Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

CIS Critical Security Controls v8 (The 18 CIS CSC)

Framework

11.1

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.4.1.2
9.4.1.2
Defined Approach Requirements: 
The security of the offline media backup location(s) with cardholder data is reviewed at least once every 12 months. 

Customized Approach Objective:
The security controls protecting offline backups are verified periodically by inspection. 

Defined Approach Testing Procedures:
  • 9.4.1.2.a Examine documentation to verify that procedures are defined for reviewing the security of the offline media backup location(s) with cardholder data at least once every 12 months. 
  • 9.4.1.2.b Examine documented procedures, logs, or other documentation, and interview responsible personnel at the storage location(s) to verify that the storage location’s security is reviewed at least once every 12 months. 
Purpose:
Conducting regular reviews of the storage facility enables the organization to address identified security issues promptly, minimizing the potential risk. It is important for the entity to be aware of the security of the area where media is being stored. 
Requirement 9.4.1.1
9.4.1.1
Defined Approach Requirements: 
Offline media backups with cardholder data are stored in a secure location. 

Customized Approach Objective:
Offline backups cannot be accessed by unauthorized personnel. 

Defined Approach Testing Procedures:
  • 9.4.1.1.a Examine documentation to verify that procedures are defined for physically securing offline media backups with cardholder data in a secure location. 
  • 9.4.1.1.b Examine logs or other documentation and interview responsible personnel at the storage location to verify that offline media backups are stored in a secure location. 
Purpose:
If stored in a non-secured facility, backups containing cardholder data may easily be lost, stolen, or copied for malicious intent. 

Good Practice:
For secure storage of backup media, a good practice is to store media in an off-site facility, such as an alternate or backup site or commercial storage facility. 
Guideline for a healthy information system v.2.0 (EN):
14 STRENGTHENED
/STRENGTHENED
Data vital to the proper business of the organization that is held on users’ devices and servers must be subject to regular backups and stored on disconnected devices, and its restoration must be tested periodically. An increasing number of small organisations are subject to attacks which make their data unavailable (for example demanding, in exchange for returning the data, the payment of a significant amount of money (ransomware)). 
37 STANDARD
/STANDARD
Following an exploitation incident or in the context of managing an intrusion, the availability of backups, saved in a safe place, is essential to continue the activity. Formalising a regularly updated backup policy is therefore highly recommended. This aims to define the requirements in terms of backing up information, software and systems. 

This policy must, at least, integrate the following elements:
  • the list of data judged vital for the organization and the servers concerned;
  • the different types of backup (for example the offline mode);
  • the frequency of backups;
  • the administration and backup execution procedure;
  • the storage information and the access restrictions to backups;
  • the testing and restoration procedures; > the destruction of media that contained backups. 
The restoration tests may be carried out in several ways: 
  • systematic, through a task scheduler for important applications; 
  • one-off, in the event of an error in files; 
  • general, for complete backup and restoration of the information system. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.4.1.1
9.4.1.1
Определенные Требования к Подходу:
Резервные копии автономных носителей с данными о держателях карт хранятся в безопасном месте.

Цель Индивидуального подхода:
Неавторизованный персонал не может получить доступ к автономным резервным копиям.

Определенные Процедуры Тестирования Подхода:
  • 9.4.1.1.a Изучите документацию, чтобы убедиться, что определены процедуры для физической защиты резервных копий автономных носителей с данными о держателях карт в безопасном месте.
  • 9.4.1.1.b Изучите журналы или другую документацию и опросите ответственный персонал в месте хранения, чтобы убедиться, что резервные копии автономных носителей хранятся в безопасном месте.
Цель:
При хранении в незащищенном месте резервные копии, содержащие данные о держателях карт, могут быть легко потеряны, украдены или скопированы с целью злонамеренного умысла.

Надлежащая практика:
Для безопасного хранения резервных носителей рекомендуется хранить их в удаленном месте, например на альтернативном или резервном сайте или в коммерческом хранилище.
Requirement 9.4.1.2
9.4.1.2
Определенные Требования к Подходу:
Безопасность автономных хранилищ резервных копий носителей с данными о держателях карт проверяется не реже одного раза в 12 месяцев.

Цель Индивидуального подхода:
Средства безопасности, защищающие автономные резервные копии, периодически проверяются путем проверки.

Определенные Процедуры Тестирования Подхода:
  • 9.4.1.2.a Изучайте документацию, чтобы убедиться, что определены процедуры проверки безопасности автономных хранилищ резервных копий носителей с данными о держателях карт не реже одного раза в 12 месяцев.
  • 9.4.1.2.b Изучите документированные процедуры, журналы или другую документацию и опросите ответственный персонал в месте (ах) хранения, чтобы убедиться, что безопасность места хранения проверяется не реже одного раза в 12 месяцев.
Цель:
Проведение регулярных проверок хранилища позволяет организации оперативно устранять выявленные проблемы безопасности, сводя к минимуму потенциальный риск. Для организации важно знать о безопасности области, в которой хранятся носители.
Положение Банка России № 779-П от 15.11.2021 "Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"":
п. 1.4.
1.4. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны обеспечивать организацию учета и контроля следующих элементов (при их наличии) (далее при совместном упоминании - критичная архитектура):
  • технологических процессов, указанных в приложении к настоящему Положению, реализуемых непосредственно некредитной финансовой организацией;
  • подразделений (работников) некредитной финансовой организации, ответственных за разработку технологических процессов, указанных в приложении к настоящему Положению, поддержание их выполнения, их реализацию;
  • объектов информационной инфраструктуры некредитной финансовой организации, задействованных при выполнении каждого технологического процесса, указанного в приложении к настоящему Положению, реализуемого непосредственно некредитной финансовой организацией;
  • технологических участков предусмотренных приложением к настоящему Положению технологических процессов, указанных в пункте 1.10 Положения Банка России от 20 апреля 2021 года N 757-П (далее - технологические участки технологических процессов), реализуемых непосредственно некредитной финансовой организацией;
  • технологических процессов, указанных в приложении к настоящему Положению, технологических участков технологических процессов, реализуемых внешними контрагентами, оказывающими услуги в сфере информационных технологий, связанные с выполнением технологических процессов (далее - поставщики услуг);
  • работников некредитной финансовой организации или иных лиц, осуществляющих физический и (или) логический доступ, или программных сервисов, осуществляющих логический доступ к объектам информационной инфраструктуры некредитной финансовой организации (далее - субъекты доступа), задействованных при выполнении каждого технологического процесса, указанного в приложении к настоящему Положению;
  • взаимосвязей и взаимозависимостей между некредитной финансовой организацией и иными некредитными финансовыми организациями, кредитными организациями и поставщиками услуг в рамках выполнения технологических процессов, указанных в приложении к настоящему Положению (далее при совместном упоминании - участники технологического процесса);
  • каналов передачи защищаемой информации, указанной в пункте 1.1 Положения Банка России от 20 апреля 2021 года N 757-П, обрабатываемой и передаваемой в рамках технологических процессов, указанных в приложении к настоящему Положению, участниками технологического процесса.
Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в отношении своих элементов критичной архитектуры, являющихся значимыми объектами критической информационной инфраструктуры в соответствии с пунктом 3 статьи 2 Федерального закона от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736) (далее - Федеральный закон от 26 июля 2017 года N 187-ФЗ), должны выполнять требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленные в соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 года N 187-ФЗ (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736).

В целях организации учета и контроля состава технологических процессов, указанных в приложении к настоящему Положению, технологических участков технологических процессов, реализуемых поставщиками услуг, некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны обеспечивать ведение реестра указанных технологических процессов и технологических участков технологических процессов в соответствии со своими внутренними документами.

Связанные защитные меры

3
Название Дата Влияние
Community
27 / 75
Ведение реестра информационных активов
По событию Вручную Организационная
16.03.2022
16.03.2022 27 / 75
Цель: учёт, инвентаризация активов различного типа 
Типы активов, подлежащие в учёту, определяются в зависимости от уровня зрелости компании, исполняемых требований и целей. 
Варианты реализации:
  • Бумажные реестры
  • Электронные таблицы (excel)
  • CMDB/ITAM системы
  • Сервис SECURITM (модуль Активы)
В заметке к защитной мере приведен пример регламента учёта информационных активов на базе SECURITM.

Рекомендации к заполнению карточки:
  • Написать регламент учета активов и разместить его прямо в карточке или как ссылку на внешний документ 
  • Указать перечень учитываемых типов активов