КиберОценка

7.2: Защита вычислительных сетей

Обеспечение защиты информации при её передаче по вычислительным сетям

Подробное описание

Контроль 7.2 устанавливает требования к защите информации в процессе её передачи по вычислительным сетям организации, включая локальные сети, корпоративные каналы связи и подключения к внешним сетям. Данный контроль направлен на обеспечение конфиденциальности, целостности и доступности информации при сетевой передаче путём применения криптографических методов защиты, сегментации сетей, контроля трафика и мониторинга аномалий. Для кредитных организаций особое значение имеет защита каналов передачи персональных данных клиентов, платёжной информации и сведений, составляющих банковскую тайну, в соответствии с требованиями Положения ЦБ РФ № 683-П и стандарта СТО БР ИББС-1.0-2014.

Практические шаги внедрения

  1. 1

    Провести инвентаризацию всех вычислительных сетей и каналов передачи данных, классифицировать их по уровням критичности передаваемой информации

  2. 2

    Внедрить сегментацию сети с выделением защищённых сегментов для обработки персональных данных и критичных банковских операций в соответствии с требованиями 152-ФЗ и 683-П

  3. 3

    Развернуть шифрование трафика с использованием сертифицированных СКЗИ (VipNet, КриптоПро IPsec) на всех каналах передачи информации ограниченного доступа

  4. 4

    Настроить межсетевые экраны и системы обнаружения/предотвращения вторжений (IDS/IPS) для контроля сетевого трафика и блокирования несанкционированных подключений

  5. 5

    Организовать мониторинг сетевого трафика с анализом аномалий и протоколированием событий безопасности в соответствии с требованиями 719-П

  6. 6

    Внедрить систему контроля доступа к сетевым ресурсам на основе политик сегментации (Network Access Control) с проверкой соответствия подключаемых устройств требованиям ИБ

  7. 7

    Регулярно проводить тестирование на проникновение и сканирование уязвимостей сетевой инфраструктуры с привлечением независимых аудиторов

Типичные нарушения

  • Отсутствие шифрования трафика при передаче персональных данных клиентов между филиалами кредитной организации по выделенным каналам связи

  • Недостаточная сегментация сети: размещение серверов обработки платёжных операций и рабочих станций пользователей в одном широковещательном домене без межсетевых экранов

  • Использование несертифицированных средств криптографической защиты информации (SSL/TLS вместо ГОСТ-алгоритмов) для защиты каналов передачи информации ограниченного доступа

  • Отсутствие или недостаточная настройка систем обнаружения вторжений: невозможность выявления сканирования портов, попыток эксплуатации уязвимостей и DDoS-атак

  • Неполное протоколирование сетевых событий безопасности и отсутствие регулярного анализа журналов межсетевых экранов и IDS/IPS

Почему это важно

Вычислительные сети являются критичным элементом инфраструктуры финансовых организаций, через которые передаются платёжные поручения, персональные данные миллионов клиентов и конфиденциальные сведения о финансовых операциях. Компрометация сетевых каналов может привести к утечке данных платёжных карт, несанкционированному переводу денежных средств клиентов, нарушению требований 152-ФЗ и Положения 683-П с риском штрафов до 500 000 рублей и предписаний Банка России. Реализация контроля 7.2 обеспечивает защиту от перехвата трафика, подмены данных и сетевых атак, что критично для поддержания непрерывности банковских операций и соответствия регуляторным требованиям.

Проверяемые категории

DNSOpen PortsConfigurationSubdomain TakeoverData Localization

Связанные контроли

Связанные контроли в других фреймворках

Проверьте соответствие автоматически

Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.

Запустите бесплатный аудит безопасности