Куда я попал?
NIST Cybersecurity Framework (RU)
Framework
PR.IP-1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
CIS Critical Security Controls v8 (The 18 CIS CSC):
9.1
9.1 Ensure Use of Only Fully Supported Browsers and Email Clients
Ensure only fully supported browsers and email clients are allowed to execute in the enterprise, only using the latest version of browsers and email clients provided through the vendor.
Ensure only fully supported browsers and email clients are allowed to execute in the enterprise, only using the latest version of browsers and email clients provided through the vendor.
4.1
4.1 Establish and Maintain a Secure Configuration Process
Establish and maintain a secure configuration process for enterprise assets (end-user devices, including portable and mobile; non-computing/IoT devices; and servers) and software (operating systems and applications). Review and update documentation annually, or when significant enterprise changes occur that could impact this Safeguard
Establish and maintain a secure configuration process for enterprise assets (end-user devices, including portable and mobile; non-computing/IoT devices; and servers) and software (operating systems and applications). Review and update documentation annually, or when significant enterprise changes occur that could impact this Safeguard
9.4
9.4 Restrict Unnecessary or Unauthorized Browser and Email Client Extensions
Restrict, either through uninstalling or disabling, any unauthorized or unnecessary browser or email client plugins, extensions, and add-on applications.
Restrict, either through uninstalling or disabling, any unauthorized or unnecessary browser or email client plugins, extensions, and add-on applications.
4.8
4.8 Uninstall or Disable Unnecessary Services on Enterprise Assets and Software
Uninstall or disable unnecessary services on enterprise assets and software, such as an unused file sharing service, web application module, or service function.
Uninstall or disable unnecessary services on enterprise assets and software, such as an unused file sharing service, web application module, or service function.
16.7
16.7 Use Standard Hardening Configuration Templates for Application Infrastructure
Use standard, industry-recommended hardening configuration templates for application infrastructure components. This includes underlying servers, databases, and web servers, and applies to cloud containers, Platform as a Service (PaaS) components, and SaaS components. Do not allow in-house developed software to weaken configuration hardening.
Use standard, industry-recommended hardening configuration templates for application infrastructure components. This includes underlying servers, databases, and web servers, and applies to cloud containers, Platform as a Service (PaaS) components, and SaaS components. Do not allow in-house developed software to weaken configuration hardening.
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 8 п. 4 пп. 2 ппп. 1
8.4.2.1 Организация должна разработать и поддерживать структуру, определяющую одну или несколько команд, ответственных за реагирование на нарушение деятельности организации.
Р. 8 п. 4 пп. 1
8.4.1 Общие положения
Организация должна внедрить и поддерживать структуру реагирования, которая позволит своевременно предупреждать нарушение деятельности организации и проводить обмен информацией с соответствующими заинтересованными сторонами. Организация должна разработать планы и процедуры управления организацией в период нарушения ее деятельности. Планы и процедуры должны быть использованы, когда необходимо инициировать решения по обеспечению непрерывности деятельности.
Примечание — Существуют различные типы процедур, которые включают в планы обеспечения непрерывности деятельности.
Организация должна определить и документировать планы и процедуры обеспечения непрерывности деятельности на основе выбранных стратегий и решений.
Процедуры должны:
Организация должна внедрить и поддерживать структуру реагирования, которая позволит своевременно предупреждать нарушение деятельности организации и проводить обмен информацией с соответствующими заинтересованными сторонами. Организация должна разработать планы и процедуры управления организацией в период нарушения ее деятельности. Планы и процедуры должны быть использованы, когда необходимо инициировать решения по обеспечению непрерывности деятельности.
Примечание — Существуют различные типы процедур, которые включают в планы обеспечения непрерывности деятельности.
Организация должна определить и документировать планы и процедуры обеспечения непрерывности деятельности на основе выбранных стратегий и решений.
