NIST Cybersecurity Framework (RU)

 7.5.3.1 Организация должна управлять документированной информацией, соответствующей требованиям СМНД и настоящему стандарту для обеспечения: 

63. Режим охраны спецпомещений пользователей СКЗИ, в том числе правила допуска сотрудников и посетителей в рабочее и нерабочее время, устанавливает обладатель конфиденциальной информации по согласованию с соответствующим органом криптографической защиты. Установленный режим охраны должен предусматривать периодический контроль за состоянием технических средств охраны, если таковые имеются, а также учитывать положения настоящей Инструкции, специфику и условия работы конкретных пользователей СКЗИ.

59. По окончании рабочего дня спецпомещения органа криптографической защиты и установленные в них хранилища должны быть закрыты, хранилища опечатаны. Находящиеся в пользовании ключи от хранилищ должны быть сданы под расписку в соответствующем журнале руководителю органа криптографической защиты или лицу, им уполномоченному (дежурному), которые хранят эти ключи в личном или специально выделенном хранилище.

Ключи от спецпомещений, а также ключ от хранилища, в котором находятся ключи от всех других хранилищ органа криптографической защиты, в опечатанном виде должны быть сданы под расписку в соответствующем журнале службе охраны или дежурному по организации одновременно с передачей под охрану самих спецпомещений. Печати, предназначенные для опечатывания хранилищ, должны находиться у сотрудников органа криптографической защиты, ответственных за эти хранилища.

51. Размещение, специальное оборудование, охрана и организация режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним, должны обеспечивать сохранность конфиденциальной информации, СКЗИ, ключевых документов.

При оборудовании спецпомещений должны выполняться требования к размещению, монтажу СКЗИ, а также другого оборудования, функционирующего с СКЗИ.

Перечисленные в настоящей Инструкции требования к спецпомещениям могут не предъявляться, если это предусмотрено правилами пользования СКЗИ, согласованными с ФАПСИ.

9.2.1
Defined Approach Requirements: 
Appropriate facility entry controls are in place to restrict physical access to systems in the CDE. 

Customized Approach Objective:
System components in the CDE cannot be physically accessed by unauthorized personnel. 

Defined Approach Testing Procedures:

Purpose:
Without physical access controls, unauthorized persons could potentially gain access to the CDE and sensitive information, or could alter system configurations, introduce vulnerabilities into the network, or destroy or steal equipment. Therefore, the purpose of this requirement is that physical access to the CDE is controlled via physical security controls such as badge readers or other mechanisms such as lock and key. 

Good Practice:
Whichever mechanism meets this requirement, it must be sufficient for the organization to verify that only authorized personnel are granted access. 

Examples:
Facility entry controls include physical security controls at each computer room, data center, and other physical areas with systems in the CDE. It can also include badge readers or other devices that manage physical access controls, such as lock and key with a current list of all individuals holding the keys. 

9.2.2
Defined Approach Requirements: 
Physical and/or logical controls are implemented to restrict use of publicly accessible network jacks within the facility. 

Customized Approach Objective:
Unauthorized devices cannot connect to the entity’s network from public areas within the facility 

Defined Approach Testing Procedures:

Purpose:
Restricting access to network jacks (or network ports) will prevent malicious individuals from plugging into readily available network jacks and gaining access to the CDE or systems connected to the CDE. 

Good Practice:
Whether logical or physical controls, or a combination of both, are used, they should prevent an individual or device that is not explicitly authorized from being able to connect to the network. 

Examples:
Methods to meet this requirement include network jacks located in public areas and areas accessible to visitors could be disabled and only enabled when network access is explicitly authorized. Alternatively, processes could be implemented to ensure that visitors are escorted at all times in areas with active network jacks. 

9.3.1
Defined Approach Requirements: 
Procedures are implemented for authorizing and managing physical access of personnel to the CDE, including:

Customized Approach Objective:
Requirements for access to the physical CDE are defined and enforced to identify and authorize personnel. 

Defined Approach Testing Procedures:

Purpose:
Establishing procedures for granting, managing, and removing access when it is no longer needed ensures non-authorized individuals are prevented from gaining access to areas containing cardholder data. In addition, it is important to limit access to the actual badging system and badging materials to prevent unauthorized personnel from making their own badges and/or setting up their own access rules. 

