КиберОценка

CC6.7: Защита передаваемых данных

Ограничение передачи данных авторизованным пользователям и процессам

Подробное описание

Контроль CC6.7 требует обеспечения конфиденциальности и целостности данных при передаче между системами, пользователями и процессами. Организация должна использовать криптографическую защиту (TLS 1.2+) для всех каналов передачи конфиденциальной информации, включая API, пользовательские сессии и межсервисное взаимодействие. Контроль охватывает не только внешние соединения, но и внутренний трафик между компонентами инфраструктуры, особенно при передаче персональных данных клиентов и аутентификационных токенов.

Практические шаги внедрения

  1. 1

    Внедрить обязательное использование TLS 1.2+ для всех веб-интерфейсов, API и административных панелей с настройкой HSTS и отключением устаревших cipher suites

  2. 2

    Настроить шифрование трафика между внутренними сервисами (service mesh, mutual TLS) и запретить передачу конфиденциальных данных по незашифрованным каналам

  3. 3

    Реализовать аутентификацию и авторизацию для всех API endpoints с использованием токенов (JWT, OAuth 2.0) и валидацией прав доступа на уровне приложения

  4. 4

    Внедрить мониторинг сетевого трафика для обнаружения незашифрованных передач конфиденциальных данных и попыток несанкционированного доступа

  5. 5

    Разработать политику безопасной передачи данных с требованиями к шифрованию файлов при обмене через email или файлообменники (PGP, защищённые ссылки)

  6. 6

    Регулярно сканировать инфраструктуру на наличие слабых протоколов (SSLv3, TLS 1.0/1.1) и небезопасных конфигураций веб-серверов

  7. 7

    Проводить ежеквартальное тестирование защиты передаваемых данных, включая man-in-the-middle атаки и анализ захваченного трафика на предмет утечек

Типичные нарушения

  • Использование HTTP вместо HTTPS для передачи учётных данных, API-ключей или персональных данных клиентов в production-окружении

  • Отсутствие шифрования трафика между микросервисами в Kubernetes-кластере, позволяющее перехватывать данные внутри периметра

  • Передача конфиденциальных параметров (пароли, токены) в URL query strings вместо безопасных заголовков или POST-тела запроса

  • Слабые TLS-конфигурации с поддержкой устаревших cipher suites (RC4, 3DES) или отсутствие проверки сертификатов при взаимодействии с внешними API

  • Незащищённые email-рассылки с персональными данными клиентов без использования шифрования сообщений или защищённых ссылок на данные

Почему это важно

Перехват данных при передаче — один из наиболее распространённых векторов атак, приводящий к утечкам учётных данных, PII и коммерческой информации. SOC 2 аудиторы проверяют защиту передачи данных на всех уровнях (пользователь-сервер, сервер-сервер, организация-партнёр), и недостаточная криптографическая защита может стать причиной отказа в сертификации или требований к немедленному устранению findings.

Проверяемые категории

Email Security

Связанные контроли

Связанные контроли в других фреймворках

Проверьте соответствие автоматически

Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.

Запустите бесплатный аудит безопасности