CC6.1: Логическая и физическая безопасность
Средства логической и физической безопасности ИТ-активов
Подробное описание
Критерий CC6.1 фокусируется на защите ИТ-активов организации от несанкционированного доступа, повреждения или кражи через логические (программные) и физические средства контроля. В контексте SOC 2 Trust Services Criteria этот контроль требует, чтобы организация внедрила комплексную систему защиты, включающую аутентификацию, авторизацию, шифрование, сегментацию сетей, физические барьеры и системы мониторинга. Критерий применяется ко всем критичным ИТ-активам: серверам, сетевому оборудованию, базам данных, системам хранения данных, рабочим станциям администраторов и физическим помещениям ЦОД. Эффективная реализация CC6.1 обеспечивает соблюдение принципов конфиденциальности, доступности и целостности данных клиентов, что является основой доверия к сервис-провайдеру.
Практические шаги внедрения
- 1
Провести инвентаризацию всех ИТ-активов (серверы, сетевое оборудование, базы данных, рабочие станции) и классифицировать их по уровню критичности и чувствительности обрабатываемых данных
- 2
Внедрить многофакторную аутентификацию (MFA) для всех привилегированных учётных записей и доступа к критичным системам, использовать централизованную систему управления доступом (IAM)
- 3
Реализовать сегментацию сетей с выделением DMZ, производственных сегментов и административных сетей, настроить межсетевые экраны с правилами минимально необходимого доступа
- 4
Обеспечить физическую защиту серверных помещений и ЦОД: контроль доступа по бесконтактным картам, видеонаблюдение с архивом не менее 90 дней, журналирование всех входов/выходов
- 5
Внедрить шифрование данных в состоянии покоя (полное шифрование дисков, шифрование БД на уровне столбцов для PII) и при передаче (TLS 1.2+, запрет незащищённых протоколов)
- 6
Настроить централизованный сбор логов (SIEM) с мониторингом событий безопасности: неудачные попытки входа, изменения прав доступа, доступ к критичным данным, сетевые аномалии
- 7
Проводить ежеквартальные проверки актуальности прав доступа (access reviews), ежегодные тесты на проникновение физической и логической безопасности, внедрить процедуры немедленного отзыва доступа при увольнении
Типичные нарушения
Отсутствие MFA для привилегированных учётных записей администраторов баз данных и облачных платформ, использование только парольной аутентификации для критичных систем
Недостаточная сегментация сетей: производственные БД и dev-окружения находятся в одном сегменте, отсутствие ограничений на межсегментный трафик, широкие firewall-правила
Неполное шифрование данных: резервные копии БД хранятся в открытом виде, отсутствие шифрования на уровне application layer, использование устаревших TLS 1.0/1.1
Слабый физический контроль доступа в серверные помещения: отсутствие журналирования входов, использование общих PIN-кодов вместо персональных карт, неработающие камеры видеонаблюдения
Отсутствие централизованного логирования или хранение логов доступа менее 90 дней, что не позволяет провести ретроспективное расследование инцидентов безопасности
Почему это важно
Для SaaS-провайдеров и облачных сервисов контроль CC6.1 — это фундамент доверия клиентов, поскольку любой инцидент несанкционированного доступа или утечки данных приводит к юридическим последствиям (GDPR, CCPA), репутационным потерям и оттоку клиентов. SOC 2 Type II аудит критически оценивает операционную эффективность защитных мер в течение 6-12 месяцев, и недостатки в логической или физической безопасности неизбежно приводят к квалификационному исключению (qualified opinion), что делает отчёт непригодным для предоставления клиентам.
Проверяемые категории
Связанные контроли
Связанные контроли в других фреймворках
PCI DSS 4.0
ISO 27001:2022
NIST CSF 2.0
Проверьте соответствие автоматически
Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.