Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Payment Card Industry Data Security Standard

Framework № PCI DSS 4.0 от 01.03.2022

Requirement 1.2.1

Для проведения оценки соответствия по документу войдите в систему.
1.2.1 
Defined Approach Requirements: 
Configuration standards for NSC rulesets are: 
  • Defined. 
  • Implemented.
  • Maintained. 
Customized Approach Objective:
The way that NSCs are configured and operate are defined and consistently applied. 

Defined Approach Testing Procedures:
  • 1.2.1.a Examine the configuration standards for NSC rulesets to verify the standards are in accordance with all elements specified in this requirement. 
  • 1.2.1.b Examine configuration settings for NSC rulesets to verify that rulesets are implemented according to the configuration standards. 
Purpose:
The implementation of these configuration standards results in the NSC being configured and managed to properly perform their security function (often referred to as the ruleset). 

Good Practice:
These standards often define the requirements for acceptable protocols, ports that are permitted to be used, and specific configuration requirements that are acceptable. Configuration standards may also outline what the entity considers not acceptable or not permitted within its network. 

Definitions:
NSCs are key components of a network architecture. Most commonly, NSCs are used at the boundaries of the CDE to control network traffic flowing inbound and outbound from the CDE. 
Configuration standards outline an entity’s minimum requirements for the configuration of its NSCs.

Examples:
Examples of NSCs covered by these configuration standards include, but are not limited to, firewalls, routers configured with access control lists, and cloud virtual networks.  

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
ПЗИ.5
ПЗИ.5 Документарное определение порядка применения технических мер защиты информации, реализуемых в рамках процесса системы защиты информации, включающего: 
- правила размещения технических мер защиты информации в информационной инфраструктуре; 
- параметры настроек технических мер защиты информации и информационной инфраструктуры, предназначенных для размещения технических мер защиты информации (параметры настроек компонентов информационной инфраструктуры, предназначенных для размещения технических мер защиты информации, определяются в случае необходимости); 
- руководства по применению технических мер защиты информации (включающие руководства по эксплуатации, контролю эксплуатации и использованию по назначению технических мер защиты информации); 
- состав ролей и права субъектов доступа, необходимых для обеспечения применения технических мер защиты информации (включающего эксплуатацию, контроль эксплуатации и использование по назначению мер защиты информации)
NIST Cybersecurity Framework (RU):
PR.IP-1
PR.IP-1: С учетом соответствующих принципов безопасности (например, концепция минимальной функциональности) создается и поддерживается базовая конфигурация информационных технологий / промышленных систем управления 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 1.2.1
1.2.1
Определенные Требования к Подходу:
Стандарты конфигураций для наборов правил NSC:
  • Определенный.
  • Реализованный.
  • Поддерживается.
Цель Индивидуального подхода:
Способы настройки и работы NSC определены и последовательно применяются.

Определенные Процедуры Тестирования Подхода:
  • 1.2.1.a Изучите стандарты конфигурации для наборов правил NSC, чтобы убедиться, что стандарты соответствуют всем элементам, указанным в этом требовании.
  • 1.2.1.b Изучите параметры конфигурации для наборов правил NSC, чтобы убедиться, что наборы правил реализованы в соответствии со стандартами конфигурации.
Цель:
Реализация этих стандартов конфигурации приводит к тому, что NSC настраивается и управляется для надлежащего выполнения своей функции безопасности (часто называемой набором правил).

Надлежащая практика:
Эти стандарты часто определяют требования к приемлемым протоколам, портам, которые разрешено использовать, и конкретные требования к конфигурации, которые являются приемлемыми. Стандарты конфигурации могут также определять то, что организация считает неприемлемым или недопустимым в своей сети.

Определения:
NSC являются ключевыми компонентами сетевой архитектуры.
Чаще всего NSCS используются на границах CDE для управления сетевым трафиком, входящим и исходящим из CDE. Стандарты конфигурации определяют минимальные требования организации к конфигурации ее NSCS.

Примеры:
Примеры NSC, охватываемых этими стандартами конфигурации, включают, но не ограничиваются: брандмауэры, маршрутизаторы, настроенные со списками контроля доступа, и облачные виртуальные сети.
NIST Cybersecurity Framework (EN):
PR.IP-1 PR.IP-1: A baseline configuration of information technology/industrial control systems is created and maintained incorporating security principles (e.g. concept of least functionality)