Соответствие требованиям

Куда я попал?

Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.

Подробнее

Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014

Р. 7 п. 4 п.п. 5

Для проведения оценки соответствия по документу войдите в систему.

Показывать только требования

7.4.5. В организации БС РФ необходимо определить и контролировать выполнение требований:

к разделению сегментов вычислительных сетей, в том числе создаваемых с использованием технологии виртуализации;
к межсетевому экранированию;
к информационному взаимодействию между сегментами вычислительных сетей.

Разделение сегментов вычислительных сетей следует осуществлять с целью обеспечения независимого выполнения банковских платежных технологических процессов организации БС РФ, а также банковских информационных технологических процессов организации БС РФ разной степени критичности, в том числе банковских информационных технологических процессов, в рамках которых осуществляется обработка персональных данных в ИСПДн.
В документах БС РФ должны быть регламентированы и контролироваться процедуры внесения изменений в конфигурацию сетевого оборудования, предусматривающие согласование вносимых изменений со службой ИБ. Работникам службы ИБ рекомендуется предоставлять доступ к конфигурации сетевого оборудования без возможности внесения изменений.

Связанные защитные меры

	Название	Дата	Влияние
Community 9 25 / 34	Выделение ключевых систем в отдельную сеть (сегментация сети) Разово Вручную Техническая Превентивная 03.05.2022	03.05.2022	9 25 / 34
Цель: защита ключевых активов от несанкционированного доступа на сетевом уровне. Размещение ключевых систем в отдельных безопасных зонах / контурах безопасности и ограничение доступа в эти выделенные сегменты позволяет защитить наиболее критичные системы в случае компрометации основных сегментов сети компании. В зависимости от особенностей компании в отдельные сегменты выделяют: Технологические, производственные сети Банковские системы Инфраструктуру SWIFT ПК руководства Ключевые бизнес-системы Системы персональных данных Способы сегментации: Логический, с помощью технологий VLAN на сетевом оборудовании Логический, на уровне управления виртуальной инфраструктурой Физический, путем создания отдельных ЛВС для ключевых сегментов Сегментирование предполагает ограничение/контроль доступа между сегментами на базовом уровне. Использование расширенного контроля средствами межсетевого экранирования выделено в отдельную защитную меру. *Рекомендации к заполнению карточки:* Указать перечень сегментов и их назначение Пояснить способы/технологии сегментации Описать как настроено ограничение доступа (ACL) Если сети учитываются в реестре активов - привязать их к карточке в качестве инструментов (тип актива Локальная сеть).
Community 1 8 / 50	Блокировка возможности удаленного завершения работы в ОС Windows Постоянно Автоматически Техническая Превентивная 25.02.2022	25.02.2022	1 8 / 50
Цель: запрет удаленного завершения работы ОС Windows всем группам пользователей кроме локальных администраторов. Любой пользователь, который может отключить устройство, может вызвать отказ в обслуживании как самого оборудования, операционной системы, так и работающих на данной ОС сервисов и приложений. Поэтому право на удаленное завершение работы и перезагрузку должно быть строго ограничено. Наиболее актуальна данная мера для серверных экземпляров ОС. Настройка с помощью групповой политики: `Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя. Параметр: Принудительное удаленное завершение работы. Значение: Администраторы` *Рекомендации к заполнению карточки:* Если ведется реестр групповых политик (GPO) - привязать соответствующую политику к карточке как инструмент
Community 2 21 / 102	Ограничение запуска неизвестного ПО с помощью Windows SmartScreen Постоянно Автоматически Техническая Превентивная 16.02.2022	16.02.2022	2 21 / 102
Цель: запрет выполнения неизвестного ПО на ПК и серверах под управлением ОС Windows. Windows SmartScreen повышает безопасность ПК, предупреждая пользователей перед запуском неопознанных программ, загруженных из Интернета. При этом в Майкрософт отправляются сведения о файлах и программах, выполняемых на ПК с включенной функцией SmartScreen. Если этот параметр политики включен, поведением Windows SmartScreen можно управлять путем установки одного из следующих параметров: Требовать подтверждения администратора, прежде чем запускать загруженное неизвестное ПО Предупреждать пользователя, прежде чем выполнять загруженное неизвестное ПО Выключить SmartScreen Настройка с помощью групповой политики: `Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Проводник. Параметр: Настроить Windows SmartScreen. Значение: Включено, требовать подтверждения администратора, прежде чем запускать загруженное неизвестное ПО` Подробнее: Фильтр SmartScreen в Microsoft Defender *Рекомендации к заполнению карточки:* Если ведется реестр групповых политик (GPO) - привязать соответствующую политику к карточке как инструмент
