Соответствие требованиям

Куда я попал?

Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.

Подробнее

Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014

Р. 7 п. 9 п.п. 5

Для проведения оценки соответствия по документу войдите в систему.

Показывать только требования

7.9.5. Должны быть определены, выполняться и контролироваться требования к обеспечению ИБ в процессе взаимодействия АБС организаций БС РФ с информационными системами сторонних организаций (внешними информационными системами).

Связанные защитные меры

	Название	Дата	Влияние
Community 3 17 / 44	Установка обновлений для ОС Linux Ежемесячно Вручную Техническая Превентивная Компенсирующая 31.05.2022	31.05.2022	3 17 / 44
Цель: устранение технических уязвимостей в операционных системах Linux. Варианты реализации: вручную или автоматически (например, с использованием unattended-upgrades). Возможный алгоритм действий: Установка обновлений на тестовой среде, проверка работоспособности. Предварительное резервное копирование хостов, по необходимости. Например, для критичных серверов. Предупреждение владельцев обновляемых активов, планирование и согласование времени проведения обновлений. Проведение обновления. Проверка работоспособности обновленной ОС и размещенных на ОС прикладных приложений/систем. Процедура может быть совмещена с иными профилактическими мероприятиями - контролем установленных средств защиты, проверкой конфигурации на соответствие требованиям безопасности и т.п. Инструкции для обновлений от производителей операционных систем: Red Hat EL, Ubuntu, Debian. Команды для обновления приложений в Ubuntu: Получение актуальных версий пакетов sudo apt update Вывод списка затрагиваемых пакетов apt list --upgradable Выполнение обновления всех пакетов sudo apt upgrade или sudo apt full-upgrade upgrade - устанавливает самые новые версии всех пакетов доступные в репозиториях. Использует все репозитории их /etc/apt/souces.list и /etc/apt/souces.list.d/. Происходит обновление только установленных пакетов, если же для обновления пакета необходимо установить или удалить другой пакет, такие пакеты обновлены не будут. full-upgrade* - поддерживается умное разрешение зависимостей для новых версий пакетов, конфликтующие пакеты могут быть удалены, а новые, дополнительные - установлены. *Рекомендации к заполнению карточки:* Описать политику установки обновлений (объем устанавливаемых обновлений, режим/процедуру установки). В карточке или как ссылку на внешний документ. Если обновления устанавливаются вручную - создать шаблон регулярной задачи на проведение обновлений.
Community 18 10 / 69	Настройка безопасной конфигурации для серверов ОС Linux Разово Вручную Техническая Превентивная 16.05.2022	16.05.2022	18 10 / 69
Цель: сокращение поверхности атаки. Часть общего процесса управления безопасностью конфигураций (Hardening). Общий алгоритм: Определить, задокументировать требования к безопасности конфигурации. Применить безопасную конфигурацию на существующих хостах. Применять безопасную конфигурацию на новых хостах в рамках процесса их ввода в эксплуатацию. Регулярно проверять конфигурацию хостов на соответствие установленным требованиям. Источником для формирования требований к безопасности конфигурации служат: Руководства по настройке безопасности от производителя (например, Red Hat Enterprise Linux Security guide); Руководства по настройке безопасности (например, CIS CentOS Linux Benchmarks, CIS Debian Linux Benchmarks, CIS Red Hat Enterprise Linux Benchmarks, CIS Ubuntu Linux Benchmarks, SCAP Security Guide Project, FIPS for Ubuntu); Рекомендации регулирующих органов и отрасли; Собственные наработки и решения. Документирование требований осуществляется в зависимости от принятых подходов в организации. Вариант реализации: описать требования в карточке защитной меры. Пример документа Отклонения от выбранной конфигурации документируются вместе с обоснованием и применяемыми компенсирующими мерами. Вариант реализации: вести учет отклонений в заметках к карточкам активов (хостов) либо защитной мере. Минимальные требования к безопасной конфигурации: Изменить пароли по умолчанию. Настроить SSH Настроить сложность паролей Настроить смену (жизненный цикл) паролей Настроить политику аутентификации Отключить или удалить ненужные учетные записи пользователей Отключить или ограничить ненужные службы, порты и протоколы Удалить ненужное программное обеспечение При необходимости ограничить физические порты Настроить баннеры при входе В зависимости от выстроенной в компании инфраструктуры к требованиям безопасности конфигурации могут быть отнесены: Подключение хоста к корпоративной системе мониторинга Настройка передачи логов на централизованный сервер (nxlog, SEM / SIEM) Конфигурация NTP и часового пояса Настройка может осуществляться вручную, скриптами или с использованием