![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Вимоги, що підсилюють захист DMZ у разі використання хмарних рішень, зокрема при роботі з персональними даними та інфраструктурою як послугою (IaaS).
| Вимога | Опис | Посилання на стандарт або нормативний акт |
|---|---|---|
| 1. Сегментація мережі | Мережеві сегменти повинні бути чітко відокремлені, з обмеженим доступом між внутрішньою мережею, DMZ-зоною та Інтернетом. | ISO 27001:2022, A.13.1.3; PCI DSS v4.0, п. 1.2.1; НБУ Постанова №75 |
| 2. Контроль доступу до ресурсів | Впровадження суворих правил контролю доступу до серверів у DMZ на основі ролей, мінімізації прав доступу. | ISO 27002:2022, 9.4.3; PCI DSS v4.0, п. 7.2; Закон України "Про захист персональних даних" |
| 3. Аутентифікація та авторизація | Використання двофакторної аутентифікації для адміністраторів та всіх, хто має доступ до критичних ресурсів у DMZ. | ISO 27002:2022, 9.4.2; PCI DSS v4.0, п. 8.3; НБУ Постанова №43 |
| 4. Логування і моніторинг | Всі події у DMZ повинні бути автоматично записані в журнали, зберігатися і періодично перевірятися. | ISO 27001:2022, A.12.4.1; PCI DSS v4.0, п. 10.1; НБУ Постанова №217 |
| 5. Оцінка ризиків | Проводити регулярну оцінку ризиків для визначення загроз у DMZ, включаючи вразливості нових технологій. | ISO 27005:2022, п. 5.4; ISO 31000:2018, п. 6.3; COBIT 2019, EDM03 |
| 6. Захист від шкідливого ПЗ | Установити системи захисту від шкідливого ПЗ на всіх серверах і мережевих пристроях у DMZ. | ISO 27001:2022, A.12.2.1; PCI DSS v4.0, п. 5.1; НБУ Постанова №95 |
| 7. Регулярні оновлення і патчі | Оновлення програмного забезпечення та систем безпеки в DMZ повинні проводитися регулярно для захисту від нових загроз. | ISO 27002:2022, 12.5.1; PCI DSS v4.0, п. 6.2; Кращі практики Cisco, Microsoft |
| 8. Процедури аварійного відновлення | Впровадження та тестування планів аварійного відновлення для серверів і пристроїв у DMZ. | ISO 27001:2022, A.17.1.2; PCI DSS v4.0, п. 11.1; НБУ Постанова №243 |
| 9. Оцінка ефективності заходів безпеки | Регулярно проводити аудит безпеки та тестування заходів захисту DMZ для забезпечення їх ефективності. | ISO 27001:2022, A.18.2.3; PCI DSS v4.0, п. 12.11; ТОGAF 10, ADM |
| 10. Виявлення і реагування на інциденти | Необхідно впровадити системи для автоматичного виявлення і швидкого реагування на інциденти безпеки в DMZ. | ISO 27002:2022, 16.1.1; PCI DSS v4.0, п. 12.5; НБУ Постанова №65 |
| 11. Безпека в хмарних середовищах | При розгортанні DMZ у хмарі необхідно враховувати відповідальність між хмарним провайдером та клієнтом за захист інфраструктури. Важливо чітко розмежувати зони відповідальності. | ISO/IEC 27017:2015, п. 5.1 |
| 12. Контроль доступу до хмарних ресурсів | Всі адміністратори і користувачі з доступом до хмарних ресурсів, пов'язаних з DMZ, повинні мати відповідні ролі і права, з акцентом на мінімізацію прав доступу. | ISO/IEC 27017:2015, п. 9.4 |
| 13. Захист персональних даних у хмарі | Якщо DMZ обробляє персональні дані, необхідно застосовувати додаткові заходи для захисту таких даних, зокрема шифрування та контроль доступу. | ISO/IEC 27018:2019, п. 4.1; Закон України "Про захист персональних даних" |
