Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее

Похожие требования

CIS Critical Security Controls v8 (The 18 CIS CSC):
13.9 
13.9 Deploy Port-Level Access Control
Deploy port-level access control. Port-level access control utilizes 802.1x, or similar network access control protocols, such as certificates, and may incorporate user and/or device authentication. 
6.2
6.2 Establish an Access Revoking Process 
Establish and follow a process, preferably automated, for revoking access to enterprise assets, through disabling accounts immediately upon termination, rights revocation, or role change of a user. Disabling accounts, instead of deleting accounts, may be necessary to preserve audit trails. 
5.3
5.3 Disable Dormant Accounts 
Delete or disable any dormant accounts after a period of 45 days of inactivity, where supported. 
5.1
5.1 Establish and Maintain an Inventory of Accounts 
Establish and maintain an inventory of all accounts managed in the enterprise. The inventory must include both user and administrator accounts. The inventory, at a minimum, should contain the person’s name, username, start/ stop dates, and department. Validate that all active accounts are authorized, on a recurring schedule at a minimum quarterly, or more frequently 
Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования - Приложение А":
A.9.2.4 A.9.2.4 Управление секретной информацией аутентификации пользователей
Средства реализации: Присваивание секретной информации аутентификации должно быть контролируемым через формализованный процесс управления.
A.9.2.6 A.9.2.6 Отмена или изменение прав доступа
Средства реализации: Права доступа к информации и устройствам обработки информации всех сотрудников и внешних пользователей должны быть отменены после завершения трудовых отношений, контракта или соглашения.
A.9.4.2 A.9.4.2 Безопасные процедуры входа в систему
Средства реализации: Там, где это требуется политикой контроля доступа, доступ к системам и приложениям должен осуществляться в соответствии с безопасной процедурой входа в систему.
A.9.2.1 A.9.2.1 Регистрация и отмена регистрации пользователя
Средства реализации: Должен быть внедрен формализованный процесс регистрации и отмены регистрации пользователей, обеспечивающий возможность назначения прав доступа
A.9.4.3 A.9.4.3 Система управления паролями
Средства реализации: Системы управления паролями должны быть диалоговыми и гарантировать пароли надлежащего качества.
A.9.2.2 A.9.2.2 Предоставление доступа пользователю
Средства реализации: Должен быть внедрен формализованный процесс предоставления доступа пользователям для назначения или отмены прав всем типам пользователей ко всем системам и услугам.
A.9.2.3 A.9.2.3 Управление привилегированными правами доступа
Средства реализации: Назначение и использование привилегированных прав доступа должно быть ограниченным и контролируемым.
A.9.3.1 A.9.3.1 Использование секретной информации аутентификации
Средства реализации: Пользователи обязаны следовать правилам организации при использовании секретной аутентификационной информации.
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 16.8 CSC 16.8 Disable Any Unassociated Accounts
Disable any account that cannot be associated with a business process or business owner.
CSC 4.1 CSC 4.1 Maintain Inventory of Administrative Accounts
Use automated tools to inventory all administrative accounts, including domain and local accounts, to ensure that only authorized individuals have elevated privileges.
CSC 16.9 CSC 16.9 Disable Dormant Accounts
Automatically disable dormant accounts after a set period of inactivity.
CSC 16.10 CSC 16.10 Ensure All Accounts Have An Expiration Date
Ensure that all accounts have an expiration date that is monitored and enforced.
CSC 16.7 CSC 16.7 Establish Process for Revoking Access
Establish and follow an automated process for revoking system access by disabling accounts immediately upon termination or change of responsibilities of an employee or contractor . Disabling these accounts, instead of deleting accounts, allows preservation of audit trails.
CSC 1.7 CSC 1.7 Deploy Port Level Access Control
Utilize port level access control, following 802.1x standards, to control which devices can authenticate to the network. The authentication system shall be tied into the hardware asset inventory data to ensure only authorized devices can connect to the network.
CSC 20.8 CSC 20.8 Control and Monitor Accounts Associated with Penetration Testing
Any user or system accounts used to perform penetration testing should be controlled and monitored to make sure they are only being used for legitimate purposes, and are removed or restored to normal function after testing is over.
CSC 16.6 CSC 16.6 Maintain an Inventory of Accounts
Maintain an inventory of all accounts organized by authentication system.
SWIFT Customer Security Controls Framework v2022:
4 - 4.1 Password Policy
4.1 Password Policy
4 - 4.2 Multi-Factor Authentication
4.2 Multi-Factor Authentication
5 - 5.2 Token Management
5.2 Token Management
5 - 5.4 Physical and Logical Password Storage
5.4 Physical and Logical Password Storage
NIST Cybersecurity Framework (EN):
PR.AC-1 PR.AC-1: Identities and credentials are issued, managed, verified, revoked, and audited for authorized devices, users and processes

Связанные защитные меры

Название Дата Влияние
Community
1 8 / 49
Блокировка возможности удаленного завершения работы в ОС Windows
Постоянно Автоматически Техническая Превентивная
25.02.2022
25.02.2022 1 8 / 49
Цель: запрет удаленного завершения работы ОС Windows всем группам пользователей кроме локальных администраторов.
Любой пользователь, который может отключить устройство, может вызвать отказ в обслуживании как самого оборудования, операционной системы, так и работающих на данной ОС сервисов и приложений. Поэтому право на удаленное завершение работы и перезагрузку должно быть строго ограничено.
Наиболее актуальна данная мера для серверных экземпляров ОС.

Настройка с помощью групповой политики:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя.
Параметр: Принудительное удаленное завершение работы.
Значение: Администраторы

Рекомендации к заполнению карточки:
Community
1 12 / 64
Отключение неиспользуемых учетных записей в домене Active Directory
По событию Вручную Организационная Техническая Корректирующая Компенсирующая
02.06.2021
02.06.2021 1 12 / 64
Цель: сокращение возможностей злоумышленника по компрометации учетных записей.

Политика:
  • Неактивные более 45 дней учетные записи пользователей подлежат отключению.
  • Неактивные более 60 дней учетные записи компьютеров и серверов подлежат удалению.
Автоматический регулярный поиск неактивных учетных записей и уведомление ответственного за защитную меру осуществляет скрипт, запускаемый ежедневно.
Пример реализации скрипта приведен в заметке к защитной мере

Инструкция
Началом для процесса является получение писем от скрипта аудита с заголовками:
  • Чистка AD: Users 
  • Чистка AD: Computers
Алгоритм обработки писем:
  1. Учетные записи пользователей отключаются и переносятся в юнит domain.local/Отключенные учетные записи/
  2. Учетные записи компьютеров удаляются или переносятся в юнит domain.local/Рабочие станции/Отключенные/
  3. В случае необходимости, неясности - проводятся консультации с Отделом ИТ или с владельцами отключаемой учетной записи