Процедуры должны:
- а) быть конкретными е отношении немедленных действий, которые должны быть выполнены в период нарушения деятельности организации;
- b) гибкими, чтобы реагировать на изменяющиеся внутренние и внешние условия в период нарушения деятельности организации;
- с) фокусироваться на воздействии инцидентов, которые потенциально могут привести к нарушению деятельности организации;
- d) результативно минимизировать воздействия путем выполнения соответствующих решений;
- е) устанавливать функции и обязанности по выполнению задач внутри процедур.
Р. 4 п. 4
4.4 Система менеджмента непрерывности деятельности
Организация должна создать, внедрить, поддерживать и постоянно улучшать СМНД. включая необходимые процессы и их взаимодействие, в соответствии с требованиями настоящего стандарта.
Организация должна создать, внедрить, поддерживать и постоянно улучшать СМНД. включая необходимые процессы и их взаимодействие, в соответствии с требованиями настоящего стандарта.
Р. 4 п. 2 пп. 2
4.2.2 Законодательные и обязательные требования
Организация должна:
Организация должна:
- а) разработать и поддерживать процесс идентификации, получения доступа и оценки применимых законодательных и обязательных требований, связанных с непрерывностью производства и поставки продукции и оказания услуг, видов деятельности и ресурсов организации;
- b) обеспечить учет при внедрении и функционировании в организации СМНД применимых законодательных. обязательных и других требований;
- с) документировать данную информацию и поддерживать ее в актуализированном состоянии.
Р. 8 п. 3 пп. 5
8.3.5 Выполнение решений
Организация должна разработать и поддерживать выбранные решения в области обеспечения непрерывности деятельности, чтобы их можно было инициировать при необходимости.
Организация должна разработать и поддерживать выбранные решения в области обеспечения непрерывности деятельности, чтобы их можно было инициировать при необходимости.
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
УКФ.2
УКФ.2 Управление изменениями конфигурации информационной системы и системы защиты персональных данных
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
УИ.20
УИ.20 Разработка планов управления конфигурациями****** на первоначальных этапах жизненного цикла (разработка или приобретение) объектов информатизации, входящих в критичную архитектуру.
УИ.15
УИ.15 Определение процедур по установлению, применению и контролю стандартов конфигурирования, определяющих заданный уровень и необходимые политики (режимы) защиты информации.
УИ.16.3
УИ.16.3 Обеспечение соответствия стандартов конфигурирования текущей критичной архитектуре, установление и выполнение правил обновления (актуализации) стандартов конфигурирования;
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
9.1
9.1 Реализовано использование браузеров и почтовых клиентов только с полной поддержкой разработчика
Использовать только браузеры и почтовые клиенты последних версий с полной поддержкой вендора.
Использовать только браузеры и почтовые клиенты последних версий с полной поддержкой вендора.
4.1
4.1 Реализован и поддерживается процесс конфигурирования мер защиты
Описание процесса анализируется и обновляется раз в год или чаще.
Описание процесса анализируется и обновляется раз в год или чаще.
4.8
4.8 Удалены или отключены неиспользуемые службы/сервисы на ресурсах и в программном обеспечении предприятия
Удалить или заблокировать неиспользуемые сервисы и модули на корпоративных устройствах и программном обеспечении
Удалить или заблокировать неиспользуемые сервисы и модули на корпоративных устройствах и программном обеспечении
16.7
16.7 Используются стандартные шаблоны конфигураций усиления защиты для инфраструктуры программного обеспечения
Используются лучшие практики для конфигураций аппаратной защиты, в том числе серверов, баз данных, контейнеров.
Используются лучшие практики для конфигураций аппаратной защиты, в том числе серверов, баз данных, контейнеров.
9.4
9.4 Ограничено применение неиспользуемых или неавторизованных расширений браузера и почтовых клиентов
Запрещать неавторизованные расширения браузера и почтовых клиентов
Запрещать неавторизованные расширения браузера и почтовых клиентов
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 2.2.6
2.2.6
Defined Approach Requirements:
System security parameters are configured to prevent misuse.