Good Practice:
It is important to visually identify the personnel that are physically present, and whether the individual is a visitor or an employee. 

Examples:
One way to identify personnel is to assign them badges. 

/STANDARD
Physical security mechanisms must be a key part of information systems security and be up to date to ensure that they cannot be bypassed easily by a hacker. It is, therefore, advisable to identify the suitable physical security measures and to raise users’ awareness continuously of the risks caused by bypassing these rules. 

Access to server rooms and technical areas must be controlled with the assistance of locks or access control mechanisms such as badges. The unaccompanied access of external service providers to sever rooms and technical areas must be prohibited, except if it is possible to strictly monitor the access and limit it to given time intervals. A regular review of the access rights must be carried out, in order to identify any unauthorised access. 

When an employee leaves or there is a change of service provider, the access rights must be withdrawn or the access codes changed. 

Finally, the network sockets in areas open to the public (meeting room, reception hall, corridors, etc.) must be restricted or deactivated in order to stop a hacker easily gaining access to the company’s network. 

A.11.2.5 Перемещение активов 
Мера обеспечения информационной безопасности: Вынос оборудования, информации или программного обеспечения за пределы площадки эксплуатации без предварительного разрешения необходимо исключить 

A.11.2.8 Оборудование, оставленное пользователем без присмотра 
Мера обеспечения информационной безопасности: Пользователи должны обеспечить соответствующую защиту оборудования, оставленного без присмотра 

A.11.1.3 Безопасность зданий, помещений и оборудования 
Мера обеспечения информационной безопасности: Должна быть разработана и реализована физическая защита зданий, помещений и оборудования 

A.11.1.5 Работа в зонах безопасности 
Мера обеспечения информационной безопасности: Должны быть разработаны и применены процедуры для работы в зонах безопасности 

A.11.1.6 Зоны погрузки и разгрузки 
Мера обеспечения информационной безопасности: Места доступа, например зоны погрузки и разгрузки, и другие места, где неуполномоченные лица могут проникать в помещения, должны находиться под контролем и, по возможности, должны быть изолированы от средств обработки информации во избежание несанкционированного доступа к ним 

A.11.1.4 Защита от внешних угроз и угроз со стороны окружающей среды 
Мера обеспечения информационной безопасности: Должны быть разработаны и реализованы меры физической защиты от стихийных бедствий, злоумышленных атак или аварий 

A.11.2.1 Размещение и защита оборудования 
Мера обеспечения информационной безопасности: Оборудование должно быть размещено и защищено таким образом, чтобы снизить риски информационной безопасности от угроз и опасностей со стороны окружающей среды и возможности несанкционированного доступа 

A.11.1.1 Физический периметр безопасности 
Мера обеспечения информационной безопасности: Должны быть определены и использованы периметры безопасности для защиты зон, содержащих чувствительную или критическую информацию и средства ее обработки 

A.11.2.6 Безопасность оборудования и активов вне помещений организации 
Мера обеспечения информационной безопасности: Следует обеспечивать безопасность активов вне помещений организации, учитывая различные риски информационной безопасности, связанные с работой вне помещений организации 

A.11.1.2 Меры и средства контроля и управления физическим доступом 
Мера обеспечения информационной безопасности: Зоны безопасности должны быть защищены соответствующими мерами и средствами контроля доступа, чтобы обеспечить уверенность в том, что доступ разрешен только уполномоченному персоналу 

A.11.2.3 Безопасность кабельной сети 
Мера обеспечения информационной безопасности: Кабели питания и телекоммуникационные кабели, используемые для передачи данных или для поддержки информационных сервисов, должны быть защищены от перехвата информации, помех или повреждения 

9.3.1
Определенные Требования к Подходу:
Внедрены процедуры авторизации и управления физическим доступом персонала к CDE, включая:

Цель Индивидуального подхода:
Требования к доступу к физическому CDE определяются и применяются для идентификации и авторизации персонала.

Определенные Процедуры Тестирования Подхода:

Цель:
Установление процедур предоставления, управления и удаления доступа, когда он больше не нужен, гарантирует, что неавторизованные лица не смогут получить доступ к областям, содержащим данные о держателях карт. Кроме того, важно ограничить доступ к самой системе бейджинга и материалам бейджинга, чтобы неавторизованный персонал не мог создавать свои собственные бейджи и/или устанавливать свои собственные правила доступа.

