Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

CIS Critical Security Controls v7.1 (SANS Top 20)

Framework

CSC 10.4

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

CIS Critical Security Controls v8 (The 18 CIS CSC):
11.3
11.3 Protect Recovery Data 
Protect recovery data with equivalent controls to the original data. Reference encryption or data separation, based on requirements 
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
11.3
11.3 Реализована защита резервных копий
Используется шифрование и разделение копий на разные площадки для хранения.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.4.1.2
9.4.1.2
Defined Approach Requirements: 
The security of the offline media backup location(s) with cardholder data is reviewed at least once every 12 months. 

Customized Approach Objective:
The security controls protecting offline backups are verified periodically by inspection. 

Defined Approach Testing Procedures:
  • 9.4.1.2.a Examine documentation to verify that procedures are defined for reviewing the security of the offline media backup location(s) with cardholder data at least once every 12 months. 
  • 9.4.1.2.b Examine documented procedures, logs, or other documentation, and interview responsible personnel at the storage location(s) to verify that the storage location’s security is reviewed at least once every 12 months. 
Purpose:
Conducting regular reviews of the storage facility enables the organization to address identified security issues promptly, minimizing the potential risk. It is important for the entity to be aware of the security of the area where media is being stored. 
Requirement 9.4.1.1
9.4.1.1
Defined Approach Requirements: 
Offline media backups with cardholder data are stored in a secure location. 

Customized Approach Objective:
Offline backups cannot be accessed by unauthorized personnel. 

Defined Approach Testing Procedures:
  • 9.4.1.1.a Examine documentation to verify that procedures are defined for physically securing offline media backups with cardholder data in a secure location. 
  • 9.4.1.1.b Examine logs or other documentation and interview responsible personnel at the storage location to verify that offline media backups are stored in a secure location. 
Purpose:
If stored in a non-secured facility, backups containing cardholder data may easily be lost, stolen, or copied for malicious intent. 

Good Practice:
For secure storage of backup media, a good practice is to store media in an off-site facility, such as an alternate or backup site or commercial storage facility. 
Guideline for a healthy information system v.2.0 (EN):
14 STRENGTHENED
/STRENGTHENED
Data vital to the proper business of the organization that is held on users’ devices and servers must be subject to regular backups and stored on disconnected devices, and its restoration must be tested periodically. An increasing number of small organisations are subject to attacks which make their data unavailable (for example demanding, in exchange for returning the data, the payment of a significant amount of money (ransomware)). 
37 STANDARD
/STANDARD
Following an exploitation incident or in the context of managing an intrusion, the availability of backups, saved in a safe place, is essential to continue the activity. Formalising a regularly updated backup policy is therefore highly recommended. This aims to define the requirements in terms of backing up information, software and systems. 

This policy must, at least, integrate the following elements:
  • the list of data judged vital for the organization and the servers concerned;
  • the different types of backup (for example the offline mode);
  • the frequency of backups;
  • the administration and backup execution procedure;
  • the storage information and the access restrictions to backups;
  • the testing and restoration procedures; > the destruction of media that contained backups. 
The restoration tests may be carried out in several ways: 
  • systematic, through a task scheduler for important applications; 
  • one-off, in the event of an error in files; 
  • general, for complete backup and restoration of the information system. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.12.3.1
A.12.3.1 Резервное копирование информации 
Мера обеспечения информационной безопасности: В соответствии с политикой резервирования следует регулярно создавать и проверять резервные копии информации, программного обеспечения и образов системы 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.4.1.1
9.4.1.1
Определенные Требования к Подходу:
Резервные копии автономных носителей с данными о держателях карт хранятся в безопасном месте.

Цель Индивидуального подхода:
Неавторизованный персонал не может получить доступ к автономным резервным копиям.

Определенные Процедуры Тестирования Подхода:
  • 9.4.1.1.a Изучите документацию, чтобы убедиться, что определены процедуры для физической защиты резервных копий автономных носителей с данными о держателях карт в безопасном месте.
  • 9.4.1.1.b Изучите журналы или другую документацию и опросите ответственный персонал в месте хранения, чтобы убедиться, что резервные копии автономных носителей хранятся в безопасном месте.
Цель:
При хранении в незащищенном месте резервные копии, содержащие данные о держателях карт, могут быть легко потеряны, украдены или скопированы с целью злонамеренного умысла.

Надлежащая практика:
Для безопасного хранения резервных носителей рекомендуется хранить их в удаленном месте, например на альтернативном или резервном сайте или в коммерческом хранилище.
Requirement 9.4.1.2
9.4.1.2
Определенные Требования к Подходу:
Безопасность автономных хранилищ резервных копий носителей с данными о держателях карт проверяется не реже одного раза в 12 месяцев.

Цель Индивидуального подхода:
Средства безопасности, защищающие автономные резервные копии, периодически проверяются путем проверки.

Определенные Процедуры Тестирования Подхода:
  • 9.4.1.2.a Изучайте документацию, чтобы убедиться, что определены процедуры проверки безопасности автономных хранилищ резервных копий носителей с данными о держателях карт не реже одного раза в 12 месяцев.
  • 9.4.1.2.b Изучите документированные процедуры, журналы или другую документацию и опросите ответственный персонал в месте (ах) хранения, чтобы убедиться, что безопасность места хранения проверяется не реже одного раза в 12 месяцев.
Цель:
Проведение регулярных проверок хранилища позволяет организации оперативно устранять выявленные проблемы безопасности, сводя к минимуму потенциальный риск. Для организации важно знать о безопасности области, в которой хранятся носители.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.13
А.8.13 Резервное копирование информации
Резервные копии информации, программного обеспечения и систем должны поддерживаться и регулярно тестироваться в соответствии с согласованной специфической тематической политикой по резервному копированию.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.13
А.8.13 Information backup
Backup copies of information, software and systems shall be maintained and regularly tested in accordance with the agreed topic-specific policy on backup.