Customized Approach Objective:
System components cannot be compromised because of incorrect security parameter configuration.
Defined Approach Testing Procedures:
Defined Approach Requirements:
System security parameters are configured to prevent misuse.
Customized Approach Objective:
System components cannot be compromised because of incorrect security parameter configuration.
Defined Approach Testing Procedures:
- 2.2.6.a Examine system configuration standards to verify they include configuring system security parameters to prevent misuse.
- 2.2.6.b Interview system administrators and/or security managers to verify they have knowledge of common security parameter settings for system components.
- 2.2.6.c Examine system configurations to verify that common security parameters are set appropriately and in accordance with the system configuration standards.
Purpose:
Correctly configuring security parameters provided in system components takes advantage of the capabilities of the system component to defeat malicious attacks.
Good Practice:
System configuration standards and related processes should specifically address security settings and parameters that have known security implications for each type of system in use.
For systems to be configured securely, personnel responsible for configuration and/or administering systems should be knowledgeable in the specific security parameters and settings that apply to the system. Considerations should also include secure settings for parameters used to access cloud portals.
Further Information:
Refer to vendor documentation and industry references noted in Requirement 2.2.1 for information about applicable security parameters for each type of system.
Correctly configuring security parameters provided in system components takes advantage of the capabilities of the system component to defeat malicious attacks.
Good Practice:
System configuration standards and related processes should specifically address security settings and parameters that have known security implications for each type of system in use.
For systems to be configured securely, personnel responsible for configuration and/or administering systems should be knowledgeable in the specific security parameters and settings that apply to the system. Considerations should also include secure settings for parameters used to access cloud portals.
Further Information:
Refer to vendor documentation and industry references noted in Requirement 2.2.1 for information about applicable security parameters for each type of system.
Requirement 2.2.4
2.2.4
Defined Approach Requirements:
Only necessary services, protocols, daemons, and functions are enabled, and all unnecessary functionality is removed or disabled.
Customized Approach Objective:
System components cannot be compromised by exploiting unnecessary functionality present in the system component.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Only necessary services, protocols, daemons, and functions are enabled, and all unnecessary functionality is removed or disabled.
Customized Approach Objective:
System components cannot be compromised by exploiting unnecessary functionality present in the system component.
Defined Approach Testing Procedures:
- 2.2.4.a Examine system configuration standards to verify necessary system services, protocols, and daemons are identified and documented.
- 2.2.4.b Examine system configurations to verify the following:
- All unnecessary functionality is removed or disabled.
- Only required functionality, as documented in the configuration standards, is enabled.
Purpose:
Unnecessary services and functions can provide additional opportunities for malicious individuals to gain access to a system. By removing or disabling all unnecessary services, protocols, daemons, and functions, organizations can focus on securing the functions that are required and reduce the risk that unknown or unnecessary functions will be exploited.
Good Practice:
There are many protocols that could be enabled by default that are commonly used by malicious individuals to compromise a network. Disabling or removing all services, functions, and protocols that are not used minimizes the potential attack surface—for example, by removing or disabling an unused FTP or web server.
Examples:
Unnecessary functionality may include, but is not limited to scripts, drivers, features, subsystems, file systems, interfaces (USB and Bluetooth), and unnecessary web servers.
Unnecessary services and functions can provide additional opportunities for malicious individuals to gain access to a system. By removing or disabling all unnecessary services, protocols, daemons, and functions, organizations can focus on securing the functions that are required and reduce the risk that unknown or unnecessary functions will be exploited.
Good Practice:
There are many protocols that could be enabled by default that are commonly used by malicious individuals to compromise a network. Disabling or removing all services, functions, and protocols that are not used minimizes the potential attack surface—for example, by removing or disabling an unused FTP or web server.
