Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее

NIST Cybersecurity Framework

Framework

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования - Приложение А":
A.13.2.4 Соглашения о конфиденциальности или неразглашении
Средства реализации: Требования к соглашениям о конфиденциальности или неразглашении, отражающие потребности организации в защите информации, должны быть определены, документированы и регулярно пересматриваться.
A.7.3.1 Освобождение от обязанностей или их изменение
Средства реализации: Должны быть определены, доведены до сведения сотрудника или работающего по контракту его область ответственности и обеспечено выполнение его обязанностей в отношении информационной безопасности, остающихся в силе после прекращения или изменения трудовых отношений.
A.8.2.2 Маркировка информации
Средства реализации: Должен быть разработан и внедрен соответствующий набор процедур для маркировки информации в соответствии со схемой классификации информации, принятой в организации
A.6.1.2 Разделение обязанностей
Средства реализации: Вступающие в противоречие друг с другом обязанности и области ответственности должны быть разделены для снижения возможности несанкционированного или ненамеренного изменения или неправильного применения активов организации.
A.13.2.3 Электронные сообщения
Средства реализации: Информация, передаваемая электронными сообщениями, должна быть соответствующим образом защищена.
A.13.1.3 Разделение в сетях
Средства реализации: Различные группы информационных служб, пользователей и информационных систем должны быть разделены в сетях.
A.9.4.5 Контроль доступа к исходным кодам
Средства реализации: Доступ к исходному коду программ должен быть ограничен.
A.13.2.1 Политики и процедуры передачи информации
Средства реализации: Должны быть разработаны политики, процедуры и средства управления для защиты передачи информации, осуществляемой посредством любых типов коммуникационного оборудования.
A.13.1.1 Средства управления сетями
Средства реализации: Сети должны управляться и контролироваться, чтобы защитить информацию в системах и приложениях.
A.9.4.1 Ограничение доступа к информации
Средства реализации: Доступ к информации и функциям прикладных систем должен быть ограничен в соответствии с политикой контроля доступа.
A.9.4.4 Использование утилит с привилегированными правами
Средства реализации: Применение утилит, которые могли бы обходить средства контроля системы и приложений, должно быть ограничено и жестко контролироваться.
A.14.1.3 Защита операций прикладных услуг
Средства реализации: Информация, участвующая в операциях, осуществляемых при пользовании прикладными услугами, должна быть защищена с целью предотвращения незавершенной передачи, неправильной маршрутизации, несанкционированного изменения сообщения, несанкционированного раскрытия, несанкционированного дублирования сообщения или воспроизведения.
A.11.1.5 Работа в охраняемых зонах
Средства реализации: Должны быть разработаны и применяться процедуры для работы в охраняемой зоне.
A.11.1.4 Защита от внешних угроз и угроз природного характера
Средства реализации: Должны быть разработаны и применяться меры физической защиты от стихийных бедствий, злонамеренных действий или аварий.
A.10.1.1 Политика использования криптографических методов защиты
Средства реализации: Должна быть разработана и внедрена политика использования криптографических методов для защиты информации.
A.9.1.1 Политика контроля доступа
Средства реализации: Политика контроля доступа должна быть сформулирована, документирована и пересматриваться с точки зрения требований бизнеса и информационной безопасности.
A.11.2.1 Размещение и защита оборудования
Средства реализации: Оборудование должно быть размещено и защищено так, чтобы снизить риски, связанные с природными угрозами и опасностями, а также возможностью несанкционированного доступа.
A.7.1.1 Предварительная проверка
Средства реализации: Проверка при приеме на работу, осуществляемая для всех кандидатов, должна проводиться в рамках соответствующих законодательных актов, регламентов и этических норм, а также должна быть соразмерна бизнестребованиям, категории информации по классификации, к которой предполагается доступ, и предполагаемым рискам
A.7.1.2 Условия трудового соглашения
Средства реализации: Трудовые соглашения с сотрудниками или привлекаемыми по контракту должны устанавливать их и организации ответственность в части информационной безопасности.
A.9.1.2 Доступ к сетям и сетевым службам
Средства реализации: Пользователи должны получать доступ только к тем сетям и сетевым службам, для которых у них есть авторизация.
A.8.2.3 Обращение с активами
Средства реализации: Должны быть разработаны и внедрены процедуры обращения с активами в соответствии со схемой классификации информации, принятой в организации.
A.9.2.3 Управление привилегированными правами доступа
Средства реализации: Назначение и использование привилегированных прав доступа должно быть ограниченным и контролируемым.
A.14.1.2 Безопасность прикладных услуг в сетях общего пользования
Средства реализации: Информация, используемая прикладными услугами, передающаяся по общедоступным сетям, должна быть защищена от мошеннических действий, претензий, связанных с нарушениями контрактных обязательств, и несанкционированного раскрытия и изменения.
The 20 CIS Controls Resources:
CSC 13.3 Monitor and Block Unauthorized Network Traffic
Deploy an automated tool on network perimeters that monitors for unauthorized transfer of sensitive information and blocks such transfers while alerting information security professionals.
CSC 14.7 Enforce Access Control to Data Through Automated Tools
Use an automated tool, such as host-based Data Loss Prevention, to enforce access controls to data even when data is copied off a system.

Связанные защитные меры

Название Дата Влияние
Community
1 9 / 13
Блокировка доступа к несанкционированным сетевым папкам в локальной сети
Постоянно Автоматически Техническая Превентивная
12.11.2021
12.11.2021 1 9 / 13
На уровне источника (ПК и серверы) нужно ограничить исходящие соединения к сетевым папкам (SMB шары), оставив доступ только к списку легитимных сетевых папок.
Цель: 
  • исключить канал утечки и горизонтального перемещения в рамках локальной сети;
  • снизить возможность загрузки ВПО с несанкционированной SMB шары;
  • противодействие атакам на перехват сессии и кражу паролей (SCF File Attacks).
Варианты реализации:
  • Локальный межсетевой экран
  • DLP с функцией контроля SMB протокола, например КИБ SearchInform
Community
1 2 / 5
Ограничение (блокировка) доступа к некорпоративным облачным сервисам
Постоянно Автоматически Превентивная Техническая
09.11.2021
09.11.2021 1 2 / 5
Возможные инструменты для реализации меры:
  • Межсетевой экран с функциями HTTPS inspection и Application Control
  • Любое Endpoint protection ПО с функцией ограничения доступа в интернет
  • Брокер безопасного доступа в облако (CASB)
В зависимости от политики организации и возможностей средств защиты ограничение может быть полным или частичным: 
  • ко всем или к части облачных сервисов
  • для всех или для части узлов инфраструктуры
  • полностью на доступ или только на запись
Альтернативная защитная мера: Обнаружение записи рабочей информации в некорпоративные облачные сервисы
Community
1 2 / 5
Обнаружение записи рабочей информации в некорпоративные облачные сервисы
По событию Автоматически Техническая
09.11.2021
09.11.2021 1 2 / 5
В компании может быть разрешено использование некорпоративных облачных сервисов (например, облачного хранилища Google Диск или Яндекс Диск), при этом вестись протоколирование и аудит записываемой в облачные хранилища информации.
Варианты реализации:
  • Система обнаружения утечек информации (DLP)
  • Межсетевой экран с функциями HTTPS inspection, Application Control и DLP
  • Брокер безопасного доступа в облако (CASB)
В дополнение к данной мере в компании должна быть определена политика в отношении использования облачных сервисов. 
Альтернативная защитная мера: полная или частичная блокировка доступа к некорпоративным облачным сервисам
Community
1 5 / 12
Доведение до новых работников документов по информационной безопасности
По событию Вручную Организационная Удерживающая
28.10.2021
28.10.2021 1 5 / 12
Ознакомление с действующими в компании документами по информационной безопасности (политики, положения, обязательства) под подпись при трудоустройстве.
Варианты реализации, в зависимости от специфики организации:
  • В момент трудоустройства и подписания трудового договора (в кадровом подразделении);
  • После трудоустройства в службе безопасности или информационных технологий;
  • После трудоустройства на рабочем месте (ответственность непосредственного руководителя).
Примечание: в карточке меры следует зафиксировать ответственное за сбор подписей подразделение и место хранения реестров с подписями
Community
4 2 / 12
Подписание работниками обязательств о конфиденциальности
Разово Вручную Организационная Удерживающая
12.10.2021
12.10.2021 4 2 / 12
Обязательство о конфиденциальности - минималистичный (в идеале одностраничный) документ который подписывает работник.
Документ формулируется от первого лица: я обязуюсь..., я уведомлен..., я согласен....
Обязательство следует делать универсальным документом, закрывающим различные требования по безопасности: коммерческая тайна, персональные данные, легитимизация систем защиты и мониторинга, материальная ответственность и т.д.
Пример Обязательства о конфиденциальности приведен в заметке к защитной мере.

Утверждение:
  • Как самостоятельный документ, отдельным приказом
  • Как часть другого документа, например, Положения о коммерческой тайне
Распространение:
  • Первичный сбор обязательств осуществляется руководителями подразделений, канцелярией, службой документооборота;
  • Подписание обязательств новыми работниками осуществляется службой персонала в процессе оформления трудоустройства. 
Контроль:
  • Контроль наличия обязательств осуществляется службой информационной безопасности в рамках внутреннего аудита подразделений.
Community
3 12 / 17
Выделение периферийного оборудования и IP телефонов в отдельную сеть (сегментация сети)
Разово Вручную Техническая
29.07.2021
29.07.2021 3 12 / 17
К периферийному оборудованию могут относятся принтеры, сканеры, IP телефоны и иные устройства подключаемые к локальной сети компании.
Обязательным условием сегментации является ограничение доступа в выделенный сегмент и из него.
Пример политики ограничения доступа к сегменту периферийного оборудования:
  • доступом к выделенному сегменту могут обладать только серверы управления (сервер IP телефонии, сервер печати). 
  • Доступ из выделенного сегмента возможен также только к серверам управления. Доступ к локальным сетям с рабочими станциями и доступ в интернет заблокированы.
Часто мера в части ограничения доступа сложно реализуема. Например если подключение рабочих станций к принтерам осуществляется по сети напрямую а не через сервер печати. Или если IP телефон подключен в одну сетевую розетку с рабочей станцией. В таких случаях следует настроить более широкие права доступа к сегменту и из него.
Реализация: настройкой сетевого оборудования (VLAN).
После реализации защитной меры следует внедрить меру по регулярному поиску периферийных устройств в локальных сетях, с целью их переноса в выделенный сегмент.