Куда я попал?
Приказ ФСТЭК России № 21 от 18.02.2013
Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных
УКФ.3
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
УКФ.3 Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данныхОбязательно для уровня защищенности УЗ1 УЗ2 УЗ3
Похожие требования
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
УИ.12
УИ.12 Проведение анализа на предмет необходимости переоценки риска реализации информационных угроз** перед внесением изменений в критичную архитектуру финансовой организации, включая выявление фактов***, свидетельствующих о возможном изменении уровня такого риска.
УИ.6.4
УИ.6.4 Контроля отсутствия известных (описанных) уязвимостей объектов информатизации.
УИ.6.2
УИ.6.2 Контроля требований безопасности вносимых изменений;
УИ.25.2
УИ.25.2 Реализации процедур предварительного анализа*** и согласования применения обновлений (исправлений);
УИ.11.1
УИ.11.1 Внесение изменений в критичную архитектуру с учетом оценки риска реализации информационных угроз (включая остаточный риск) и влияния на операционную надежность финансовой организации до и после внесения изменений;
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 6.5.2
6.5.2
Defined Approach Requirements:
Upon completion of a significant change, all applicable PCI DSS requirements are confirmed to be in place on all new or changed systems and networks, and documentation is updated as applicable.
Customized Approach Objective:
All system components are verified after a significant change to be compliant with the applicable PCI DSS requirements.
Applicability Notes:
These significant changes should also be captured and reflected in the entity’s annual PCI DSS scope confirmation activity per Requirement 12.5.2.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Upon completion of a significant change, all applicable PCI DSS requirements are confirmed to be in place on all new or changed systems and networks, and documentation is updated as applicable.
Customized Approach Objective:
All system components are verified after a significant change to be compliant with the applicable PCI DSS requirements.
Applicability Notes:
These significant changes should also be captured and reflected in the entity’s annual PCI DSS scope confirmation activity per Requirement 12.5.2.
Defined Approach Testing Procedures:
- 6.5.2 Examine documentation for significant changes, interview personnel, and observe the affected systems/networks to verify that the entity confirmed applicable PCI DSS requirements were in place on all new or changed systems and networks and that documentation was updated as applicable.
Purpose:
Having processes to analyze significant changes helps ensure that all appropriate PCI DSS controls are applied to any systems or networks added or changed within the in-scope environment, and that PCI DSS requirements continue to be met to secure the environment.
Good Practice:
Building this validation into change management processes helps ensure that device inventories and configuration standards are kept up to date and security controls are applied where needed.
Examples:
Applicable PCI DSS requirements that could be impacted include, but are not limited to:
Having processes to analyze significant changes helps ensure that all appropriate PCI DSS controls are applied to any systems or networks added or changed within the in-scope environment, and that PCI DSS requirements continue to be met to secure the environment.
Good Practice:
Building this validation into change management processes helps ensure that device inventories and configuration standards are kept up to date and security controls are applied where needed.
Examples:
Applicable PCI DSS requirements that could be impacted include, but are not limited to:
- Network and data-flow diagrams are updated to reflect changes.
- Systems are configured per configuration standards, with all default passwords changed and unnecessary services disabled.
- Systems are protected with required controls—for example, file integrity monitoring (FIM), anti-malware, patches, and audit logging.
- Sensitive authentication data is not stored, and all account data storage is documented and incorporated into data retention policy and procedures.
- New systems are included in the quarterly vulnerability scanning process.
- Systems are scanned for internal and external vulnerabilities after significant changes per Requirements 11.3.1.3 and 11.3.2.1.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 6.5.2
6.5.2
Определенные Требования к Подходу:
После завершения существенных изменений подтверждается, что все применимые требования PCI DSS применяются ко всем новым или измененным системам и сетям, а документация обновляется по мере необходимости.
Цель Индивидуального подхода:
Все компоненты системы проверяются после внесения существенных изменений на соответствие применимым требованиям PCI DSS.
Примечания по применению:
Эти существенные изменения также должны быть зафиксированы и отражены в ежегодной деятельности организации по подтверждению охвата PCI DSS в соответствии с требованием 12.5.2.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
После завершения существенных изменений подтверждается, что все применимые требования PCI DSS применяются ко всем новым или измененным системам и сетям, а документация обновляется по мере необходимости.
Цель Индивидуального подхода:
Все компоненты системы проверяются после внесения существенных изменений на соответствие применимым требованиям PCI DSS.
Примечания по применению:
Эти существенные изменения также должны быть зафиксированы и отражены в ежегодной деятельности организации по подтверждению охвата PCI DSS в соответствии с требованием 12.5.2.
Определенные Процедуры Тестирования Подхода:
- 6.5.2 Изучите документацию на предмет существенных изменений, опросите персонал и понаблюдайте за затронутыми системами/сетями, чтобы убедиться, что организация подтвердила, что применимые требования PCI DSS применяются ко всем новым или измененным системам и сетям, и что документация была обновлена по мере необходимости.
Цель:
Наличие процессов для анализа существенных изменений помогает гарантировать, что все соответствующие элементы управления PCI DSS применяются к любым системам или сетям, добавленным или измененным в рамках среды in-scope, и что требования PCI DSS продолжают выполняться для обеспечения безопасности среды.
Надлежащая практика:
Включение этой проверки в процессы управления изменениями помогает гарантировать, что инвентаризация устройств и стандарты конфигурации поддерживаются в актуальном состоянии, а средства контроля безопасности применяются там, где это необходимо.
Примеры:
Применимые требования PCI DSS, которые могут быть затронуты, включают, но не ограничиваются ими::
Наличие процессов для анализа существенных изменений помогает гарантировать, что все соответствующие элементы управления PCI DSS применяются к любым системам или сетям, добавленным или измененным в рамках среды in-scope, и что требования PCI DSS продолжают выполняться для обеспечения безопасности среды.
Надлежащая практика:
Включение этой проверки в процессы управления изменениями помогает гарантировать, что инвентаризация устройств и стандарты конфигурации поддерживаются в актуальном состоянии, а средства контроля безопасности применяются там, где это необходимо.
Примеры:
Применимые требования PCI DSS, которые могут быть затронуты, включают, но не ограничиваются ими::
- Схемы сети и потоков данных обновляются с учетом изменений.
- Системы настроены в соответствии со стандартами конфигурации, при этом все пароли по умолчанию изменены, а ненужные службы отключены.
- Системы защищены необходимыми элементами управления — например, мониторинг целостности файлов (FIM), защита от вредоносных программ, исправления и ведение журнала аудита.
- Конфиденциальные данные аутентификации не сохраняются, и все хранение данных учетной записи документируется и включается в политику и процедуры хранения данных.
- Новые системы включаются в ежеквартальный процесс сканирования уязвимостей.
- Системы проверяются на наличие внутренних и внешних уязвимостей после значительных изменений в соответствии с требованиями 11.3.1.3 и 11.3.2.1.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.