Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Приказ ФАПСИ № 152 от 13.06.2001

Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну

Глава III п. 45

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

NIST Cybersecurity Framework (RU):
PR.IP-6
PR.IP-6: Уничтожение данных производиться в соответствии с политикой 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 3.7.5
3.7.5
Defined Approach Requirements: 
Key management policies procedures are implemented to include the retirement, replacement, or destruction of keys used to protect stored account data, as deemed necessary when:
  • The key has reached the end of its defined cryptoperiod.
  • The integrity of the key has been weakened, including when personnel with knowledge of a cleartext key component leaves the company, or the role for which the key component was known.
  • The key is suspected of or known to be compromised. Retired or replaced keys are not used for encryption operations. 
Customized Approach Objective:
Keys are removed from active use when it is suspected or known that the integrity of the key is weakened. 

Applicability Notes:
If retired or replaced cryptographic keys need to be retained, these keys must be securely archived (for example, by using a key-encryption key). 

Defined Approach Testing Procedures:
  • 3.7.5.a Examine the documented key-management policies and procedures for keys used for protection of stored account data and verify that they define retirement, replacement, or destruction of keys in accordance with all elements specified in this requirement. 
  • 3.7.5.b Interview personnel to verify that processes are implemented in accordance with all elements specified in this requirement. 
Purpose:
Keys that are no longer required, keys with weakened integrity, and keys that are known or suspected to be compromised, should be archived, revoked, and/or destroyed to ensure that the keys can no longer be used. 
If such keys need to be kept (for example, to support archived encrypted data), they should be strongly protected. 

Good Practice:
Archived cryptographic keys should be used only for decryption/verification purposes. 
The encryption solution should provide for and facilitate a process to replace keys that are due for replacement or that are known to be, or suspected of being, compromised. In addition, any keys that are known to be, or suspected of being, compromised should be managed in accordance with the entity’s incident response plan per Requirement 12.10.1. 

Further Information:
Industry best practices for archiving retired keys are outlined in NIST SP 800-57 Part 1, Revision 5, Section 8.3.1, and includes maintaining the archive with a trusted third party and storing archived key information separately from operational data. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 3.7.5
3.7.5
Определенные Требования к Подходу:
Применяются процедуры политики управления ключами, включающие удаление, замену или уничтожение ключей, используемых для защиты сохраненных данных учетной записи, по мере необходимости, когда:
  • Ключ достиг конца своего определенного криптопериода.
  • Целостность ключа была ослаблена, в том числе, когда персонал, знающий о ключевом компоненте открытого текста, покидает компанию или роль, для которой был известен ключевой компонент.
  • Подозревается или известно, что ключ скомпрометирован. Удаленные или замененные ключи не используются для операций шифрования.
Цель Индивидуального подхода:
Ключи удаляются из активного использования, когда есть подозрение или известно, что целостность ключа ослаблена.

Примечания по применению:
Если необходимо сохранить удаленные или замененные криптографические ключи, эти ключи должны быть надежно заархивированы (например, с помощью ключа шифрования).

Определенные Процедуры Тестирования Подхода:
  • 3.7.5.a Изучите документированные политики и процедуры управления ключами для ключей, используемых для защиты сохраненных данных учетной записи, и убедитесь, что они определяют удаление, замену или уничтожение ключей в соответствии со всеми элементами, указанными в этом требовании.
  • 3.7.5.b Провести собеседование с персоналом, чтобы убедиться, что процессы выполняются в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Ключи, которые больше не требуются, ключи с ослабленной целостностью и ключи, которые, как известно, или предположительно скомпрометированы, должны быть заархивированы, отозваны и / или уничтожены, чтобы гарантировать, что ключи больше нельзя будет использовать.
Если такие ключи необходимо хранить (например, для поддержки архивированных зашифрованных данных), они должны быть надежно защищены.

Надлежащая практика:
Архивированные криптографические ключи следует использовать только для целей дешифрования/проверки.
Решение для шифрования должно предусматривать и облегчать процесс замены ключей, которые подлежат замене или которые, как известно, или предположительно скомпрометированы. Кроме того, управление любыми ключами, которые, как известно, или предположительно скомпрометированы, должно осуществляться в соответствии с планом реагирования организации на инциденты в соответствии с требованием 12.10.1.

Дополнительная информация:
Отраслевые рекомендации по архивированию устаревших ключей изложены в NIST SP 800-57, Часть 1, редакция 5, раздел 8.3.1, и включают ведение архива доверенной третьей стороной и хранение архивной ключевой информации отдельно от оперативных данных.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.10
А.8.10 Уничтожение информации
Информация, хранящаяся в информационных системах, устройствах или на любых иных носителях информации, подлежит удалению, если она не требуется более.
NIST Cybersecurity Framework (EN):
PR.IP-6 PR.IP-6: Data is destroyed according to policy
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.10
А.8.10 Information deletion
Information stored in information systems, devices or in any other storage media shall be deleted when no longer required.

Связанные защитные меры

Ничего не найдено