| 1. Сегментація мережі | Мережеві сегменти повинні бути чітко відокремлені, з обмеженим доступом між внутрішньою мережею, DMZ-зоною та Інтернетом. | ISO 27001:2022, A.13.1.3; PCI DSS v4.0, п. 1.2.1; НБУ Постанова №75 |
| 2. Контроль доступу до ресурсів | Впровадження суворих правил контролю доступу до серверів у DMZ на основі ролей, мінімізації прав доступу. | ISO 27002:2022, 9.4.3; PCI DSS v4.0, п. 7.2; Закон України "Про захист персональних даних" |
| 3. Аутентифікація та авторизація | Використання двофакторної аутентифікації для адміністраторів та всіх, хто має доступ до критичних ресурсів у DMZ. | ISO 27002:2022, 9.4.2; PCI DSS v4.0, п. 8.3; НБУ Постанова №43 |
| 4. Логування і моніторинг | Всі події у DMZ повинні бути автоматично записані в журнали, зберігатися і періодично перевірятися. | ISO 27001:2022, A.12.4.1; PCI DSS v4.0, п. 10.1; НБУ Постанова №217 |
| 5. Оцінка ризиків | Проводити регулярну оцінку ризиків для визначення загроз у DMZ, включаючи вразливості нових технологій. | ISO 27005:2022, п. 5.4; ISO 31000:2018, п. 6.3; COBIT 2019, EDM03 |
| 6. Захист від шкідливого ПЗ | Установити системи захисту від шкідливого ПЗ на всіх серверах і мережевих пристроях у DMZ. | ISO 27001:2022, A.12.2.1; PCI DSS v4.0, п. 5.1; НБУ Постанова №95 |
| 7. Регулярні оновлення і патчі | Оновлення програмного забезпечення та систем безпеки в DMZ повинні проводитися регулярно для захисту від нових загроз. | ISO 27002:2022, 12.5.1; PCI DSS v4.0, п. 6.2; Кращі практики Cisco, Microsoft |
| 8. Процедури аварійного відновлення | Впровадження та тестування планів аварійного відновлення для серверів і пристроїв у DMZ. | ISO 27001:2022, A.17.1.2; PCI DSS v4.0, п. 11.1; НБУ Постанова №243 |
| 9. Оцінка ефективності заходів безпеки | Регулярно проводити аудит безпеки та тестування заходів захисту DMZ для забезпечення їх ефективності. | ISO 27001:2022, A.18.2.3; PCI DSS v4.0, п. 12.11; ТОGAF 10, ADM |
| 10. Виявлення і реагування на інциденти | Необхідно впровадити системи для автоматичного виявлення і швидкого реагування на інциденти безпеки в DMZ. | ISO 27002:2022, 16.1.1; PCI DSS v4.0, п. 12.5; НБУ Постанова №65 |
| 11. Безпека в хмарних середовищах | При розгортанні DMZ у хмарі необхідно враховувати відповідальність між хмарним провайдером та клієнтом за захист інфраструктури. Важливо чітко розмежувати зони відповідальності. | ISO/IEC 27017:2015, п. 5.1 |
| 12. Контроль доступу до хмарних ресурсів | Всі адміністратори і користувачі з доступом до хмарних ресурсів, пов'язаних з DMZ, повинні мати відповідні ролі і права, з акцентом на мінімізацію прав доступу. | ISO/IEC 27017:2015, п. 9.4 |
| 13. Захист персональних даних у хмарі | Якщо DMZ обробляє персональні дані, необхідно застосовувати додаткові заходи для захисту таких даних, зокрема шифрування та контроль доступу. | ISO/IEC 27018:2019, п. 4.1; Закон України "Про захист персональних даних" |
| 14. Шифрування даних у хмарі | Всі дані, які передаються через DMZ в хмарних середовищах, повинні бути зашифровані на рівні мережевих передач та зберігання. | ISO/IEC 27018:2019, п. 5.2.1 |
| 15. Виявлення та реагування на інциденти у хмарі | Необхідно забезпечити наявність інструментів для виявлення інцидентів безпеки в хмарному середовищі, зокрема в зоні DMZ, та швидке реагування на них. | ISO/IEC 27017:2015, п. 16.1 |
| 16. Моніторинг та аудит хмарних середовищ | Регулярний моніторинг подій у DMZ та хмарі має проводитися для оцінки ефективності заходів безпеки, зокрема в межах процесу аудиту. | ISO/IEC 27017:2015, п. 12.4 |
| 17. Інформування про інциденти з персональними даними | У разі виявлення інцидентів, пов'язаних з персональними даними у DMZ, необхідно мати механізми для швидкого інформування про це відповідальних осіб. | ISO/IEC 27018:2019, п. 9.1 |
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
