Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

CIS Critical Security Controls v8 (The 18 CIS CSC)



Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

NIST Cybersecurity Framework (RU):
PR.DS-1: Защищены данные находящиеся в состоянии покоя 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Defined Approach Requirements: 
 If disk-level or partition-level encryption (rather than file-, column-, or field-level database encryption) is used to render PAN unreadable, it is implemented only as follows: 
  • On removable electronic media 
  • If used for non-removable electronic media, PAN is also rendered unreadable via another mechanism that meets Requirement 3.5.1. 
Customized Approach Objective:
This requirement is not eligible for the customized approach. 

Applicability Notes:
While disk encryption may still be present on these types of devices, it cannot be the only mechanism used to protect PAN stored on those systems. Any stored PAN must also be rendered unreadable per Requirement 3.5.1—for example, through truncation or a data-level encryption mechanism. Full disk encryption helps to protect data in the event of physical loss of a disk and therefore its use is appropriate only for removable electronic media storage devices. 
Media that is part of a data center architecture (for example, hot-swappable drives, bulk tape-backups) is considered non-removable electronic media to which Requirement 3.5.1 applies 
Disk or partition encryption implementations must also meet all other PCI DSS encryption and keymanagement requirements 

Defined Approach Testing Procedures:
  • Examine encryption processes to verify that, if disk-level or partition-level encryption is used to render PAN unreadable, it is implemented only as follows: 
    • On removable electronic media, OR
    • If used for non-removable electronic media, examine encryption processes used to verify that PAN is also rendered unreadable via another method that meets Requirement 3.5.1. 
  • Examine configurations and/or vendor documentation and observe encryption processes to verify the system is configured according to vendor documentation the result is that the disk or the partition is rendered unreadable. 
Disk-level and partition-level encryption typically encrypts the entire disk or partition using the same key, with all data automatically decrypted when the system runs or when an authorized user requests it. For this reason, disk-level encryption is not appropriate to protect stored PAN on computers, laptops, servers, storage arrays, or any other system that provides transparent decryption upon user authentication. 

Further Information:
Where available, following vendors’ hardening and industry best practice guidelines can assist in securing PAN on these devices. 
Guideline for a healthy information system v.2.0 (EN):
Depending on his level of IT security practices, the user, a great deal of the time, is the first port of call for hackers trying to enter the system. It is therefore fundamental to implement a minimum level of security across the entire IT stock of the organization (user devices, servers, printers, phones, USB peripherals, etc.) by implementing the following measures:
  • limit the applications installed and optional modules in web browsers to just what is required;
  • equip users’ devices with an anti-virus and activate a local firewall (these are often included in the operating system);
  • encrypt the partitions where user data is stored;
  • deactivate automatic executions (autorun). 
In the event of a necessary exception from the general security rules applicable to devices, these devices must be isolated from the system (if it is impossible to update certain applications for interoperability reasons for example). 
Frequent journeys in a professional context and the miniaturisation of IT hardware often lead to their loss or theft in a public space. This may put the sensitive data of the organization which is stored on it at risk. 

Therefore, on all mobile hardware (laptops, smartphones, USB keys, external hard drives, etc.), only data that has already been encrypted must be stored, in order to maintain its confidentiality. Only confidential information (password, smart card, PIN code, etc.) will allow the person who has it to access this data. 

A partition, archive or file encryption solution may be considered depending on the needs. Here, once again, it is essential to ensure the uniqueness and robustness of the decryption method used. 

As far as possible, it is advisable to start by a complete disk encryption before considering archive and file encryption. These last two respond to different needs and can potentially leave the data storage medium unencrypted (backup files from office suites for example). 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.10.1.1 Политика использования криптографических мер и средств защиты информации 
Мера обеспечения информационной безопасности: Должна быть разработана и внедрена политика использования криптографических мер и средств для обеспечения защиты информации 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 14.8 CSC 14.8 Encrypt Sensitive Information at Rest
Encrypt all sensitive information at rest using a tool that requires a secondary authentication mechanism not integrated into the operating system, in order to access the information.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Определенные Требования к Подходу:
Если шифрование на уровне диска или раздела (а не шифрование базы данных на уровне файлов, столбцов или полей) используется для того, чтобы сделать PAN нечитаемым, оно реализуется только следующим образом:
  • На съемных электронных носителях
  • При использовании для несъемных электронных носителей PAN также становится нечитаемым с помощью другого механизма, который соответствует требованию 3.5.1.
Цель Индивидуального подхода:
Это требование не подходит для индивидуального подхода.

Примечания по применению:
Хотя шифрование диска все еще может присутствовать на устройствах такого типа, оно не может быть единственным механизмом, используемым для защиты данных, хранящихся в этих системах. Любой сохраненный PAN также должен быть сделан нечитаемым в соответствии с требованием 3.5.1 — например, с помощью усечения или механизма шифрования на уровне данных. Полное шифрование диска помогает защитить данные в случае физической потери диска, и поэтому его использование подходит только для съемных устройств хранения электронных носителей.
Носители, являющиеся частью архитектуры центра обработки данных (например, диски с возможностью горячей замены, массовые резервные копии на магнитной ленте), считаются несъемными электронными носителями, к которым применяется требование 3.5.1
Реализации шифрования диска или раздела также должны соответствовать всем другим требованиям к шифрованию PCI DSS и управлению ключами

Определенные Процедуры Тестирования Подхода:
  • Изучите процессы шифрования, чтобы убедиться, что, если шифрование на уровне диска или раздела используется для того, чтобы сделать PAN нечитаемым, оно реализуется только следующим образом:
    • На съемных электронных носителях ИЛИ
    • Если используется для несъемных электронных носителей, изучите процессы шифрования, используемые для проверки того, что PAN также становится нечитаемым с помощью другого метода, который соответствует требованию 3.5.1.
  • Изучите конфигурации и/или документацию поставщика и соблюдайте процессы шифрования, чтобы убедиться, что система настроена в соответствии с документацией поставщика. Результатом является то, что диск или раздел становятся нечитаемыми.
Шифрование на уровне диска и раздела обычно шифрует весь диск или раздел с использованием одного и того же ключа, при этом все данные автоматически расшифровываются при запуске системы или по запросу авторизованного пользователя. По этой причине шифрование на уровне диска не подходит для защиты сохраненных данных на компьютерах, ноутбуках, серверах, массивах хранения или в любой другой системе, которая обеспечивает прозрачное дешифрование при аутентификации пользователя.

Дополнительная информация:
Там, где это возможно, соблюдение рекомендаций поставщиков по усилению и наилучшей отраслевой практике может помочь в обеспечении безопасности PAN на этих устройствах.
NIST Cybersecurity Framework (EN):
PR.DS-1 PR.DS-1: Data-at-rest is protected

Связанные защитные меры

Ничего не найдено