| 14. Шифрування даних у хмарі | Всі дані, які передаються через DMZ в хмарних середовищах, повинні бути зашифровані на рівні мережевих передач та зберігання. | ISO/IEC 27018:2019, п. 5.2.1 |
| 15. Виявлення та реагування на інциденти у хмарі | Необхідно забезпечити наявність інструментів для виявлення інцидентів безпеки в хмарному середовищі, зокрема в зоні DMZ, та швидке реагування на них. | ISO/IEC 27017:2015, п. 16.1 |
| 16. Моніторинг та аудит хмарних середовищ | Регулярний моніторинг подій у DMZ та хмарі має проводитися для оцінки ефективності заходів безпеки, зокрема в межах процесу аудиту. | ISO/IEC 27017:2015, п. 12.4 |
| 17. Інформування про інциденти з персональними даними | У разі виявлення інцидентів, пов'язаних з персональними даними у DMZ, необхідно мати механізми для швидкого інформування про це відповідальних осіб. | ISO/IEC 27018:2019, п. 9.1 |
Примітки:
- ISO/IEC 27017:2015 надає додаткові рекомендації щодо безпеки в хмарних середовищах, зокрема для забезпечення безпеки DMZ в хмарі.
- ISO/IEC 27018:2019 фокусується на захисті персональних даних, що є критичним при обробці таких даних у хмарних інфраструктурах.
Примітки:
- Посилання на конкретні пункти стандартів та нормативних актів надають рекомендації для впровадження вимог.
- Кращі практики Cisco, Fortinet, Microsoft враховують методи захисту мережевого периметру, управління доступом та хмарних інфраструктур.
Кращі практики Cisco:
- Cisco Safe Architecture:
- Розподіл мережевих зон: Рекомендується чітко відокремлювати критичні ресурси (внутрішня мережа) від зовнішніх (Інтернет) за допомогою DMZ. Роль DMZ — забезпечити захищений шлюз для публічно доступних ресурсів.
- Джерело: Cisco SAFE Design Guide.
- Розподіл мережевих зон: Рекомендується чітко відокремлювати критичні ресурси (внутрішня мережа) від зовнішніх (Інтернет) за допомогою DMZ. Роль DMZ — забезпечити захищений шлюз для публічно доступних ресурсів.
- Cisco Next-Generation Firewalls (NGFW):
- Додаткові механізми захисту: Використання систем глибокого аналізу трафіку, виявлення вторгнень (IDS/IPS) та фільтрації шкідливого ПЗ у трафіку через DMZ.
- Джерело: Cisco Firepower NGFW Best Practices.
- Додаткові механізми захисту: Використання систем глибокого аналізу трафіку, виявлення вторгнень (IDS/IPS) та фільтрації шкідливого ПЗ у трафіку через DMZ.
- Сегментація за допомогою ACL (Access Control Lists):
- Контроль доступу між зонами: Використання ACL для точного контролю доступу між різними мережевими зонами, такими як внутрішня мережа, DMZ та Інтернет.
- Джерело: Cisco ASA Firewall Configuration Guide.
- Контроль доступу між зонами: Використання ACL для точного контролю доступу між різними мережевими зонами, такими як внутрішня мережа, DMZ та Інтернет.
Кращі практики Fortinet:
- Fortinet Security Fabric:
- Інтегрований моніторинг та видимість: Використання платформи для централізованого управління та моніторингу мережевих пристроїв у різних зонах, включаючи DMZ, для швидкого виявлення та реагування на загрози.
- Джерело: Fortinet Security Fabric Best Practices.
- Інтегрований моніторинг та видимість: Використання платформи для централізованого управління та моніторингу мережевих пристроїв у різних зонах, включаючи DMZ, для швидкого виявлення та реагування на загрози.