Надлежащая практика:
Важно визуально идентифицировать физически присутствующий персонал и определить, является ли этот человек посетителем или сотрудником.

Примеры:
Одним из способов идентификации персонала является присвоение ему бейджей.

9.2.2
Определенные Требования к Подходу:
Физические и/или логические элементы управления реализованы для ограничения использования общедоступных сетевых разъемов внутри объекта.

Цель Индивидуального подхода:
Неавторизованные устройства не могут подключаться к сети организации из общественных мест на объекте

Определенные Процедуры Тестирования Подхода:

Цель:
Ограничение доступа к сетевым разъемам (или сетевым портам) не позволит злоумышленникам подключаться к легкодоступным сетевым разъемам и получать доступ к CDE или системам, подключенным к CDE.

Надлежащая практика:
Независимо от того, используются ли логические или физические элементы управления или их комбинация, они должны препятствовать подключению к сети человека или устройства, которые явно не авторизованы.

Примеры:
Способы удовлетворения этого требования включают сетевые разъемы, расположенные в местах общего пользования, а зоны, доступные для посетителей, могут быть отключены и включены только при явном разрешении доступа к сети. В качестве альтернативы можно было бы внедрить процессы, обеспечивающие постоянное сопровождение посетителей в зонах с активными сетевыми разъемами.

9.2.1
Определенные Требования к Подходу:
Для ограничения физического доступа к системам в CDE предусмотрены соответствующие средства контроля доступа на объекты.

Цель Индивидуального подхода:
Компоненты системы в CDE не могут быть физически доступны неавторизованному персоналу.

Определенные Процедуры Тестирования Подхода:

Цель:
Без контроля физического доступа неавторизованные лица потенциально могут получить доступ к CDE и конфиденциальной информации или могут изменить конфигурацию системы, внедрить уязвимости в сеть или уничтожить или украсть оборудование. Следовательно, цель этого требования состоит в том, чтобы физический доступ к CDE контролировался с помощью средств физической безопасности, таких как считыватели бейджей или другие механизмы, такие как замок и ключ.

Надлежащая практика:
Какой бы механизм ни отвечал этому требованию, организации должно быть достаточно убедиться в том, что доступ предоставляется только авторизованному персоналу.

Примеры:
Средства контроля доступа на объект включают средства контроля физической безопасности в каждом компьютерном зале, центре обработки данных и других физических зонах с системами в CDE. Он также может включать считыватели бейджей или другие устройства, которые управляют физическими средствами контроля доступа, такими как замок и ключ, с текущим списком всех лиц, владеющих ключами.

А.8.12 Защита от утечки данных
В отношении систем, сетей и любых иных устройств, которые обрабатывают, хранят или передают критичную информацию должны применяться меры по предотвращению утечки данных.

А.7.2 Защита физического входа
Зоны физической безопасности должны быть защищены соответствующими средствами контроля и управления доступом.

А.7.3 Безопасность офисов, помещений и помещений
Должна быть разработана и внедрена физическая безопасность для офисов, помещений и зданий.

А.7.1 Периметры физической безопасности
В целях защиты физических помещений и зон, содержащих информационные и иные связанные с ними активы, должны быть определены и использоваться периметры безопасности.

А.7.6 Работа в защищенном периметре
Должны быть разработаны и внедрены меры безопасности для работы в защищенном периметре.

А.7.8 Размещение и защита оборудования
Оборудование должно защищаться и безопасно размещаться.

А.7.12 Безопасность кабельной сети
Должны быть защищены от перехвата, помех или повреждения кабели, передающие данные или поддерживающие информационные сервисы, в том числе и подающие электропитание. 

Оборудование должно быть размещено и защищено таким образом, чтобы снизить риски ИБ от угроз и опасностей со стороны окружающей среды и возможности несанкционированного доступа.

Следующие рекомендации необходимо рассмотреть для защиты оборудования:

Вынос оборудования, информации или программного обеспечения за пределы площадки эксплуатации без предварительного разрешения необходимо исключить.

Следует рассмотреть следующие рекомендации:

Выборочные проверки, проводимые для выявления случаев несанкционированного выноса активов, могут выполняться для выявления несанкционированных записывающих устройств, оружия и так далее, а также для предотвращения их проноса и выноса с территории организации. Такие выборочные проверки должны проводиться в соответствии с действующим законодательством и регламентами. Работники должны быть осведомлены о том, что проводятся выборочные проверки, а эти проверки должны проводиться только в строгом соответствии с требованиями законодательства и регламентов.

