PR.IP-1: Базовая конфигурация ИТ-систем
Базовая конфигурация ИТ/ОТ-систем создана и поддерживается
Подробное описание
PR.IP-1 требует разработки и поддержания задокументированных базовых конфигураций безопасности (security baselines) для всех информационных систем организации. Эталонные конфигурации должны основываться на отраслевых стандартах хардинга (CIS Benchmarks, DISA STIG), регулярно обновляться и применяться через автоматизированные средства развертывания. Контроль включает создание золотых образов (golden images), использование инфраструктуры как кода (Terraform, Ansible, Chef), непрерывный мониторинг отклонений конфигурации (configuration drift detection) и процесс управления изменениями. Базовые конфигурации охватывают операционные системы, сетевое оборудование, СУБД, middleware, контейнеры и облачные сервисы.
Практические шаги внедрения
- 1
Инвентаризировать все типы ИТ-активов и сгруппировать по категориям (серверы Windows/Linux, сетевое оборудование, СУБД, контейнеры)
- 2
Разработать базовые конфигурации на основе CIS Benchmarks Level 1/2, DISA STIG или NIST SP 800-128, адаптировав под требования организации
- 3
Создать золотые образы (golden images) для типовых систем с предустановленными настройками безопасности и обязательным ПО
- 4
Автоматизировать применение конфигураций через Infrastructure as Code (Terraform, Ansible, Puppet) и систему управления конфигурациями
- 5
Внедрить систему непрерывного мониторинга отклонений конфигурации (OSSEC, Wazuh, Chef InSpec, OpenSCAP) с алертингом при drift
- 6
Установить процесс регулярного пересмотра базовых конфигураций (ежеквартально или при выходе критических обновлений стандартов)
- 7
Документировать все исключения из базовых конфигураций с обоснованием бизнес-необходимости и компенсирующими мерами
Типичные нарушения
Использование дефолтных настроек производителя без применения хардинга (открытые порты, включенные по умолчанию службы, слабые SSL/TLS cipher suites)
Отсутствие централизованного репозитория эталонных конфигураций и версионирования изменений базовых настроек
Ручное развертывание систем без использования автоматизированных средств, что приводит к расхождению конфигураций (configuration drift)
Игнорирование отклонений от базовых конфигураций, выявленных сканерами compliance (отсутствие процесса устранения или документирования исключений)
Отсутствие регулярного обновления базовых конфигураций при выходе новых версий CIS Benchmarks или после обнаружения критических уязвимостей
Почему это важно
Унифицированные защищённые конфигурации критически важны для снижения поверхности атаки и предотвращения эксплуатации известных уязвимостей в дефолтных настройках. По данным CIS, 80% успешных атак используют неправильные конфигурации, а не zero-day уязвимости. Автоматизированное управление базовыми конфигурациями обеспечивает масштабируемость защиты, снижает риск человеческой ошибки при развертывании и позволяет быстро реагировать на новые угрозы путём централизованного обновления эталонов.
Проверяемые категории
Связанные контроли
Связанные контроли в других фреймворках
GDPR (ОРЗД)
ISO 27001:2022
SOC 2 Type II
ГОСТ Р 57580.1-2017
Проверьте соответствие автоматически
Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.