Куда я попал?
ГОСТ Р № 57580.1-2017 от 01.01.2018
Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации
ЦЗИ.13
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
ЦЗИ.13 Контроль размещения и своевременного обновления на АРМ пользователей и эксплуатационного персонала ПО средств и систем защиты информации, прикладного ПО, ПО АС и системного ПО, в том числе с целью устранения выявленных уязвимостей защиты информации
3-О 2-О 1-ТОбязательно для уровня защиты 1 2 3
Похожие требования
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ЦЗИ.14
ЦЗИ.14 Контроль работоспособности (тестирование) и правильности функционирования АС после выполнения обновлений ПО, предусмотренного мерами ЦЗИ.12 и ЦЗИ.13 настоящей таблицы, выполняемого в сегментах разработки и тестирования
3-О 2-О 1-О
3-О 2-О 1-О
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
АНЗ.2
АНЗ.2 Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 6.3.3
6.3.3
Defined Approach Requirements:
All system components are protected from known vulnerabilities by installing applicable security patches/updates as follows:
Defined Approach Requirements:
All system components are protected from known vulnerabilities by installing applicable security patches/updates as follows:
- Critical or high-security patches/updates (identified according to the risk ranking process at Requirement 6.3.1) are installed within one month of release.
- All other applicable security patches/updates are installed within an appropriate time frame as determined by the entity (for example, within three months of release).
Customized Approach Objective:
System components cannot be compromised via the exploitation of a known vulnerability.
Defined Approach Testing Procedures:
System components cannot be compromised via the exploitation of a known vulnerability.
Defined Approach Testing Procedures:
- 6.3.3.a Examine policies and procedures to verify processes are defined for addressing vulnerabilities by installing applicable security patches/updates in accordance with all elements specified in this requirement.
- 6.3.3.b Examine system components and related software and compare the list of installed security patches/updates to the most recent security patch/update information to verify vulnerabilities are addressed in accordance with all elements specified in this requirement.
Purpose:
New exploits are constantly being discovered, and these can permit attacks against systems that have previously been considered secure. If the most recent security patches/updates are not implemented on critical systems as soon as possible, a malicious actor can use these exploits to attack or disable a system or gain access to sensitive data.
Good Practice:
Prioritizing security patches/updates for critical infrastructure ensures that high-priority systems and devices are protected from vulnerabilities as soon as possible after a patch is released.
An entity’s patching cadence should factor in any re-evaluation of vulnerabilities and subsequent changes in the criticality of a vulnerability per Requirement 6.3.1. For example, a vulnerability initially identified as low risk could become a higher risk later. Additionally, vulnerabilities individually considered to be low or medium risk could collectively pose a high or critical risk if present on the same system, or if exploited on a low-risk system that could result in access to the CDE.
New exploits are constantly being discovered, and these can permit attacks against systems that have previously been considered secure. If the most recent security patches/updates are not implemented on critical systems as soon as possible, a malicious actor can use these exploits to attack or disable a system or gain access to sensitive data.
Good Practice:
Prioritizing security patches/updates for critical infrastructure ensures that high-priority systems and devices are protected from vulnerabilities as soon as possible after a patch is released.
An entity’s patching cadence should factor in any re-evaluation of vulnerabilities and subsequent changes in the criticality of a vulnerability per Requirement 6.3.1. For example, a vulnerability initially identified as low risk could become a higher risk later. Additionally, vulnerabilities individually considered to be low or medium risk could collectively pose a high or critical risk if present on the same system, or if exploited on a low-risk system that could result in access to the CDE.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 6.3.3
6.3.3
Определенные Требования к Подходу:
Все компоненты системы защищены от известных уязвимостей путем установки соответствующих исправлений/обновлений безопасности следующим образом:
Определенные Требования к Подходу:
Все компоненты системы защищены от известных уязвимостей путем установки соответствующих исправлений/обновлений безопасности следующим образом:
- Критические или высокозащищенные исправления/обновления (идентифицированные в соответствии с процессом ранжирования рисков в требовании 6.3.1) устанавливаются в течение одного месяца после выпуска.