Следует обеспечивать безопасность активов вне помещений организации, учитывая различные риски ИБ, связанные с работой вне помещений организации.

Использование за пределами организации любого оборудования для хранения и обработки информации должно быть разрешено руководством. Это относится как к оборудованию, принадлежащему организации, так и к оборудованию, принадлежащему частным лицам, но используемому от имени организации.

Следует рассмотреть следующие рекомендации для защиты оборудования вне организации:

Риски, связанные, например, с повреждением, кражей или прослушиванием, могут существенно различаться в зависимости от места и должны учитываться при определении наиболее подходящих мер обеспечения ИБ.

Оборудование для хранения и обработки информации включает в себя все виды персональных компьютеров, органайзеров, мобильных телефонов, смарт-карт, документы на бумажных или других носителях, которые предназначены для работы на дому или которые можно выносить с обычного места работы.

Более подробную информацию о других аспектах защиты переносного оборудования можно найти в 6.2.

Возможно, будет целесообразно предотвратить риск, отговорив определенных работников работать вне офиса или ограничив использование ими портативного ИТ-оборудования.

Пользователи должны обеспечить соответствующую защиту оборудования, оставленного без присмотра.

Все пользователи должны быть осведомлены о требованиях безопасности и процедурах по защите оборудования, оставленного без присмотра, а также об их обязанностях по реализации такой защиты. Пользователям следует рекомендовать:

Места доступа, например зоны погрузки и разгрузки, и другие места, где неуполномоченные лица могут проникать в помещения, должны находиться под контролем и, по возможности, должны быть изолированы от средств обработки информации во избежание несанкционированного доступа к ним.

Следует принять во внимание:

Должны быть разработаны и реализованы меры физической защиты от стихийных бедствий, злоумышленных атак или аварий.

Следует проконсультироваться со специалистом о том, как избежать ущерба от пожара, наводнения, землетрясения, взрыва и других форм стихийных или техногенных бедствий, а также от общественных беспорядков.

Должны быть определены и использованы периметры безопасности для защиты зон, содержащих информацию ограниченного доступа и средства ее обработки.

Там, где это применимо, для физических периметров безопасности должны быть рассмотрены и реализованы следующие рекомендации:

Физическая защита может быть обеспечена путем создания одного или нескольких физических барьеров вокруг помещений организации и средств обработки информации. Использование нескольких барьеров дает дополнительную защиту - отказ одного барьера не означает немедленного нарушения безопасности.

Зоной безопасности может быть запираемый офис или несколько помещений, окруженных непрерывным внутренним физическим барьером. Могут потребоваться дополнительные барьеры и периметры для контроля физического доступа между зонами с различными требованиями безопасности. Особое внимание безопасности физического доступа должно быть уделено в случае, если в здании находятся активы нескольких организаций.

Применение мер обеспечения физической безопасности, особенно в зонах безопасности, должно быть адаптировано к техническому и экономическому положению организации, как это следует из оценки рисков.

Кабели питания и телекоммуникационные кабели, используемые для передачи данных или для поддержки информационных сервисов, должны быть защищены от перехвата информации, помех или повреждения.

Для обеспечения безопасности кабельной сети следует рассмотреть следующие рекомендации:

Зоны безопасности должны быть защищены соответствующими мерами и средствами контроля доступа, чтобы обеспечить уверенность в том, что доступ разрешен только уполномоченному персоналу.

Следует принять во внимание следующие рекомендации:

А.8.12 Data leakage prevention
Data leakage prevention measures shall be applied to systems, networks and any other devices that process, store or transmit sensitive information.

А.7.12 Cabling security
Cables carrying power, data or supporting information services shall be protected from interception, interference or damage.

А.7.8 Equipment siting and protection
Equipment shall be sited securely and protected.

А.7.1 Physical security perimeters
Security perimeters shall be defined and used to protect areas that contain information and other associated assets.

А.7.6 Working in secure areas
Security measures for working in secure areas shall be designed and implemented.

А.7.2 Physical entry
Secure areas shall be protected by appropriate entry controls and access points.

А.7.3 Securing offices, rooms and facilities
Physical security for offices, rooms and facilities shall be designed and implemented.