Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

CIS Critical Security Controls v8 (The 18 CIS CSC)

Framework

3.9

Для проведения оценки соответствия по документу войдите в систему.
3.9 Encrypt Data on Removable Media 
Encrypt data on removable media. 
Обязательно для implementation Group 2 3

Похожие требования

NIST Cybersecurity Framework (RU):
PR.PT-2
PR.PT-2: Съемные носители информации защищены, и их использование ограничено в соответствии с политикой 
PR.DS-1
PR.DS-1: Защищены данные находящиеся в состоянии покоя 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 3.5.1.2
3.5.1.2
Defined Approach Requirements: 
 If disk-level or partition-level encryption (rather than file-, column-, or field-level database encryption) is used to render PAN unreadable, it is implemented only as follows: 
  • On removable electronic media 
OR 
  • If used for non-removable electronic media, PAN is also rendered unreadable via another mechanism that meets Requirement 3.5.1. 
Customized Approach Objective:
This requirement is not eligible for the customized approach. 

Applicability Notes:
While disk encryption may still be present on these types of devices, it cannot be the only mechanism used to protect PAN stored on those systems. Any stored PAN must also be rendered unreadable per Requirement 3.5.1—for example, through truncation or a data-level encryption mechanism. Full disk encryption helps to protect data in the event of physical loss of a disk and therefore its use is appropriate only for removable electronic media storage devices. 
Media that is part of a data center architecture (for example, hot-swappable drives, bulk tape-backups) is considered non-removable electronic media to which Requirement 3.5.1 applies 
Disk or partition encryption implementations must also meet all other PCI DSS encryption and keymanagement requirements 

Defined Approach Testing Procedures:
  • 3.5.1.2.a Examine encryption processes to verify that, if disk-level or partition-level encryption is used to render PAN unreadable, it is implemented only as follows: 
    • On removable electronic media, OR
    • If used for non-removable electronic media, examine encryption processes used to verify that PAN is also rendered unreadable via another method that meets Requirement 3.5.1. 
  • 3.5.1.2.b Examine configurations and/or vendor documentation and observe encryption processes to verify the system is configured according to vendor documentation the result is that the disk or the partition is rendered unreadable. 
Purpose:
Disk-level and partition-level encryption typically encrypts the entire disk or partition using the same key, with all data automatically decrypted when the system runs or when an authorized user requests it. For this reason, disk-level encryption is not appropriate to protect stored PAN on computers, laptops, servers, storage arrays, or any other system that provides transparent decryption upon user authentication. 

Further Information:
Where available, following vendors’ hardening and industry best practice guidelines can assist in securing PAN on these devices. 
Requirement 9.4.3
9.4.3
Defined Approach Requirements: 
 Media with cardholder data sent outside the facility is secured as follows:
  • Media sent outside the facility is logged.
  • Media is sent by secured courier or other delivery method that can be accurately tracked.
  • Offsite tracking logs include details about media location. 
Customized Approach Objective:
Media is secured and tracked when transported outside the facility. 

Defined Approach Testing Procedures:
  • 9.4.3.a Examine documentation to verify that procedures are defined for securing media sent outside the facility in accordance with all elements specified in this requirement. 
  • 9.4.3.b Interview personnel and examine records to verify that all media sent outside the facility is logged and sent via secured courier or other delivery method that can be tracked. 
  • 9.4.3.c Examine offsite tracking logs for all media to verify tracking details are documented. 
Purpose:
Media may be lost or stolen if sent via a nontrackable method such as regular postal mail. The use of secure couriers to deliver any media that contains cardholder data allows organizations to use their tracking systems to maintain inventory and location of shipments. 
Guideline for a healthy information system v.2.0 (EN):
31 STANDARD
/STANDARD
Frequent journeys in a professional context and the miniaturisation of IT hardware often lead to their loss or theft in a public space. This may put the sensitive data of the organization which is stored on it at risk. 

Therefore, on all mobile hardware (laptops, smartphones, USB keys, external hard drives, etc.), only data that has already been encrypted must be stored, in order to maintain its confidentiality. Only confidential information (password, smart card, PIN code, etc.) will allow the person who has it to access this data. 

A partition, archive or file encryption solution may be considered depending on the needs. Here, once again, it is essential to ensure the uniqueness and robustness of the decryption method used. 

As far as possible, it is advisable to start by a complete disk encryption before considering archive and file encryption. These last two respond to different needs and can potentially leave the data storage medium unencrypted (backup files from office suites for example). 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.8.3.1
A.8.3.1 Управление сменными носителями информации 
Мера обеспечения информационной безопасности: Должны быть реализованы процедуры по управлению сменными носителями информации в соответствии с принятой в организации системой категорирования информации 
A.10.1.1
A.10.1.1 Политика использования криптографических мер и средств защиты информации 
Мера обеспечения информационной безопасности: Должна быть разработана и внедрена политика использования криптографических мер и средств для обеспечения защиты информации 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 13.9 CSC 13.9 Encrypt Data on USB Storage Devices
If USB storage devices are required, all data stored on such devices must be encrypted while at rest.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 3.5.1.2
3.5.1.2
Определенные Требования к Подходу:
Если шифрование на уровне диска или раздела (а не шифрование базы данных на уровне файлов, столбцов или полей) используется для того, чтобы сделать PAN нечитаемым, оно реализуется только следующим образом:
  • На съемных электронных носителях
ИЛИ
  • При использовании для несъемных электронных носителей PAN также становится нечитаемым с помощью другого механизма, который соответствует требованию 3.5.1.
Цель Индивидуального подхода:
Это требование не подходит для индивидуального подхода.

Примечания по применению:
Хотя шифрование диска все еще может присутствовать на устройствах такого типа, оно не может быть единственным механизмом, используемым для защиты данных, хранящихся в этих системах. Любой сохраненный PAN также должен быть сделан нечитаемым в соответствии с требованием 3.5.1 — например, с помощью усечения или механизма шифрования на уровне данных. Полное шифрование диска помогает защитить данные в случае физической потери диска, и поэтому его использование подходит только для съемных устройств хранения электронных носителей.
Носители, являющиеся частью архитектуры центра обработки данных (например, диски с возможностью горячей замены, массовые резервные копии на магнитной ленте), считаются несъемными электронными носителями, к которым применяется требование 3.5.1
Реализации шифрования диска или раздела также должны соответствовать всем другим требованиям к шифрованию PCI DSS и управлению ключами

Определенные Процедуры Тестирования Подхода:
  • 3.5.1.2.a Изучите процессы шифрования, чтобы убедиться, что, если шифрование на уровне диска или раздела используется для того, чтобы сделать PAN нечитаемым, оно реализуется только следующим образом:
    • На съемных электронных носителях ИЛИ
    • Если используется для несъемных электронных носителей, изучите процессы шифрования, используемые для проверки того, что PAN также становится нечитаемым с помощью другого метода, который соответствует требованию 3.5.1.
  • 3.5.1.2.b Изучите конфигурации и/или документацию поставщика и соблюдайте процессы шифрования, чтобы убедиться, что система настроена в соответствии с документацией поставщика. Результатом является то, что диск или раздел становятся нечитаемыми.
Цель:
Шифрование на уровне диска и раздела обычно шифрует весь диск или раздел с использованием одного и того же ключа, при этом все данные автоматически расшифровываются при запуске системы или по запросу авторизованного пользователя. По этой причине шифрование на уровне диска не подходит для защиты сохраненных данных на компьютерах, ноутбуках, серверах, массивах хранения или в любой другой системе, которая обеспечивает прозрачное дешифрование при аутентификации пользователя.

Дополнительная информация:
Там, где это возможно, соблюдение рекомендаций поставщиков по усилению и наилучшей отраслевой практике может помочь в обеспечении безопасности PAN на этих устройствах.
Requirement 9.4.3
9.4.3
Определенные Требования к Подходу:
Носитель с данными о держателях карт, отправляемый за пределы учреждения, защищается следующим образом:
  • Носители, отправленные за пределы объекта, регистрируются.
  • Носитель отправляется защищенным курьером или другим способом доставки, который можно точно отследить.
  • Журналы отслеживания за пределами сайта содержат подробную информацию о местоположении носителя.
Цель Индивидуального подхода:
Носитель защищен и отслеживается при транспортировке за пределы объекта.

Определенные Процедуры Тестирования Подхода:
  • 9.4.3.a Изучите документацию, чтобы убедиться, что процедуры определены для обеспечения безопасности носителей, отправляемых за пределы объекта, в соответствии со всеми элементами, указанными в этом требовании.
  • 9.4.3.b Опросите персонал и изучите записи, чтобы убедиться, что все материалы, отправленные за пределы объекта, регистрируются и отправляются через защищенного курьера или другим способом доставки, который можно отследить.
  • 9.4.3.c Изучите журналы отслеживания за пределами сайта для всех носителей, чтобы убедиться, что детали отслеживания задокументированы.
Цель:
Носитель может быть утерян или украден, если он отправлен с помощью не отслеживаемого способа, такого как обычная почтовая почта. Использование надежных курьеров для доставки любых носителей, содержащих данные о держателях карт, позволяет организациям использовать свои системы отслеживания для ведения инвентаризации и определения местоположения отправлений.
NIST Cybersecurity Framework (EN):
PR.PT-2 PR.PT-2: Removable media is protected and its use restricted according to policy
PR.DS-1 PR.DS-1: Data-at-rest is protected

Связанные защитные меры

3
Ничего не найдено