- FortiGate Firewall:
- Застосування політик безпеки: Використання гнучких політик безпеки для контролю трафіку в DMZ з акцентом на мінімізацію доступу до внутрішньої мережі та використання зон захисту для різних рівнів сегментації.
- Джерело: FortiGate NGFW Best Practices.
- Застосування політик безпеки: Використання гнучких політик безпеки для контролю трафіку в DMZ з акцентом на мінімізацію доступу до внутрішньої мережі та використання зон захисту для різних рівнів сегментації.
- Захист від DDoS-атак:
- Фільтрація та захист DMZ від DDoS-атак: Використання технологій Fortinet для виявлення та блокування атак на рівні DMZ, щоб запобігти перевантаженню серверів і доступних з Інтернету ресурсів.
- Джерело: Fortinet DDoS Protection Best Practices.
- Фільтрація та захист DMZ від DDoS-атак: Використання технологій Fortinet для виявлення та блокування атак на рівні DMZ, щоб запобігти перевантаженню серверів і доступних з Інтернету ресурсів.
Кращі практики Microsoft:
- Azure Security Center:
- Моніторинг та реагування в хмарних середовищах: У разі розгортання ресурсів у хмарі Microsoft рекомендує інтеграцію DMZ з Azure Security Center для проактивного виявлення загроз та управління вразливостями.
- Джерело: Microsoft Azure Security Center Best Practices.
- Моніторинг та реагування в хмарних середовищах: У разі розгортання ресурсів у хмарі Microsoft рекомендує інтеграцію DMZ з Azure Security Center для проактивного виявлення загроз та управління вразливостями.
- Active Directory (AD) та Azure AD:
- Управління доступом через AD: Використання ролей та груп доступу для чіткого контролю, хто має права на доступ до ресурсів у DMZ. Рекомендується використовувати двофакторну аутентифікацію (MFA) для додаткового захисту.
- Джерело: Microsoft AD Security Best Practices.
- Управління доступом через AD: Використання ролей та груп доступу для чіткого контролю, хто має права на доступ до ресурсів у DMZ. Рекомендується використовувати двофакторну аутентифікацію (MFA) для додаткового захисту.
- Windows Defender Advanced Threat Protection (ATP):
- Виявлення загроз і захист від шкідливого ПЗ: Впровадження Windows Defender ATP на серверах у DMZ для виявлення та блокування потенційних загроз на основі поведінкових аналізів і захисту в реальному часі.
- Джерело: Microsoft Windows Defender ATP Best Practices.
- Виявлення загроз і захист від шкідливого ПЗ: Впровадження Windows Defender ATP на серверах у DMZ для виявлення та блокування потенційних загроз на основі поведінкових аналізів і захисту в реальному часі.
Терміни і визначення, які використовуються у ISO 27001:2022
У стандарті ISO/IEC 27001:2022 використовується низка термінів і визначень, які є ключовими для розуміння і впровадження системи управління інформаційною безпекою (СУІБ).
Стандарт ISO/IEC 27001:2022 містить детальний перелік термінів і визначень, які є критично важливими для розуміння вимог і ефективного впровадження системи управління інформаційною безпекою (СУІБ). Нижче наведено основні терміни та визначення, що використовуються у цьому стандарті:
Ці терміни є фундаментальними для розуміння підходів до управління інформаційною безпекою та забезпечення відповідності вимогам стандарту ISO/IEC 27001:2022.
У стандарті ISO/IEC 27001:2022 використовується низка термінів і визначень, які є ключовими для розуміння і впровадження системи управління інформаційною безпекою (СУІБ).
Стандарт ISO/IEC 27001:2022 містить детальний перелік термінів і визначень, які є критично важливими для розуміння вимог і ефективного впровадження системи управління інформаційною безпекою (СУІБ). Нижче наведено основні терміни та визначення, що використовуються у цьому стандарті:
Основні терміни та визначення в ISO/IEC 27001:2022:
- Актив (Asset): Ресурс або інформація, що має цінність для організації.