Examples:
Unnecessary functionality may include, but is not limited to scripts, drivers, features, subsystems, file systems, interfaces (USB and Bluetooth), and unnecessary web servers.
Requirement 1.2.1
1.2.1
Defined Approach Requirements:
Configuration standards for NSC rulesets are:
Defined Approach Requirements:
Configuration standards for NSC rulesets are:
- Defined.
- Implemented.
- Maintained.
Customized Approach Objective:
The way that NSCs are configured and operate are defined and consistently applied.
Defined Approach Testing Procedures:
The way that NSCs are configured and operate are defined and consistently applied.
Defined Approach Testing Procedures:
- 1.2.1.a Examine the configuration standards for NSC rulesets to verify the standards are in accordance with all elements specified in this requirement.
- 1.2.1.b Examine configuration settings for NSC rulesets to verify that rulesets are implemented according to the configuration standards.
Purpose:
The implementation of these configuration standards results in the NSC being configured and managed to properly perform their security function (often referred to as the ruleset).
Good Practice:
These standards often define the requirements for acceptable protocols, ports that are permitted to be used, and specific configuration requirements that are acceptable. Configuration standards may also outline what the entity considers not acceptable or not permitted within its network.
Definitions:
NSCs are key components of a network architecture. Most commonly, NSCs are used at the boundaries of the CDE to control network traffic flowing inbound and outbound from the CDE.
Configuration standards outline an entity’s minimum requirements for the configuration of its NSCs.
Examples:
Examples of NSCs covered by these configuration standards include, but are not limited to, firewalls, routers configured with access control lists, and cloud virtual networks.
The implementation of these configuration standards results in the NSC being configured and managed to properly perform their security function (often referred to as the ruleset).
Good Practice:
These standards often define the requirements for acceptable protocols, ports that are permitted to be used, and specific configuration requirements that are acceptable. Configuration standards may also outline what the entity considers not acceptable or not permitted within its network.
Definitions:
NSCs are key components of a network architecture. Most commonly, NSCs are used at the boundaries of the CDE to control network traffic flowing inbound and outbound from the CDE.
Configuration standards outline an entity’s minimum requirements for the configuration of its NSCs.
Examples:
Examples of NSCs covered by these configuration standards include, but are not limited to, firewalls, routers configured with access control lists, and cloud virtual networks.
Guideline for a healthy information system v.2.0 (EN):
29 STANDARD
/STANDARD
Numerous users, including at the top management level, are tempted to ask their IT department to be able to provide them, in line with their personal use, with higher privileges on their workstations: installation of software, system configuration, etc. By default, it is recommended that an information system user, whatever his responsibility level and allocations, should not have administration privileges on his workstation. This measure, which appears restrictive, aims to limit the consequences of malicious executions from malware. The availability of a well-rounded application store, validated by the organization from the security point of view, will be able to respond to the majority of needs.
Consequently, only administrators responsible for the administration of workstations must have these rights during their interventions.
If delegating privileges to a workstation is really necessary to respond to a one-off need from the user, it must be monitored, for a limited time, and be withdrawn afterwards.
Numerous users, including at the top management level, are tempted to ask their IT department to be able to provide them, in line with their personal use, with higher privileges on their workstations: installation of software, system configuration, etc. By default, it is recommended that an information system user, whatever his responsibility level and allocations, should not have administration privileges on his workstation. This measure, which appears restrictive, aims to limit the consequences of malicious executions from malware. The availability of a well-rounded application store, validated by the organization from the security point of view, will be able to respond to the majority of needs.
Consequently, only administrators responsible for the administration of workstations must have these rights during their interventions.
If delegating privileges to a workstation is really necessary to respond to a one-off need from the user, it must be monitored, for a limited time, and be withdrawn afterwards.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.12.1.2
A.12.1.2 Процесс управления изменениями
Мера обеспечения информационной безопасности: Необходимо обеспечить управление изменениями в организации, бизнеспроцессах, средствах обработки информации и системах, влияющих на информационную безопасность
Мера обеспечения информационной безопасности: Необходимо обеспечить управление изменениями в организации, бизнеспроцессах, средствах обработки информации и системах, влияющих на информационную безопасность
A.14.2.4
A.14.2.4 Ограничения на изменения пакетов программ
Мера обеспечения информационной безопасности: Следует избегать модификаций пакетов программ, ограничиваясь необходимыми изменениями, и строго контролировать все изменения
Мера обеспечения информационной безопасности: Следует избегать модификаций пакетов программ, ограничиваясь необходимыми изменениями, и строго контролировать все изменения
A.14.2.2
A.14.2.2 Процедуры управления изменениями системы
Мера обеспечения информационной безопасности: Необходимо управлять изменениями в системах в течение жизненного цикла разработки посредством применения формализованных процедур управления изменениями
Мера обеспечения информационной безопасности: Необходимо управлять изменениями в системах в течение жизненного цикла разработки посредством применения формализованных процедур управления изменениями
A.12.5.1
A.12.5.1 Установка программного обеспечения в эксплуатируемых системах
Мера обеспечения информационной безопасности: Должны быть реализованы процедуры контроля установки программного обеспечения в системах, находящихся в эксплуатации
Мера обеспечения информационной безопасности: Должны быть реализованы процедуры контроля установки программного обеспечения в системах, находящихся в эксплуатации
A.14.2.3
A.14.2.3 Техническая экспертиза приложений (прикладных программ) после изменений операционной платформы
Мера обеспечения информационной безопасности: При внесении изменений в операционные платформы критически важные для бизнеса приложения должны быть проверены и протестированы, чтобы обеспечить уверенность в отсутствии неблагоприятного воздействия на деятельность или безопасность организации
Мера обеспечения информационной безопасности: При внесении изменений в операционные платформы критически важные для бизнеса приложения должны быть проверены и протестированы, чтобы обеспечить уверенность в отсутствии неблагоприятного воздействия на деятельность или безопасность организации
A.12.6.2
A.12.6.2 Ограничения на установку программного обеспечения
Мера обеспечения информационной безопасности: Должны быть установлены и реализованы правила, регулирующие установку программного обеспечения пользователями
Мера обеспечения информационной безопасности: Должны быть установлены и реализованы правила, регулирующие установку программного обеспечения пользователями
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 18.11
CSC 18.11 Use Standard Hardening Configuration Templates for Databases
For applications that rely on a database, use standard hardening configuration templates. All systems that are part of critical business processes should also be tested.
For applications that rely on a database, use standard hardening configuration templates. All systems that are part of critical business processes should also be tested.
CSC 5.1
CSC 5.1 Establish Secure Configurations
Maintain documented security configuration standards for all authorized operating systems and software.
Maintain documented security configuration standards for all authorized operating systems and software.
CSC 7.2
CSC 7.2 Disable Unnecessary or Unauthorized Browser or Email Client Plugins
Uninstall or disable any unauthorized browser or email client plugins or add-on applications.
Uninstall or disable any unauthorized browser or email client plugins or add-on applications.
CSC 7.3
CSC 7.3 Limit Use of Scripting Languages in Web Browsers and Email Clients
Ensure that only authorized scripting languages are able to run in all web browsers and email clients.
Ensure that only authorized scripting languages are able to run in all web browsers and email clients.
CSC 5.2
CSC 5.2 Maintain Secure Images
Maintain secure images or templates for all systems in the enterprise based on the organization's approved configuration standards. Any new system deployment or existing system that becomes compromised should be imaged using one of those images or templates.
Maintain secure images or templates for all systems in the enterprise based on the organization's approved configuration standards. Any new system deployment or existing system that becomes compromised should be imaged using one of those images or templates.