централизованных систем управления конфигурацией (например, Ansible). Контроль конфигурации может осуществляться скриптами, системами контроля конфигураций, сканерами уязвимостей с соответствующим модулем контроля конфигураций. Показателем эффективности процесса может являться: - общий процент соответствия требованиям (суммарно по всем хостам), - процент хостов, соответствующих требованиям. *Рекомендации к заполнению карточки:* Каждый из этапов процесса (определение требований, первичная настройка, ввод в эксплуатацию новых хостов, контроль соответствия) может быть описан отдельной защитной мерой. Описать принятый в компании перечень требований к безопасности конфигурации. Если для приведения в соответствие и/или контроля конфигураций используется ПО - зарегистрировать его в реестре активов и привязать к мере как инструмент Если ведется учет (реестр) скриптов - привязать использующиеся скрипты как инструмент Добавить шаблон регулярной задачи по проверке конфигураций. Добавить шаблон регулярной задачи на пересмотр/актуализацию набора требований безопасности
Community 13 / 61	Проведение штабных киберучений Ежегодно Вручную Организационная 08.05.2022	08.05.2022	13 / 61
Цель: проверка реагирования службы информационной безопасности и персонала компании на типовые сценарии инцидентов безопасности. Штабные киберучения позволяют проверить как будет производиться реагирование на различные сценарии угроз и определить необходимую степень взаимодействия между различным персоналом, как со стороны службы информационной безопасности, так и со стороны других подразделений организации. В отличие от проведения тестирования на проникновение или проведения тренировок на киберполигоне штабные киберучения не требуют работы с инфраструктурой, но требуют построения четкого плана по минимизации рисков той или иной угрозы. Примеры сценариев для киберучений Способ реализации: самостоятельно или с привлечением внешних контрагентов/консультантов. *Рекомендации к заполнению карточки:* Создать шаблон регулярной задачи на проведение киберучений. В результатах выполненных задач или в заметках к мере вести учет принятых корректирущих действий по результатам киберучений.
Community 1 15 / 42	Централизованная установка обновлений для ОС Windows через WSUS сервер Ежедневно Автоматически Техническая Превентивная Компенсирующая 04.05.2022	04.05.2022	1 15 / 42
Цель: устранение технических уязвимостей в системном и прикладном ПО Microsoft Для доменной инфраструктуры Windows централизация установки обновлений ОС и продуктов Microsoft (Edge, Office) осуществляется через службу обновлений Windows Server Update Services (WSUS). Обновления могут устанавливаться автоматически или вручную. Режим обновления может быть различным в зависимости от типа обновляемых активов. Например для ПК - автоматическая установка, а на серверы - вручную администратором. Могут устанавливаться все обновления или только критические обновления и обновления безопасности. Настройка режима обновления осуществляется на уровне службы WSUS и на уровне ПК/Серверов через групповые политики домена (GPO). *Рекомендации к заполнению карточки:* Описать политику установки обновлений (объем устанавливаемых обновлений, режим/процедуру установки) Добавить WSUS сервер(ы) в реестр активов (тип - WSUS) и связать с карточкой как инструменты. Описать политики (GPO) обновлений. Если GPO ведутся в реестре активов - связать с карточкой меры как инструменты. Добавить шаблон регулярной задачи на контроль работоспособности WSUS
Community 27 / 48	Ведение реестра информационных активов По событию Вручную Организационная 16.03.2022	16.03.2022	27 / 48
Цель: учёт, инвентаризация активов различного типа Типы активов, подлежащие в учёту, определяются в зависимости от уровня зрелости компании, исполняемых требований и целей. Варианты реализации: Бумажные реестры Электронные таблицы (excel) CMDB/ITAM системы Сервис SECURITM (модуль Активы) В заметке к защитной мере приведен пример регламента учёта информационных активов на базе SECURITM. *Рекомендации к заполнению карточки:* Написать регламент учета активов и разместить его прямо в карточке или как ссылку на внешний документ Указать перечень учитываемых типов активов
Community 1 12 / 73	Блокировка возможности удаленного завершения работы в ОС Windows Постоянно Автоматически Техническая Превентивная 25.02.2022	25.02.2022	1 12 / 73
Цель: запрет удаленного завершения работы ОС Windows всем группам пользователей кроме локальных администраторов. Любой пользователь, который может отключить устройство, может вызвать отказ в обслуживании как самого оборудования, операционной системы, так и работающих на данной ОС сервисов и приложений. Поэтому право на удаленное завершение работы и перезагрузку должно быть строго ограничено. Наиболее актуальна данная мера для серверных экземпляров ОС. Настройка с помощью групповой политики: `Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя. Параметр: Принудительное удаленное завершение работы. Значение: Администраторы` *Рекомендации к заполнению карточки:* Если ведется реестр групповых политик (GPO) - привязать соответствующую политику к карточке как инструмент
