Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности,
которая автоматизирует ключевые процессы управления:
контроль соответствия требованиям, управление рисками, учет активов, планирование работ,
задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014
Р. 7 п. 4 п.п. 15
Для проведения оценки соответствия по документу войдите в систему.
Похожие требования
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ВПУ.13.7
ВПУ.13.7 Применение средств защиты информации для защиты целостности и конфиденциальности сессий сетевого взаимодействия при удаленном техническом обслуживании и диагностике;
ВПУ.13.6
ВПУ.13.6 Использование защищенного выделенного (виртуального) канала сетевого взаимодействия при удаленном техническом обслуживании;
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 1.4.5
1.4.5
Defined Approach Requirements:
The disclosure of internal IP addresses and routing information is limited to only authorized parties.
Customized Approach Objective:
Internal network information is protected from unauthorized disclosure.
Defined Approach Testing Procedures:
Defined Approach Requirements:
The disclosure of internal IP addresses and routing information is limited to only authorized parties.
Customized Approach Objective:
Internal network information is protected from unauthorized disclosure.
Defined Approach Testing Procedures:
- 1.4.5.a Examine configurations of NSCs to verify that the disclosure of internal IP addresses and routing information is limited to only authorized parties.
- 1.4.5.b Interview personnel and examine documentation to verify that controls are implemented such that any disclosure of internal IP addresses and routing information is limited to only authorized parties.
Purpose:
Restricting the disclosure of internal, private, and local IP addresses is useful to prevent a hacker from obtaining knowledge of these IP addresses and using that information to access the network.
Good Practice:
Methods used to meet the intent of this requirement may vary, depending on the specific networking technology being used. For example, the controls used to meet this requirement may be different for IPv4 networks than for IPv6 networks.
Examples Methods to obscure IP addressing may include, but are not limited to:
Restricting the disclosure of internal, private, and local IP addresses is useful to prevent a hacker from obtaining knowledge of these IP addresses and using that information to access the network.
Good Practice:
Methods used to meet the intent of this requirement may vary, depending on the specific networking technology being used. For example, the controls used to meet this requirement may be different for IPv4 networks than for IPv6 networks.
Examples Methods to obscure IP addressing may include, but are not limited to:
- IPv4 Network Address Translation (NAT).
- Placing system components behind proxy servers/NSCs.
- Removal or filtering of route advertisements for internal networks that use registered addressing.
- Internal use of RFC 1918 (IPv4) or use IPv6 privacy extension (RFC 4941) when initiating outgoing sessions to the internet.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.14.1.2
A.14.1.2 Обеспечение безопасности прикладных сервисов, предоставляемых с использованием сетей общего пользования
Мера обеспечения информационной безопасности: Информация, используемая в прикладных сервисах и передаваемая по сетям общего пользования, должна быть защищена от мошеннической деятельности, оспаривания договоров, а также несанкционированного раскрытия и модификации
Мера обеспечения информационной безопасности: Информация, используемая в прикладных сервисах и передаваемая по сетям общего пользования, должна быть защищена от мошеннической деятельности, оспаривания договоров, а также несанкционированного раскрытия и модификации
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 1.4.5
1.4.5
Определенные Требования к Подходу:
Раскрытие внутренних IP-адресов и информации о маршруте только авторизованным сторонам.
Цель Индивидуального подхода:
Внутренняя сетевая информация защищена от несанкционированного раскрытия.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Раскрытие внутренних IP-адресов и информации о маршруте только авторизованным сторонам.
Цель Индивидуального подхода:
Внутренняя сетевая информация защищена от несанкционированного раскрытия.
Определенные Процедуры Тестирования Подхода:
- 1.4.5.a Изучить конфигурации NSCS, чтобы убедиться, что раскрытие внутренних IP-адресов и информации о маршрутизации ограничено только авторизованными сторонами.
- 1.4.5.b Опросите персонал и изучите документацию, чтобы убедиться, что средства контроля внедрены таким образом, чтобы любое раскрытие внутренних IP-адресов и информации о маршрутизации ограничивалось только уполномоченными сторонами.
Цель:
Ограничение раскрытия внутренних, частных и локальных IP-адресов полезно для предотвращения получения злоумышленником информации об этих IP-адресах и использования этой информации для доступа к сети.
Надлежащая практика:
Методы, используемые для выполнения этого требования, могут варьироваться в зависимости от конкретной используемой сетевой технологии. Например, элементы управления, используемые для выполнения этого требования, могут отличаться для сетей IPv4 от сетей IPv6.
Примеры:
Способы скрытия IP-адресации могут включать, но не ограничиваться ими:
Ограничение раскрытия внутренних, частных и локальных IP-адресов полезно для предотвращения получения злоумышленником информации об этих IP-адресах и использования этой информации для доступа к сети.
Надлежащая практика:
Методы, используемые для выполнения этого требования, могут варьироваться в зависимости от конкретной используемой сетевой технологии. Например, элементы управления, используемые для выполнения этого требования, могут отличаться для сетей IPv4 от сетей IPv6.
Примеры:
Способы скрытия IP-адресации могут включать, но не ограничиваться ими:
- Преобразование сетевых адресов IPv4 (NAT).
- Размещение системных компонентов за прокси-серверами/NSCS.
- Удаление или фильтрация маршрутных рекламных объявлений для внутренних сетей, использующих зарегистрированную адресацию.
- Внутреннее использование RFC 1918 (IPv4) или использование расширения конфиденциальности IPv6 (RFC 4941) при инициировании исходящих сеансов в Интернет.
SWIFT Customer Security Controls Framework v2022:
2 - 2.9 Transaction Business Controls
2.9 Transaction Business Controls
Связанные защитные меры
Ничего не найдено