CSC 9.2
CSC 9.2 Ensure Only Approved Ports, Protocols, and Services Are Running
Ensure that only network ports, protocols, and services listening on a system with validated business needs are running on each system.
Ensure that only network ports, protocols, and services listening on a system with validated business needs are running on each system.
CSC 15.4
CSC 15.4 Disable Wireless Access on Devices if Not Required
Disable wireless access on devices that do not have a business purpose for wireless access.
Disable wireless access on devices that do not have a business purpose for wireless access.
CSC 7.1
CSC 7.1 Ensure Use of Only Fully Supported Browsers and Email Clients
Ensure that only fully supported web browsers and email clients are allowed to execute in the organization, ideally only using the latest version of the browsers and email clients provided by the vendor.
Ensure that only fully supported web browsers and email clients are allowed to execute in the organization, ideally only using the latest version of the browsers and email clients provided by the vendor.
CSC 15.5
CSC 15.5 Limit Wireless Access on Client Devices
Configure wireless access on client machines that do have an essential wireless business purpose, to allow access only to authorized wireless networks and to restrict access to other wireless networks.
Configure wireless access on client machines that do have an essential wireless business purpose, to allow access only to authorized wireless networks and to restrict access to other wireless networks.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 2.2.4
2.2.4
Определенные Требования к Подходу:
Включаются только необходимые службы, протоколы, демоны и функции, а все ненужные функции удаляются или отключаются.
Цель Индивидуального подхода:
Системные компоненты не могут быть скомпрометированы путем использования ненужных функций, присутствующих в системном компоненте.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Включаются только необходимые службы, протоколы, демоны и функции, а все ненужные функции удаляются или отключаются.
Цель Индивидуального подхода:
Системные компоненты не могут быть скомпрометированы путем использования ненужных функций, присутствующих в системном компоненте.
Определенные Процедуры Тестирования Подхода:
- 2.2.4.a Изучить стандарты конфигурации системы, чтобы убедиться, что необходимые системные службы, протоколы и демоны идентифицированы и задокументированы.
- 2.2.4.b Изучите конфигурации системы, чтобы убедиться в следующем:
- Все ненужные функции удаляются или отключаются.
- Включена только необходимая функциональность, задокументированная в стандартах конфигурации.
Цель:
Ненужные службы и функции могут предоставить злоумышленникам дополнительные возможности для получения доступа к системе. Удаляя или отключая все ненужные службы, протоколы, демоны и функции, организации могут сосредоточиться на обеспечении безопасности необходимых функций и снизить риск использования неизвестных или ненужных функций.
Надлежащая практика:
Существует множество протоколов, которые могут быть включены по умолчанию и которые обычно используются злоумышленниками для компрометации сети. Отключение или удаление всех неиспользуемых служб, функций и протоколов сводит к минимуму потенциальную возможность атаки — например, путем удаления или отключения неиспользуемого FTP или веб-сервера.
Примеры:
Ненужные функциональные возможности могут включать, но не ограничиваться ими, скрипты, драйверы, функции, подсистемы, файловые системы, интерфейсы (USB и Bluetooth) и ненужные веб-серверы.
Ненужные службы и функции могут предоставить злоумышленникам дополнительные возможности для получения доступа к системе. Удаляя или отключая все ненужные службы, протоколы, демоны и функции, организации могут сосредоточиться на обеспечении безопасности необходимых функций и снизить риск использования неизвестных или ненужных функций.
Надлежащая практика:
Существует множество протоколов, которые могут быть включены по умолчанию и которые обычно используются злоумышленниками для компрометации сети. Отключение или удаление всех неиспользуемых служб, функций и протоколов сводит к минимуму потенциальную возможность атаки — например, путем удаления или отключения неиспользуемого FTP или веб-сервера.
Примеры:
Ненужные функциональные возможности могут включать, но не ограничиваться ими, скрипты, драйверы, функции, подсистемы, файловые системы, интерфейсы (USB и Bluetooth) и ненужные веб-серверы.