Community 1 28 / 50	Сканирование внешнего сетевого периметра на наличие уязвимостей Еженедельно Автоматически Техническая Детективная 11.02.2022	11.02.2022	1 28 / 50
Цель: управление техническими уязвимостями Регулярное сканирование всех публичных IP адресов компании сканером уязвимостей. Сканирование проводится из Интернета (из вне инфраструктуры). Варианты реализации Купить соответствующую услугу у компании, занимающейся информационной безопасностью Развернуть собственный экземпляр сканера уязвимостей (или его агент) на внешних, облачных серверах Купить подписку на облачный сканер уязвимостей Воспользоваться бесплатными инструментами Например: Сканер уязвимостей Qualys Community Edition позволяет проводить регулярное полноценное сканирование ограниченного количества публичных IP адресов Результаты сканирования могут загружаться в SECURITM (модуль VM) и обрабатываться в рамках процесса управления техническими уязвимостями. *Рекомендации к заполнению карточки:* Указать название сканера, область и периодичность сканирования. Сканер (актив) привязать к карточке как инструмент Если ведётся реестр публичных адресов - привязать адреса к карточке как инструмент. Если сканирование запускается вручную - создать в карточке шаблон задачи на проведение регулярного сканирования
Community 1 8 / 71	Доведение до новых работников документов по информационной безопасности По событию Вручную Организационная Удерживающая 28.10.2021	28.10.2021	1 8 / 71
Цель: Ознакомление с действующими в компании документами по информационной безопасности (политики, положения, обязательства) под подпись при трудоустройстве. Варианты реализации, в зависимости от специфики организации: В момент трудоустройства и подписания трудового договора (в кадровом подразделении); После трудоустройства в службе безопасности или информационных технологий; После трудоустройства на рабочем месте (ответственность непосредственного руководителя). *Рекомендации к заполнению карточки:* Зафиксировать ответственное за сбор подписей подразделение и место хранения реестров с подписями. Добавить шаблон регулярной контрольной задачи по проверке наличия реестров с подписями
Community 4 5 / 58	Подписание работниками обязательств о конфиденциальности Разово Вручную Организационная Удерживающая 12.10.2021	12.10.2021	4 5 / 58
Цель: закрепление за работниками ответственности за нарушения информационной безопасности. Обязательство о конфиденциальности - минималистичный (в идеале одностраничный) документ который подписывает работник. Документ формулируется от первого лица: я обязуюсь..., я уведомлен..., я согласен.... Обязательство следует делать универсальным документом, закрывающим различные требования по безопасности: коммерческая тайна, персональные данные, легитимизация систем защиты и мониторинга, материальная ответственность и т.д. Варианты утверждения: Как самостоятельный документ, отдельным приказом; Как часть другого документа, например, Положения о коммерческой тайне. Варианты распространения: Первичный сбор обязательств осуществляется руководителями подразделений, канцелярией, службой документооборота; Подписание обязательств новыми работниками осуществляется службой персонала в процессе оформления трудоустройства. Варианты контроля: Контроль наличия обязательств осуществляется службой информационной безопасности в рамках внутреннего аудита подразделений; Контроль подписания обязательств возлагается на кадровые подразделения или руководителей подразделений. В заметке к мере приведен шаблон обязательства о конфиденциальности. *Рекомендации к заполнению карточки:* Приложить к карточке шаблон обязательства, подписываемого работниками, или ссылку на содержащий его документ; Добавить шаблон регулярной контрольной задачи на проверку наличия подписанных обязательств, если контроль не осуществляется в рамках иной защитной меры.
Community 11 / 22	Разработка высокоуровневой политики информационной безопасности Разово Вручную Организационная Удерживающая 03.06.2021	03.06.2021	11 / 22
Общая и публичная политика постулирующая позицию компании по вопросам информационной безопасности. В заметке к защитной мере приведен пример высокоуровневой Политики информационной безопасности *Рекомендации к заполнению карточки:* Описать в карточке меры политику компании или привести ссылку на документ Создать шаблон регулярной задачи на пересмотр политики

Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014

Р. 7 п. 9 п.п. 5

Похожие требования

Связанные защитные меры