Куда я попал?
ГОСТ Р № 57580.1-2017 от 01.01.2018
Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации
РИ.4
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 3.7.9
3.7.9
Defined Approach Requirements:
Additional requirement for service providers only: Where a service provider shares cryptographic keys with its customers for transmission or storage of account data, guidance on secure transmission, storage and updating of such keys is documented and distributed to the service provider’s customers.
Customized Approach Objective:
Customers are provided with appropriate key management guidance whenever they receive shared cryptographic keys.
Applicability Notes:
This requirement applies only when the entity being assessed is a service provider.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Additional requirement for service providers only: Where a service provider shares cryptographic keys with its customers for transmission or storage of account data, guidance on secure transmission, storage and updating of such keys is documented and distributed to the service provider’s customers.
Customized Approach Objective:
Customers are provided with appropriate key management guidance whenever they receive shared cryptographic keys.
Applicability Notes:
This requirement applies only when the entity being assessed is a service provider.
Defined Approach Testing Procedures:
- 3.7.9 Additional testing procedure for service provider assessments only: If the service provider shares cryptographic keys with its customers for transmission or storage of account data, examine the documentation that the service provider provides to its customers to verify it includes guidance on how to securely transmit, store, and update customers’ keys in accordance with all elements specified in Requirements 3.7.1 through 3.7.8 above.
Purpose:
Providing guidance to customers on how to securely transmit, store, and update cryptographic keys can help prevent keys from being mismanaged or disclosed to unauthorized entities.
Further Information:
Numerous industry standards for key management are cited above in the Guidance for Requirements 3.7.1-3.7.8.
Providing guidance to customers on how to securely transmit, store, and update cryptographic keys can help prevent keys from being mismanaged or disclosed to unauthorized entities.
Further Information:
Numerous industry standards for key management are cited above in the Guidance for Requirements 3.7.1-3.7.8.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.16.1.3
A.16.1.3 Сообщения о недостатках информационной безопасности
Мера обеспечения информационной безопасности: Работники и подрядчики, использующие информационные системы и услуги организации, должны обращать внимание на любые замеченные или предполагаемые недостатки информационной безопасности в системах или сервисах и сообщать о них
Мера обеспечения информационной безопасности: Работники и подрядчики, использующие информационные системы и услуги организации, должны обращать внимание на любые замеченные или предполагаемые недостатки информационной безопасности в системах или сервисах и сообщать о них
Положение Банка России № 802-П от 25.07.2022 "О требованиях к защите информации в платежной системе Банка России":
П. 16.3
16.3. ОПКЦ СБП должен осуществлять:
- выявление операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, на основании моделей оценки риска операций по переводу денежных средств (далее - модели оценки риска операций Банка России), установленных в соответствии с договором о взаимодействии, заключаемым между Банком России и оператором внешней платежной системы в соответствии с частью 37 статьи 15 Федерального закона от 27 июня 2011 года N 161-ФЗ (далее - договор о взаимодействии между Банком России и ОПКЦ СБП), индикаторов уровня риска операции при осуществлении переводов денежных средств с использованием сервиса быстрых платежей, полученных от участников СБП;
- приостановление процедуры приема к исполнению, в том числе последующих процедур приема к исполнению и исполнения распоряжений в рамках выявленной операции, соответствующей признакам осуществления переводов денежных средств без согласия клиента, в соответствии с договором об оказании услуг между участником СБП и ОПКЦ СБП;
- незамедлительное уведомление участников СБП о выявлении операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, в соответствии с договором об оказании услуг между участником СБП и ОПКЦ СБП;
- уведомление Банка России о выявлении операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, в соответствии с договором о взаимодействии между Банком России и ОПКЦ СБП;
- формирование индикатора уровня риска операции на основе моделей оценки риска операций Банка России и направление участнику СБП - банку плательщика сформированных ОПКЦ СБП и участником СБП - банком получателя индикаторов уровня риска операций в электронном сообщении в случае невыявления признаков осуществления перевода денежных средств без согласия клиента.
