КиберОценка

PR.DS-2: Защита данных при передаче

Данные при передаче защищены

Подробное описание

Контроль PR.DS-2 требует обеспечения конфиденциальности и целостности данных при передаче по сетям с помощью криптографических средств. Основные механизмы включают TLS 1.2/1.3 для веб-трафика, IPsec для VPN-соединений, S/MIME или PGP для защиты электронной почты. Организация должна применять современные криптографические протоколы, отключать устаревшие cipher suites (RC4, 3DES, TLS 1.0/1.1) и внедрять HSTS для предотвращения downgrade-атак. Контроль тесно связан с PR.DS-1 (защита данных в покое) и рекомендациями NIST SP 800-52 по настройке TLS.

Практические шаги внедрения

  1. 1

    Провести инвентаризацию всех каналов передачи данных (веб-приложения, API, email, VPN, file transfer) и определить требования к шифрованию

  2. 2

    Внедрить TLS 1.2 или 1.3 для всех HTTPS-соединений, настроить HTTP Strict Transport Security (HSTS) с max-age не менее 31536000 секунд

  3. 3

    Отключить устаревшие протоколы (SSLv2, SSLv3, TLS 1.0/1.1) и слабые cipher suites (RC4, DES, 3DES, MD5) на всех веб-серверах и балансировщиках нагрузки

  4. 4

    Развернуть IPsec или WireGuard VPN для удаленного доступа сотрудников, настроить certificate-based authentication и Perfect Forward Secrecy (PFS)

  5. 5

    Внедрить S/MIME или PGP для шифрования конфиденциальной корреспонденции, создать политику обязательного шифрования для данных категорий PII и коммерческой тайны

  6. 6

    Настроить Certificate Pinning для критичных мобильных приложений и использовать DNSSEC для защиты от подмены DNS-записей

  7. 7

    Регулярно сканировать внешние сервисы с помощью SSL Labs, testssl.sh или nmap --script ssl-enum-ciphers для выявления слабых конфигураций TLS

Типичные нарушения

  • Использование HTTP вместо HTTPS для передачи учётных данных или персональных данных, отсутствие автоматического редиректа с HTTP на HTTPS

  • Поддержка устаревших протоколов TLS 1.0/1.1 или слабых cipher suites (например, CBC-режимов без защиты от BEAST/POODLE) из-за требований совместимости с legacy-системами

  • Отсутствие HSTS или неправильная настройка (короткий max-age, отсутствие includeSubDomains), что позволяет выполнить SSL stripping атаку

  • Незашифрованная передача резервных копий или файлов через FTP, SMB без шифрования, использование telnet или rlogin вместо SSH

  • Отсутствие валидации сертификатов в API-клиентах (игнорирование ошибок SSL/TLS), что делает систему уязвимой к атакам man-in-the-middle через поддельные CA

Почему это важно

Незащищённая передача данных позволяет злоумышленникам перехватывать конфиденциальную информацию (пароли, токены доступа, персональные данные клиентов) через атаки man-in-the-middle в публичных Wi-Fi сетях или скомпрометированных маршрутизаторах. Согласно Verizon DBIR 2024, 43% утечек данных связаны с перехватом трафика в незащищённых каналах. Внедрение PR.DS-2 обеспечивает соответствие GDPR (Article 32), PCI DSS 4.0 (Requirement 4), HIPAA Security Rule и защищает репутацию компании от инцидентов утечки данных.

Проверяемые категории

SSL/TLSEmail SecuritySecurity Headers

Связанные контроли

Связанные контроли в других фреймворках

Проверьте соответствие автоматически

Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.

Запустите бесплатный аудит безопасности