- Все другие применимые исправления/обновления безопасности устанавливаются в течение соответствующего периода времени, определенного организацией (например, в течение трех месяцев после выпуска).
Цель Индивидуального подхода:
Компоненты системы не могут быть скомпрометированы путем использования известной уязвимости.
Определенные Процедуры Тестирования Подхода:
Компоненты системы не могут быть скомпрометированы путем использования известной уязвимости.
Определенные Процедуры Тестирования Подхода:
- 6.3.3.a Изучить политики и процедуры для проверки того, определены ли процессы для устранения уязвимостей путем установки соответствующих исправлений/обновлений безопасности в соответствии со всеми элементами, указанными в этом требовании.
- 6.3.3.b Изучите системные компоненты и связанное с ними программное обеспечение и сравните список установленных исправлений/обновлений безопасности с самой последней информацией об исправлениях/обновлениях безопасности, чтобы убедиться, что уязвимости устранены в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Постоянно обнаруживаются новые эксплойты, которые могут позволить проводить атаки на системы, ранее считавшиеся безопасными. Если самые последние исправления/обновления безопасности не будут внедрены в критические системы как можно скорее, злоумышленник может использовать эти эксплойты для атаки или отключения системы или получения доступа к конфиденциальным данным.
Надлежащая практика:
Приоритизация исправлений/обновлений безопасности для критической инфраструктуры гарантирует, что высокоприоритетные системы и устройства будут защищены от уязвимостей как можно скорее после выпуска исправления.
Частота исправлений организации должна учитывать любую переоценку уязвимостей и последующие изменения критичности уязвимости в соответствии с требованием 6.3.1. Например, уязвимость, первоначально идентифицированная как низкая степень риска, позже может стать более высокой степенью риска. Кроме того, уязвимости, которые по отдельности считаются уязвимостями низкого или среднего риска, могут в совокупности представлять высокий или критический риск, если они присутствуют в одной и той же системе или если они используются в системе с низким уровнем риска, что может привести к доступу к CDE.
Постоянно обнаруживаются новые эксплойты, которые могут позволить проводить атаки на системы, ранее считавшиеся безопасными. Если самые последние исправления/обновления безопасности не будут внедрены в критические системы как можно скорее, злоумышленник может использовать эти эксплойты для атаки или отключения системы или получения доступа к конфиденциальным данным.
Надлежащая практика:
Приоритизация исправлений/обновлений безопасности для критической инфраструктуры гарантирует, что высокоприоритетные системы и устройства будут защищены от уязвимостей как можно скорее после выпуска исправления.
Частота исправлений организации должна учитывать любую переоценку уязвимостей и последующие изменения критичности уязвимости в соответствии с требованием 6.3.1. Например, уязвимость, первоначально идентифицированная как низкая степень риска, позже может стать более высокой степенью риска. Кроме того, уязвимости, которые по отдельности считаются уязвимостями низкого или среднего риска, могут в совокупности представлять высокий или критический риск, если они присутствуют в одной и той же системе или если они используются в системе с низким уровнем риска, что может привести к доступу к CDE.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
АНЗ.2
АНЗ.2 Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.1
А.8.1 Пользовательские конечные устройства
Должна быть защищена информация, хранящаяся на, обрабатываемая посредством или доступная через пользовательские конечные устройства.
Должна быть защищена информация, хранящаяся на, обрабатываемая посредством или доступная через пользовательские конечные устройства.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ОПО.4
ОПО.4 Установка обновлений программного обеспечения
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ОПО.4
ОПО.4 Установка обновлений программного обеспечения
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.1
А.8.1 User endpoint devices
Information stored on, processed by or accessible via user endpoint devices shall be protected.
Information stored on, processed by or accessible via user endpoint devices shall be protected.
Связанные защитные меры
Ничего не найдено