Requirement 1.2.1
1.2.1
Определенные Требования к Подходу:
Стандарты конфигураций для наборов правил NSC:
Определенные Требования к Подходу:
Стандарты конфигураций для наборов правил NSC:
- Определенный.
- Реализованный.
- Поддерживается.
Цель Индивидуального подхода:
Способы настройки и работы NSC определены и последовательно применяются.
Определенные Процедуры Тестирования Подхода:
Способы настройки и работы NSC определены и последовательно применяются.
Определенные Процедуры Тестирования Подхода:
- 1.2.1.a Изучите стандарты конфигурации для наборов правил NSC, чтобы убедиться, что стандарты соответствуют всем элементам, указанным в этом требовании.
- 1.2.1.b Изучите параметры конфигурации для наборов правил NSC, чтобы убедиться, что наборы правил реализованы в соответствии со стандартами конфигурации.
Цель:
Реализация этих стандартов конфигурации приводит к тому, что NSC настраивается и управляется для надлежащего выполнения своей функции безопасности (часто называемой набором правил).
Надлежащая практика:
Эти стандарты часто определяют требования к приемлемым протоколам, портам, которые разрешено использовать, и конкретные требования к конфигурации, которые являются приемлемыми. Стандарты конфигурации могут также определять то, что организация считает неприемлемым или недопустимым в своей сети.
Определения:
NSC являются ключевыми компонентами сетевой архитектуры.
Чаще всего NSCS используются на границах CDE для управления сетевым трафиком, входящим и исходящим из CDE. Стандарты конфигурации определяют минимальные требования организации к конфигурации ее NSCS.
Примеры:
Примеры NSC, охватываемых этими стандартами конфигурации, включают, но не ограничиваются: брандмауэры, маршрутизаторы, настроенные со списками контроля доступа, и облачные виртуальные сети.
Реализация этих стандартов конфигурации приводит к тому, что NSC настраивается и управляется для надлежащего выполнения своей функции безопасности (часто называемой набором правил).
Надлежащая практика:
Эти стандарты часто определяют требования к приемлемым протоколам, портам, которые разрешено использовать, и конкретные требования к конфигурации, которые являются приемлемыми. Стандарты конфигурации могут также определять то, что организация считает неприемлемым или недопустимым в своей сети.
Определения:
NSC являются ключевыми компонентами сетевой архитектуры.
Чаще всего NSCS используются на границах CDE для управления сетевым трафиком, входящим и исходящим из CDE. Стандарты конфигурации определяют минимальные требования организации к конфигурации ее NSCS.
Примеры:
Примеры NSC, охватываемых этими стандартами конфигурации, включают, но не ограничиваются: брандмауэры, маршрутизаторы, настроенные со списками контроля доступа, и облачные виртуальные сети.
Requirement 2.2.6
2.2.6
Определенные Требования к Подходу:
Параметры безопасности системы настроены для предотвращения неправильного использования.
Цель Индивидуального подхода:
Системные компоненты не могут быть скомпрометированы из-за неправильной настройки параметров безопасности.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Параметры безопасности системы настроены для предотвращения неправильного использования.
Цель Индивидуального подхода:
Системные компоненты не могут быть скомпрометированы из-за неправильной настройки параметров безопасности.
Определенные Процедуры Тестирования Подхода:
- 2.2.6.a Изучите стандарты конфигурации системы, чтобы убедиться, что они включают настройку параметров безопасности системы для предотвращения неправильного использования.
- 2.2.6.b Опросите системных администраторов и/или менеджеров по безопасности, чтобы убедиться, что они знают общие настройки параметров безопасности для системных компонентов.
- 2.2.6.c Изучите конфигурации системы, чтобы убедиться, что общие параметры безопасности установлены надлежащим образом и в соответствии со стандартами конфигурации системы.