- Загроза (Threat): Потенційне джерело небезпеки для активу, яке може спричинити порушення інформаційної безпеки.
- Уразливість (Vulnerability): Слабке місце або недолік, яке може бути використане для реалізації загрози.
- Інцидент інформаційної безпеки (Information security incident): Подія або серія подій, які можуть призвести до порушення конфіденційності, цілісності або доступності активів.
- Ризик інформаційної безпеки (Information security risk): Поєднання ймовірності реалізації загрози та її наслідків для організації.
- Контроль (Control): Міра або механізм, що застосовується для зменшення ризиків або досягнення цілей інформаційної безпеки.
- Система управління інформаційною безпекою (СУІБ) (Information Security Management System, ISMS): Частина загальної системи управління, яка включає політики, процеси, процедури, рекомендації та ресурси, що використовуються для досягнення та підтримання інформаційної безпеки.
- Політика інформаційної безпеки (Information security policy): Документ, що визначає зобов’язання організації щодо інформаційної безпеки, її цілі та підходи до управління інформаційними активами.
- Актор загрози (Threat actor): Особа або організація, яка може здійснити загрозу, наприклад, зловмисник або природний фактор.
- Ризик (Risk): Вплив невизначеності на цілі, що може мати як позитивні, так і негативні наслідки.
- Захист даних (Data protection): Засоби та заходи, які організація застосовує для захисту інформаційних активів від несанкціонованого доступу, використання, розголошення, зміни або знищення.
- Конфіденційність (Confidentiality): Властивість забезпечення доступу до інформації лише тим особам, які мають на це право.
- Цілісність (Integrity): Властивість забезпечення точності, повноти та достовірності інформації.
- Доступність (Availability): Властивість інформаційних активів бути доступними для використання авторизованими особами у потрібний момент.
- Інформаційний актив (Information asset): Будь-яка інформація або ресурс, що має цінність для організації, включаючи електронні та паперові дані, програмне забезпечення, бази даних, системи та мережі.
- Оцінка ризиків (Risk assessment): Процес виявлення, аналізу і оцінки ризиків для інформаційних активів.
- Управління ризиками (Risk management): Процес визначення та застосування заходів для мінімізації, контролю або перенесення ризиків інформаційної безпеки.
- Залишковий ризик (Residual risk): Ризик, який залишається після застосування заходів контролю.
- Стороння організація (External party): Організація або особа, що не входить до структури компанії, але може взаємодіяти з її інформаційними активами.
- Аудит інформаційної безпеки (Information security audit): Незалежна перевірка та оцінка відповідності процесів і заходів інформаційної безпеки вимогам стандарту.
- Інформаційна безпека (Information security): Захист інформаційних активів від загроз, спрямованих на порушення їхньої конфіденційності, цілісності або доступності.
- Інформаційна система (Information system): Сукупність взаємозалежних компонентів, що використовуються для збору, обробки, зберігання та поширення інформації.
- Безперервність бізнесу (Business continuity): Здатність організації забезпечувати продовження критично важливих бізнес-функцій під час інцидентів.
- Шифрування (Encryption): Процес перетворення інформації у форму, недоступну для несанкціонованих користувачів.
- Управління доступом (Access control): Процедури і технології, які забезпечують доступ до інформаційних активів лише авторизованим користувачам.
Ці терміни є фундаментальними для розуміння підходів до управління інформаційною безпекою та забезпечення відповідності вимогам стандарту ISO/IEC 27001:2022.
Ми постійно всюди кажемо: мінімальні привілеї - мінімальні привілеї. Що це таке? Простими словами приклад:
Модель найменших привілеїв:
- Користувачі мають мінімальний доступ, необхідний для виконання своєї роботи.
- Користувачі не мають доступу до конфіденційних даних, які їм не потрібні.
💻 На стартову сторінку
RBAC WS1 Access
2020-04-24 13:54О том как просто в VMware Workspace ONE можно создавать и редактировать роли:
