Куда я попал?
CIS Critical Security Controls v8 (The 18 CIS CSC)
Framework
3.2
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
3.2 Establish and Maintain a Data Inventory
Establish and maintain a data inventory, based on the enterprise’s data management process. Inventory sensitive data, at a minimum. Review and update inventory annually, at a minimum, with a priority on sensitive data.Обязательно для implementation Group 1 2 3
Похожие требования
NIST Cybersecurity Framework (RU):
ID.AM-5
ID.AM-5: Приоритезированы ресурсы (например, оборудование, устройства, данные, время и программное обеспечение) на основе их классификации, критичности и ценности для бизнеса
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.4.5
9.4.5
Defined Approach Requirements:
Inventory logs of all electronic media with cardholder data are maintained.
Customized Approach Objective:
Accurate inventories of stored electronic media are maintained.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Inventory logs of all electronic media with cardholder data are maintained.
Customized Approach Objective:
Accurate inventories of stored electronic media are maintained.
Defined Approach Testing Procedures:
- 9.4.5.a Examine documentation to verify that procedures are defined to maintain electronic media inventory logs.
- 9.4.5.b Examine electronic media inventory logs and interview responsible personnel to verify that logs are maintained.
Purpose:
Without careful inventory methods and storage controls, stolen or missing electronic media could go unnoticed for an indefinite amount of time.
Without careful inventory methods and storage controls, stolen or missing electronic media could go unnoticed for an indefinite amount of time.
Requirement 9.4.5.1
9.4.5.1
Defined Approach Requirements:
Inventories of electronic media with cardholder data are conducted at least once every 12 months.
Customized Approach Objective:
Media inventories are verified periodically.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Inventories of electronic media with cardholder data are conducted at least once every 12 months.
Customized Approach Objective:
Media inventories are verified periodically.
Defined Approach Testing Procedures:
- 9.4.5.1.a Examine documentation to verify that procedures are defined to conduct inventories of electronic media with cardholder data at least once every 12 months.
- 9.4.5.1.b Examine electronic media inventory logs and interview personnel to verify that electronic media inventories are performed at least once every 12 months.
Purpose:
Without careful inventory methods and storage controls, stolen or missing electronic media could go unnoticed for an indefinite amount of time.
Without careful inventory methods and storage controls, stolen or missing electronic media could go unnoticed for an indefinite amount of time.
Guideline for a healthy information system v.2.0 (EN):
4 STANDARD
/STANDARD
Each organization has sensitive data. This data can be on its own activity (intellectual property, expertise, etc.) or its customers, individuals or users (personal data, contracts, etc.). In order to effectively protect your data, identifying it is essential.
From this list of sensitive data, it will be possible to determine in which areas of the information system it is located (databases, file sharing, workstations, etc.). These components correspond to the servers and critical devices of the organization. To this end, they must be subject to specific security measures that may concern backup, logging, access, etc.
Therefore, this involves creating and maintaining a simplified network diagram (or mapping) representing the different IP areas and the associated addressing plan, the routing and security devices (firewall, application relays, etc.) and the networks with the outside (Internet, private networks, etc.) and partners. This diagram must also be able to locate the servers holding the entity’s sensitive information.
Each organization has sensitive data. This data can be on its own activity (intellectual property, expertise, etc.) or its customers, individuals or users (personal data, contracts, etc.). In order to effectively protect your data, identifying it is essential.
From this list of sensitive data, it will be possible to determine in which areas of the information system it is located (databases, file sharing, workstations, etc.). These components correspond to the servers and critical devices of the organization. To this end, they must be subject to specific security measures that may concern backup, logging, access, etc.
Therefore, this involves creating and maintaining a simplified network diagram (or mapping) representing the different IP areas and the associated addressing plan, the routing and security devices (firewall, application relays, etc.) and the networks with the outside (Internet, private networks, etc.) and partners. This diagram must also be able to locate the servers holding the entity’s sensitive information.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.8.2.1
A.8.2.1 Категорирование информации
Мера обеспечения информационной безопасности: Информация должна быть категорирована с точки зрения нормативных правовых требований, ценности, критичности и чувствительности к неавторизованному раскрытию или модификации
Мера обеспечения информационной безопасности: Информация должна быть категорирована с точки зрения нормативных правовых требований, ценности, критичности и чувствительности к неавторизованному раскрытию или модификации
A.8.1.1
A.8.1.1 Инвентаризация активов
Мера обеспечения информационной безопасности: Информация, средства обработки информации и другие активы, связанные с информацией, должны быть идентифицированы, а также должен быть составлен и поддерживаться в актуальном состоянии перечень этих активов (Пункт А.8.1.1 приведен с учетом технической правки 1 к ISO/IEC 27001:2013)
Мера обеспечения информационной безопасности: Информация, средства обработки информации и другие активы, связанные с информацией, должны быть идентифицированы, а также должен быть составлен и поддерживаться в актуальном состоянии перечень этих активов (Пункт А.8.1.1 приведен с учетом технической правки 1 к ISO/IEC 27001:2013)
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 13.1
CSC 13.1 Maintain an Inventory of Sensitive Information
Maintain an inventory of all sensitive information stored, processed, or transmitted by the organization's technology systems, including those located on-site or at a remote service provider.
Maintain an inventory of all sensitive information stored, processed, or transmitted by the organization's technology systems, including those located on-site or at a remote service provider.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.4.5
9.4.5
Определенные Требования к Подходу:
Ведутся журналы инвентаризации всех электронных носителей с данными о держателях карт.
Цель Индивидуального подхода:
Ведется точный учет хранящихся электронных носителей.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Ведутся журналы инвентаризации всех электронных носителей с данными о держателях карт.
Цель Индивидуального подхода:
Ведется точный учет хранящихся электронных носителей.
Определенные Процедуры Тестирования Подхода:
- 9.4.5.a Изучите документацию, чтобы убедиться, что определены процедуры ведения журналов инвентаризации электронных носителей.
- 9.4.5.b Изучите журналы инвентаризации электронных носителей и опросите ответственный персонал, чтобы убедиться, что журналы ведутся.
Цель:
Без тщательных методов инвентаризации и контроля за хранением украденные или пропавшие электронные носители могут оставаться незамеченными в течение неопределенного периода времени.
Без тщательных методов инвентаризации и контроля за хранением украденные или пропавшие электронные носители могут оставаться незамеченными в течение неопределенного периода времени.
Requirement 9.4.5.1
9.4.5.1
Определенные Требования к Подходу:
Инвентаризация электронных носителей с данными о держателях карт проводится не реже одного раза в 12 месяцев.
Цель Индивидуального подхода:
Инвентаризация средств массовой информации периодически проверяется.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Инвентаризация электронных носителей с данными о держателях карт проводится не реже одного раза в 12 месяцев.
Цель Индивидуального подхода:
Инвентаризация средств массовой информации периодически проверяется.
Определенные Процедуры Тестирования Подхода:
- 9.4.5.1.a Изучает документацию, чтобы убедиться в том, что определены процедуры для проведения инвентаризации электронных носителей с данными о держателях карт не реже одного раза в 12 месяцев.
- 9.4.5.1.b Изучите журналы инвентаризации электронных носителей и опросите персонал, чтобы убедиться, что инвентаризация электронных носителей проводится не реже одного раза в 12 месяцев.
Цель:
Без тщательных методов инвентаризации и контроля за хранением украденные или пропавшие электронные носители могут оставаться незамеченными в течение неопределенного периода времени.
Без тщательных методов инвентаризации и контроля за хранением украденные или пропавшие электронные носители могут оставаться незамеченными в течение неопределенного периода времени.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.9
А.5.9 Инвентаризации информационных и иных связанных с ними активов
Должен быть разработан и поддерживаться реестр информационных и иных, связанных с ними активов, а также их владельцев.
Должен быть разработан и поддерживаться реестр информационных и иных, связанных с ними активов, а также их владельцев.
NIST Cybersecurity Framework (EN):
ID.AM-5
ID.AM-5: Resources (e.g., hardware, devices, data, time, personnel, and software) are prioritized based on their classification, criticality, and business value
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.9
А.5.9 Inventory of information and other associated assets
An inventory of information and other associated assets, including owners, shall be developed and maintained
An inventory of information and other associated assets, including owners, shall be developed and maintained
Связанные защитные меры
| Название | Дата | Влияние | ||
|---|---|---|---|---|
|
Community
27 / 111
|
Ведение реестра информационных активов
Вручную
Организационная
16.03.2022
|
16.03.2022 | 27 / 111 |