Цель:
Правильная настройка параметров безопасности, предоставляемых в системных компонентах, использует возможности системного компонента для предотвращения вредоносных атак.
Надлежащая практика:
Стандарты конфигурации системы и связанные с ними процессы должны учитывать параметры и параметры безопасности, которые имеют известные последствия для безопасности для каждого типа используемой системы.
Для безопасной настройки систем персонал, ответственный за настройку и/или администрирование систем, должен быть осведомлен о конкретных параметрах и настройках безопасности, которые применяются к системе. Соображения также должны включать безопасные настройки параметров, используемых для доступа к облачным порталам.
Дополнительная информация:
Обратитесь к документации поставщика и отраслевым справочникам, указанным в Требовании 2.2.1, для получения информации о применимых параметрах безопасности для каждого типа системы.
Правильная настройка параметров безопасности, предоставляемых в системных компонентах, использует возможности системного компонента для предотвращения вредоносных атак.
Надлежащая практика:
Стандарты конфигурации системы и связанные с ними процессы должны учитывать параметры и параметры безопасности, которые имеют известные последствия для безопасности для каждого типа используемой системы.
Для безопасной настройки систем персонал, ответственный за настройку и/или администрирование систем, должен быть осведомлен о конкретных параметрах и настройках безопасности, которые применяются к системе. Соображения также должны включать безопасные настройки параметров, используемых для доступа к облачным порталам.
Дополнительная информация:
Обратитесь к документации поставщика и отраслевым справочникам, указанным в Требовании 2.2.1, для получения информации о применимых параметрах безопасности для каждого типа системы.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.25
А.8.25 Жизненный цикл безопасной разработки
Должны быть установлены и применяться правила безопасной разработки программного обеспечения и систем.
Должны быть установлены и применяться правила безопасной разработки программного обеспечения и систем.
А.8.32
А.8.32 Управление изменениями
Изменения в средствах обработки информации и информационных системах должны быть объектом процедур управления изменениями.
Изменения в средствах обработки информации и информационных системах должны быть объектом процедур управления изменениями.
А.8.19
А.8.19 Установка программного обеспечения
Должны быть реализованы процедуры и меры безопасного управления установкой программного обеспечения в операционных системах.
Должны быть реализованы процедуры и меры безопасного управления установкой программного обеспечения в операционных системах.
Методика экспресс-оценки уровня кибербезопасности организации РезБез:
7.1.1.
Разработаны и применяются стандарты безопасных конфигураций
SWIFT Customer Security Controls Framework v2022:
2 - 2.3 System Hardening
2.3 System Hardening
2 - 2.10 Application Hardening
2.10 Application Hardening
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
УКФ.0
УКФ.0 Разработка политики управления конфигурацией информационной (автоматизированной) системы
УКФ.2
УКФ.2 Управление изменениями
NIST Cybersecurity Framework (EN):
PR.IP-1
PR.IP-1: A baseline configuration of information technology/industrial control systems is created and maintained incorporating security principles (e.g. concept of least functionality)
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
УКФ.2
УКФ.2 Управление изменениями
УКФ.0
УКФ.0 Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.19
А.8.19 Installation of software on operational systems
Procedures and measures shall be implemented to securely manage software installation on operational systems.
Procedures and measures shall be implemented to securely manage software installation on operational systems.
А.8.32
А.8.32 Change management
Changes to information processing facilities and information systems shall be subject to change management procedures.
Changes to information processing facilities and information systems shall be subject to change management procedures.
А.8.25
А.8.25 Secure development life cycle
Rules for the secure development of software and systems shall be established and applied.
Rules for the secure development of software and systems shall be established and applied.
Связанные защитные меры
| Название | Дата | Влияние | ||
|---|---|---|---|---|
|
Community
18
10 / 126
|
Настройка безопасной конфигурации для серверов ОС Linux
Вручную
Техническая
Превентивная
16.05.2022
|
16.05.2022 | 18 10 / 126 |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.