обеспечивать соответствующую защиту информации при электронном обмене сообщениями 
A.13.2.1
A.13.2.1 Политики и процедуры передачи информации 
Мера обеспечения информационной безопасности: Должны существовать формализованные политики и процедуры передачи информации, а также соответствующие меры обеспечения информационной безопасности, обеспечивающие защиту информации, передаваемой с использованием всех видов средств связи 
A.13.1.1
A.13.1.1 Меры обеспечения информационной безопасности для сетей 
Мера обеспечения информационной безопасности: Сети должны управляться и контролироваться для обеспечения защиты информации систем и приложений 
A.14.1.3
A.14.1.3 Защита транзакций прикладных сервисов 
Мера обеспечения информационной безопасности: Информацию, используемую в транзакциях прикладных сервисов, следует защищать для предотвращения неполной передачи, ложной маршрутизации, несанкционированного изменения, раскрытия, дублирования или воспроизведения сообщений 
A.8.2.3
A.8.2.3 Обращение с активами 
Мера обеспечения информационной безопасности: Должны быть разработаны и реализованы процедуры обращения с активами в соответствии с принятой в организации системой категорирования информации.
A.14.1.2
A.14.1.2 Обеспечение безопасности прикладных сервисов, предоставляемых с использованием сетей общего пользования 
Мера обеспечения информационной безопасности: Информация, используемая в прикладных сервисах и передаваемая по сетям общего пользования, должна быть защищена от мошеннической деятельности, оспаривания договоров, а также несанкционированного раскрытия и модификации 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 15.7 CSC 15.7 Leverage the Advanced Encryption Standard (AES) to Encrypt Wireless Data
Leverage the Advanced Encryption Standard (AES) to encrypt wireless data in transit.
CSC 14.4 CSC 14.4 Encrypt All Sensitive Information in Transit
Encrypt all sensitive information in transit.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 4.2.2
4.2.2
Определенные Требования к Подходу:
PAN защищен надежной криптографией всякий раз, когда он отправляется с помощью технологий обмена сообщениями конечного пользователя.

Цель Индивидуального подхода:
Открытый текст PAN не может быть прочитан или перехвачен из передач с использованием технологий обмена сообщениями конечных пользователей.

Примечания по применению:
Это требование также применяется, если клиент или другая третья сторона запрашивает, чтобы PAN был отправлен им с помощью технологий обмена сообщениями конечного пользователя.
Могут возникнуть ситуации, когда организация получает незапрашиваемые данные о держателях карт по небезопасному каналу связи, который не предназначен для передачи конфиденциальных данных. В этой ситуации организация может выбрать либо включить канал в область своего CDE и защитить его в соответствии с PCI DSS, либо удалить данные о держателях карт и принять меры для предотвращения использования канала для данных о держателях карт.

Определенные Процедуры Тестирования Подхода:
  • 4.2.2.a Изучите документированные политики и процедуры, чтобы убедиться, что процессы определены для защиты PAN с помощью надежной криптографии при отправке по технологиям обмена сообщениями конечного пользователя.
  • 4.2.2.b Изучите системные конфигурации и документацию поставщика, чтобы убедиться, что PAN защищен надежной криптографией всякий раз, когда он отправляется через технологии обмена сообщениями конечного пользователя.
Цель:
Технологии обмена сообщениями с конечными пользователями обычно могут быть легко перехвачены путем перехвата пакетов во время доставки по внутренним и общедоступным сетям.

Надлежащая практика:
Использование технологии обмена сообщениями с конечным пользователем для отправки PAN следует рассматривать только в тех случаях, когда существует определенная бизнес-потребность.

Примеры:
Электронная почта, мгновенные сообщения, SMS и чат являются примерами типа технологии обмена сообщениями с конечным пользователем, к которой относится это требование.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ЗИС.4 ЗИС.4 Обеспечение доверенных канала, маршрута между администратором, пользователем и средствами защиты информации (функциями безопасности средств защиты информации)
ЗИС.3 ЗИС.3 Обеспечение защиты информации от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи
Strategies to Mitigate Cyber Security Incidents (EN):
1.10.
Server application hardening especially internet-accessible web applications (sanitise input and use TLS not SSL) and databases, as well as applications that access important (sensitive/high-availability) data.
Relative Security Effectiveness:  Very Good | Potential User Resistance:  Low | Upfront Cost:  Medium | Ongoing Maintenance Cost:  Medium
SWIFT Customer Security Controls Framework v2022:
2 - 2.6 Operator Confidentiality and Integrity
2.6 Operator Session Confidentiality and Integrity
2 - 2.5A External Transmission Data Protection
2.5A External Transmission Data Protection
2 - 2.4A Back Office Data Flow Security
2.4A Back Office Data Flow Security
2 - 2.1 Internal Data Flow Security
2.1 Internal Data Flow Security
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗИС.20 ЗИС.20 Обеспечение доверенных канала, маршрута
ЗИС.19 ЗИС.19 Защита информации при ее передаче по каналам связи
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗИС.20 ЗИС.20 Обеспечение доверенных канала, маршрута
ЗИС.19 ЗИС.19 Защита информации при ее передаче по каналам связи

Связанные защитные меры

Название Дата Влияние
Community
2 7 / 56
Настройка безопасного канала для обмена данными в домене Active Directory
Постоянно Автоматически Техническая Превентивная
25.02.2022
25.02.2022 2 7 / 56
Цель: безопасность обмена данными между членами домена.
При присоединении компьютера к домену создается учетная запись компьютера. После этого при запуске системы для создания безопасного канала связи с контроллером домена используется пароль учетной записи компьютера.
Безопасный канал используется в доменной инфраструктуре для таких операций, как выполнение проверки подлинности NTLM, поиск имени или кода LSA и т. д.

1. Цифровая подпись или шифрование данных для организации безопасного канала
Весь трафик безопасного канала, инициированного членом домена, подписывается или шифруется. Безопасный канал не будет установлен до тех пор, пока не будет согласовано либо подписание, либо шифрование всего его трафика. Учетные данные, передаваемые по безопасному каналу, всегда шифруются, независимо от согласования шифрования остального трафика.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности. 
Параметр: Член домена: Всегда требуется цифровая подпись или шифрование потока данных безопасного канала. 
Значение: Включен
Подробнее на сайте Microsoft

2. Шифрование данных безопасного канала
Член домена пытается согласовать шифрование всего трафика безопасного канала, который он инициирует.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности. 
Параметр: Член домена: Шифрование данных безопасного канала, когда это возможно.
Значение: Включен
Подробнее на сайте Microsoft

3.Стойкий ключ сеанса для зашифрованных данных безопасного канала
Для зашифрованных данных безопасного канала устанавливается 128-разрядный ключ.
Чтобы использовать этот параметр на рабочих станциях и серверах, входящих в домен, все контроллеры, формирующие домен, должны работать под управлением операционной системы Windows 2000 или более поздней версии.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности. 
Параметр: Член домена: Требовать стойкий ключ сеанса (Windows 2000 или выше).
Значение: Включен
Подробнее на сайте Microsoft

Рекомендации к заполнению карточки: