Куда я попал?
Стандарт Банка России № РС БР ИББС-2.5-2014 от 01.06.2014
Менеджмент инцидентов информационной безопасности
Р. 6 п. 5 п.п. 3
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 2.2.5
2.2.5
Defined Approach Requirements:
If any insecure services, protocols, or daemons are present:
Defined Approach Requirements:
If any insecure services, protocols, or daemons are present:
- Business justification is documented.
- Additional security features are documented and implemented that reduce the risk of using insecure services, protocols, or daemons.
Customized Approach Objective:
System components cannot be compromised by exploiting insecure services, protocols, or daemons.
Defined Approach Testing Procedures:
System components cannot be compromised by exploiting insecure services, protocols, or daemons.
Defined Approach Testing Procedures:
- 2.2.5.a If any insecure services, protocols, or daemons are present, examine system configuration standards and interview personnel to verify they are managed and implemented in accordance with all elements specified in this requirement.
- 2.2.5.b If any insecure services, protocols, or daemons, are present, examine configuration settings to verify that additional security features are implemented to reduce the risk of using insecure services, daemons, and protocols.
Purpose:
Ensuring that all insecure services, protocols, and daemons are adequately secured with appropriate security features makes it more difficult for malicious individuals to exploit common points of compromise within a network.
Good Practice:
Enabling security features before new system components are deployed will prevent insecure configurations from being introduced into the environment. Some vendor solutions may provide additional security functions to assist with securing an insecure process.
Further Information:
For guidance on services, protocols, or daemons considered to be insecure, refer to industry standards and guidance (for example, as published by NIST, ENISA, and OWASP).
Ensuring that all insecure services, protocols, and daemons are adequately secured with appropriate security features makes it more difficult for malicious individuals to exploit common points of compromise within a network.
Good Practice:
Enabling security features before new system components are deployed will prevent insecure configurations from being introduced into the environment. Some vendor solutions may provide additional security functions to assist with securing an insecure process.
Further Information:
For guidance on services, protocols, or daemons considered to be insecure, refer to industry standards and guidance (for example, as published by NIST, ENISA, and OWASP).
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 2.2.5
2.2.5
Определенные Требования к Подходу:
Если присутствуют какие-либо небезопасные службы, протоколы или демоны:
Определенные Требования к Подходу:
Если присутствуют какие-либо небезопасные службы, протоколы или демоны:
- Бизнес-обоснование задокументировано.
- Задокументированы и реализованы дополнительные функции безопасности, которые снижают риск использования небезопасных служб, протоколов или демонов.
Цель Индивидуального подхода:
Системные компоненты не могут быть скомпрометированы путем использования небезопасных служб, протоколов или демонов.
Определенные Процедуры Тестирования Подхода:
Системные компоненты не могут быть скомпрометированы путем использования небезопасных служб, протоколов или демонов.
Определенные Процедуры Тестирования Подхода:
- 2.2.5.a Если присутствуют какие-либо небезопасные службы, протоколы или демоны, изучите стандарты конфигурации системы и опросите персонал, чтобы убедиться, что они управляются и внедряются в соответствии со всеми элементами, указанными в этом требовании.
- 2.2.5.b Если присутствуют какие-либо небезопасные службы, протоколы или демоны, проверьте параметры конфигурации, чтобы убедиться, что реализованы дополнительные функции безопасности для снижения риска использования небезопасных служб, демонов и протоколов.
Цель:
Обеспечение надлежащей защиты всех небезопасных служб, протоколов и демонов с помощью соответствующих функций безопасности затрудняет злоумышленникам использование уязвимостей в сети.
Надлежащая практика:
Включение функций безопасности до развертывания новых системных компонентов предотвратит внедрение в среду небезопасных конфигураций. Некоторые решения поставщиков могут предоставлять дополнительные функции безопасности для обеспечения безопасности небезопасного процесса.
Дополнительная информация:
Для получения рекомендаций по службам, протоколам или демонам, которые считаются небезопасными, обратитесь к отраслевым стандартам и рекомендациям (например, опубликованным NIST, ENISA и OWASP).
Обеспечение надлежащей защиты всех небезопасных служб, протоколов и демонов с помощью соответствующих функций безопасности затрудняет злоумышленникам использование уязвимостей в сети.
Надлежащая практика:
Включение функций безопасности до развертывания новых системных компонентов предотвратит внедрение в среду небезопасных конфигураций. Некоторые решения поставщиков могут предоставлять дополнительные функции безопасности для обеспечения безопасности небезопасного процесса.
Дополнительная информация:
Для получения рекомендаций по службам, протоколам или демонам, которые считаются небезопасными, обратитесь к отраслевым стандартам и рекомендациям (например, опубликованным NIST, ENISA и OWASP).
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.