Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее

Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014

Р. 7 п. 6 п.п. 4

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Международный стандарт ISO № 27001 от 01.10.2013 "Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования - Приложение А":
A.13.2.1 A.13.2.1 Политики и процедуры передачи информации
Средства реализации: Должны быть разработаны политики, процедуры и средства управления для защиты передачи информации, осуществляемой посредством любых типов коммуникационного оборудования.
A.13.1.1 A.13.1.1 Средства управления сетями
Средства реализации: Сети должны управляться и контролироваться, чтобы защитить информацию в системах и приложениях.
A.12.1.1 A.12.1.1 Документированные рабочие процедуры
Средства реализации: Рабочие процедуры должны быть документированы и доступны всем пользователям, которым они необходимы.
A.10.1.1 A.10.1.1 Политика использования криптографических методов защиты
Средства реализации: Должна быть разработана и внедрена политика использования криптографических методов для защиты информации.
A.14.1.2 A.14.1.2 Безопасность прикладных услуг в сетях общего пользования
Средства реализации: Информация, используемая прикладными услугами, передающаяся по общедоступным сетям, должна быть защищена от мошеннических действий, претензий, связанных с нарушениями контрактных обязательств, и несанкционированного раскрытия и изменения.
SWIFT Customer Security Controls Framework v2022:
1 - 1.4 Restriction of Internet Access
1.4 Restriction of Internet Access
2 - 2.9 Transaction Business Controls
2.9 Transaction Business Controls

Связанные защитные меры

Название Дата Влияние
Community
1 21 / 52
Антивирусная защита рабочих станций
Постоянно Автоматически Техническая Превентивная
11.02.2022
11.02.2022 1 21 / 52
Цель: базовая антивирусная защита на уровне конечных точек (endpoints)
На рабочих станциях (АРМ, компьютерах) пользователей установлено средство антивирусной защиты (АВЗ). 
Конфигурация АВЗ (пример):
  • АВЗ обновляется самостоятельно на регулярной основе.
  • АВЗ осуществляет проверку подключаемых съемных носителей информации.
  • АВЗ установлено на всех типах рабочих станций (Windows, Linux).
Примечание: Централизованное управление АВЗ выделено в отдельную защитную меру.

Рекомендации к заполнению карточки:
  • Указать название АВЗ, его модули и базовые настройки.
  • Если часть представленных функций (конфигурации) неверна для конкретной инфраструктуры - следует удалить связи с не выполненными требованиями документов.
Community
1 3 / 20
Ограничение (блокировка) доступа к некорпоративным облачным сервисам
Постоянно Автоматически Техническая Превентивная
09.11.2021
09.11.2021 1 3 / 20
Цель: сокращение каналов утечки информации.

Возможные инструменты для реализации меры:
  • Межсетевой экран с функциями HTTPS inspection и Application Control;
  • Любое Endpoint protection ПО с функцией ограничения доступа в интернет;
  • Брокер безопасного доступа в облако (CASB).
В зависимости от политики организации и возможностей средств защиты ограничение может быть полным или частичным: 
  • ко всем или к части облачных сервисов;
  • для всех или для части узлов инфраструктуры;
  • полностью на доступ или только на запись.
Альтернативная защитная мера: Обнаружение записи рабочей информации в некорпоративные облачные сервисы

Рекомендации к заполнению карточки:
  • Описать политику ограничений (белый/черный список облачных сервисов, матрицу доступа);
  • Описать используемые параметры средства защиты;
  • Добавить шаблон формы допуска, инструкцию по предоставлению доступа к облачным сервисам.
Community
1 3 / 20
Обнаружение записи рабочей информации в некорпоративные облачные сервисы
По событию Автоматически Техническая
09.11.2021
09.11.2021 1 3 / 20
Цель: предотвращение утечки конфиденциальной информации при работе с общедоступными облачными сервисами.

В компании может быть разрешено использование некорпоративных облачных сервисов (например, облачного хранилища Google Диск или Яндекс Диск), при этом вестись протоколирование и аудит записываемой в облачные хранилища информации.

Варианты реализации:
  • Система обнаружения утечек информации (DLP)
  • Межсетевой экран с функциями HTTPS inspection, Application Control и DLP
  • Брокер безопасного доступа в облако (CASB)
В дополнение к данной мере в компании должна быть определена политика в отношении использования облачных сервисов.
Альтернативная защитная мера: полная или частичная блокировка доступа к некорпоративным облачным сервисам.

Рекомендации к заполнению карточки:
  • Описать политику ипользования некорпоративных облачных сервисов;
  • Добавить шаблон регулярной задачи по анализу журналов средств защиты;
  • Добавить шаблон регулярной задачи по поиску конфиденциальной информации на общедоступных облачных сервисах.