Community 1 9 / 40	Блокировка доступа к несанкционированным сетевым папкам в локальной сети Постоянно Автоматически Техническая Превентивная 12.11.2021	12.11.2021	1 9 / 40
Цель: сокращение каналов утечки информации уменьшение возможностей для горизонтального перемещения в локальной сети; снизить возможность загрузки ВПО с несанкционированной общей сетевой папки SMB; противодействие атакам на перехват сессии и кражу паролей (SCF File Attacks). На уровне источника (ПК и серверы) нужно ограничить исходящие соединения к сетевым папкам (SMB shared folder), оставив доступ только к списку легитимных сетевых папок. Варианты реализации: Локальный межсетевой экран DLP с функцией контроля SMB протокола, например КИБ SearchInform Общий алгоритм действий Определить перечень легальных SMB шар и узлов, к которым необходимо подключаться по SMB Настроить белый список на локальных СЗИ Включить блокировку Важно: SMB один из ключевых протоколов для локального взаимодействия в доменной инфраструктуре. Перед включением блокировки необходимо провести тщательный аудит всех информационных потоков по протоколу SMB. *Рекомендации к заполнению карточки:* Описать в карточке общую политику в отношении сетевых файловых ресурсов, Средство защиты, которым осуществляется блокировка, присоединить к карточке как Инструмент, Добавить Инструкцию (например, в заметках к мере) по добавлению/исключению каталогов из доступа Если ведется учет (реестр) сетевых файловых ресурсов - вести его в разделе Объекты файловой системы \ Файлы и папки Создать шаблон регулярной задачи на актуализацию списка общих сетевых папок и прав.
Community 3 11 / 43	Выделение периферийного оборудования и IP телефонов в отдельную сеть (сегментация сети) Разово Вручную Техническая 29.07.2021	29.07.2021	3 11 / 43
Цель: защита ключевых активов от несанкционированного доступа на сетевом уровне со стороны периферийного оборудования и IP телефонов. К периферийному оборудованию могут относятся принтеры, сканеры, IP телефоны и иные устройства подключаемые к локальной сети компании. Обязательным условием сегментации является ограничение доступа в выделенный сегмент и из него. Пример политики ограничения доступа к сегменту периферийного оборудования: доступом к выделенному сегменту могут обладать только серверы управления (сервер IP телефонии, сервер печати). Доступ из выделенного сегмента возможен также только к серверам управления. Доступ к локальным сетям с рабочими станциями и доступ в интернет заблокированы. Часто мера в части ограничения доступа сложно реализуема. Например если подключение рабочих станций к принтерам осуществляется по сети напрямую а не через сервер печати. Или если IP телефон подключен в одну сетевую розетку с рабочей станцией. В таких случаях следует настроить более широкие права доступа к сегменту и из него. Реализация: настройкой сетевого оборудования (VLAN). После реализации защитной меры следует внедрить меру по регулярному поиску периферийных устройств в локальных сетях, с целью их переноса в выделенный сегмент. *Рекомендации к заполнению карточки:* Указать перечень сегментов и их назначение Описать способы/технологии сегментации Описать как настроено ограничение доступа (ACL) Если сети учитываются в реестре активов - привязать их к карточке в качестве инструментов (тип актива Локальная сеть).
Community 6 3 / 15	Межсетевое экранирование на границе сети Постоянно Автоматически Техническая Превентивная 03.06.2021	03.06.2021	6 3 / 15
Цель: защита ключевых активов от несанкционированного доступа на сетевом уровне. Установка и настройка межсетевых экранов на все точки входа/выхода между локальной сетью и Интернет или между сетевыми сегментами. Реализуются базовые функции экранирования: фильтрация трафика на уровне интерфейсов, IP адресов и портов (L2-L4); трансляция адресов (NAT); регистрация событий. *Рекомендации к заполнению карточки:* Описать базовую политику межсетевого экранирования, включая ACL; Дополнительные инструменты анализа сетевого трафика (ids/ips, url filtering, application filtering и т.д.) могут оформляться отдельными защитными мерами. Инструментом для реализации защитной меры следует указать конкретные Межсетевые экраны, если они учитываются в реестре активов - привязать их к карточке в качестве инструментов.
Community 1 1 / 12	Блокировка IPv6 трафика на границе сети Постоянно Автоматически Превентивная 08.05.2020	08.05.2022	1 1 / 12
Цель: сокращение каналов для утечки информации и несанкционированного доступа. Блокировка любого IPv6 трафика на пограничных межсетевых экранах.

Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014

Р. 7 п. 4 п.п. 5

Похожие требования

Связанные защитные меры