Процедура принятия решения о наличии признаков осуществления перевода денежных средств без согласия клиента участником СБП на основании индикатора уровня риска операции, поступившего в электронном сообщении от участника СБП, ОПКЦ СБП при осуществлении операции по переводу денежных средств с использованием сервиса быстрых платежей, устанавливается участником СБП в рамках реализуемой им системы управления рисками в соответствии с частью 5.1 статьи 8 Федерального закона от 27 июня 2011 года N 161-ФЗ.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 3.7.9
3.7.9
Определенные Требования к Подходу:
Дополнительное требование только для поставщиков услуг: Если поставщик услуг делится криптографическими ключами со своими клиентами для передачи или хранения данных учетной записи, руководство по безопасной передаче, хранению и обновлению таких ключей документируется и распространяется среди клиентов поставщика услуг.
Цель Индивидуального подхода:
Клиентам предоставляются соответствующие рекомендации по управлению ключами всякий раз, когда они получают общие криптографические ключи.
Примечания по применению:
Это требование применяется только в том случае, если оцениваемый субъект является поставщиком услуг.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Дополнительное требование только для поставщиков услуг: Если поставщик услуг делится криптографическими ключами со своими клиентами для передачи или хранения данных учетной записи, руководство по безопасной передаче, хранению и обновлению таких ключей документируется и распространяется среди клиентов поставщика услуг.
Цель Индивидуального подхода:
Клиентам предоставляются соответствующие рекомендации по управлению ключами всякий раз, когда они получают общие криптографические ключи.
Примечания по применению:
Это требование применяется только в том случае, если оцениваемый субъект является поставщиком услуг.
Определенные Процедуры Тестирования Подхода:
- 3.7.9 Дополнительная процедура тестирования только для оценки поставщика услуг: Если поставщик услуг делится криптографическими ключами со своими клиентами для передачи или хранения данных учетной записи, изучите документацию, которую поставщик услуг предоставляет своим клиентам, чтобы убедиться, что она содержит руководство по безопасной передаче, хранению и обновлению ключей клиентов в соответствии с все элементы, указанные в требованиях 3.7.1-3.7.8 выше.
Цель:
Предоставление клиентам рекомендаций о том, как безопасно передавать, хранить и обновлять криптографические ключи, может помочь предотвратить неправильное управление ключами или их передачу неавторизованным лицам.
Дополнительная информация:
Многочисленные отраслевые стандарты управления ключами приведены выше в Руководстве по требованиям 3.7.1-3.7.8.
Предоставление клиентам рекомендаций о том, как безопасно передавать, хранить и обновлять криптографические ключи, может помочь предотвратить неправильное управление ключами или их передачу неавторизованным лицам.
Дополнительная информация:
Многочисленные отраслевые стандарты управления ключами приведены выше в Руководстве по требованиям 3.7.1-3.7.8.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИНЦ.2
ИНЦ.2 Информирование о компьютерных инцидентах
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ИНЦ.2
ИНЦ.2 Информирование о компьютерных инцидентах
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
16.1.3
16.1.3 Сообщение о недостатках информационной безопасности
Мера обеспечения ИБ
Работники и подрядчики, использующие информационные системы и услуги организации, должны обращать внимание на любые замеченные или предполагаемые недостатки ИБ в системах или сервисах и сообщать о них.
Руководство по применению
Все работники и подрядчики должны незамедлительно сообщать о недостатках ИБ контактных лиц, чтобы предотвратить инциденты ИБ. Механизм оповещения должен быть максимально простым, доступным и работоспособным.
Дополнительная информация
Работникам и подрядчикам должно быть рекомендовано не пытаться проверять предполагаемые недостатки безопасности. Тестирование недостатков может быть воспринято как потенциально неправильное использование системы, а также может повредить информационную систему или сервис и привести к юридической ответственности лица, выполняющего тестирование.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.