Куда я попал?
ГОСТ Р № 57580.1-2017 от 01.01.2018
Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации
ЗВК.18
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
СМЭ.13
СМЭ.13 Контроль содержимого информации при ее переносе из сегментов или в сегменты контуров безопасности с использованием переносных (отчуждаемых) носителей информации
3-Н 2-О 1-Т
3-Н 2-О 1-Т
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 5.3.3
5.3.3
Defined Approach Requirements:
For removable electronic media, the antimalware solution(s):
Defined Approach Requirements:
For removable electronic media, the antimalware solution(s):
- Performs automatic scans of when the media is inserted, connected, or logically mounted, OR
- Performs continuous behavioral analysis of systems or processes when the media is inserted, connected, or logically mounted.
Customized Approach Objective:
Malware cannot be introduced to system components via external removable media.
Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment.
Defined Approach Testing Procedures:
Malware cannot be introduced to system components via external removable media.
Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment.
Defined Approach Testing Procedures:
- 5.3.3.a Examine anti-malware solution(s) configurations to verify that, for removable electronic media, the solution is configured to perform at least one of the elements specified in this requirement.
- 5.3.3.b Examine system components with removable electronic media connected to verify that the solution(s) is enabled in accordance with at least one of the elements as specified in this requirement.
- 5.3.3.c Examine logs and scan results to verify that the solution(s) is enabled in accordance with at least one of the elements specified in this requirement.
Purpose:
Portable media devices are often overlooked as an entry method for malware. Attackers will often pre-load malware onto portable devices such as USB and flash drives; connecting an infected device to a computer then triggers the malware, introducing new threats within the environment.
Portable media devices are often overlooked as an entry method for malware. Attackers will often pre-load malware onto portable devices such as USB and flash drives; connecting an infected device to a computer then triggers the malware, introducing new threats within the environment.
Guideline for a healthy information system v.2.0 (EN):
7 STANDARD
/STANDARD
To guarantee the security of the information system, the organization must control the devices which connect to it, each one being a potentially vulnerable entry point. Personal devices (laptops, tablets, smartphones, etc.) are, by definition, difficult to control since it is the users who decide on their level of security. In the same way, the security of visitors’ devices is completely out of the organization’s control.
Only the connection with terminals managed by the entity must be authorised over its different access networks, whether wired or wireless. This recommendation, above all of an organisational nature, is often perceived as unacceptable and even retrograde. However, unless this is adhered to, the task of a hacker is made very much easier by making an organization’s network vulnerable.
Raising users’ awareness must therefore be accompanied by pragmatic solutions responding to their needs. For example, the provision of a Wi-Fi network with dedicated SSID for personal and visitor devices.
To guarantee the security of the information system, the organization must control the devices which connect to it, each one being a potentially vulnerable entry point. Personal devices (laptops, tablets, smartphones, etc.) are, by definition, difficult to control since it is the users who decide on their level of security. In the same way, the security of visitors’ devices is completely out of the organization’s control.
Only the connection with terminals managed by the entity must be authorised over its different access networks, whether wired or wireless. This recommendation, above all of an organisational nature, is often perceived as unacceptable and even retrograde. However, unless this is adhered to, the task of a hacker is made very much easier by making an organization’s network vulnerable.
Raising users’ awareness must therefore be accompanied by pragmatic solutions responding to their needs. For example, the provision of a Wi-Fi network with dedicated SSID for personal and visitor devices.
33 STANDARD
/STANDARD
Smartphones and tablets are a part of our daily personal and professional lives. The first recommendation consists precisely of not sharing personal and professional uses on the single and same device, for example by not simultaneously synchronising professional and personal email, social networks and calendar accounts, etc.
The devices, provided by the organization and used in a professional context, must be subject to a separate securing, as soon as they are connected to the organization’s information system or as soon as they contain potentially sensitive professional information (mails, shared files, contacts, etc.). Consequently, the use of a centralised management solution for mobile devices is to be favoured. It will be desirable to uniformly configure the inherent security policies: a method for unlocking the device, limiting the use of the application store to validated applications from a security point of view, etc.
Otherwise, configuration prior to distribution of the device and an awareness raising session with users is desirable.
Smartphones and tablets are a part of our daily personal and professional lives. The first recommendation consists precisely of not sharing personal and professional uses on the single and same device, for example by not simultaneously synchronising professional and personal email, social networks and calendar accounts, etc.
The devices, provided by the organization and used in a professional context, must be subject to a separate securing, as soon as they are connected to the organization’s information system or as soon as they contain potentially sensitive professional information (mails, shared files, contacts, etc.). Consequently, the use of a centralised management solution for mobile devices is to be favoured. It will be desirable to uniformly configure the inherent security policies: a method for unlocking the device, limiting the use of the application store to validated applications from a security point of view, etc.
Otherwise, configuration prior to distribution of the device and an awareness raising session with users is desirable.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.6.2.1
A.6.2.1 Политика использования мобильных устройств
Мера обеспечения информационной безопасности: Следует определить политику и реализовать поддерживающие меры безопасности для управления рисками информационной безопасности, связанными с использованием мобильных устройств
Мера обеспечения информационной безопасности: Следует определить политику и реализовать поддерживающие меры безопасности для управления рисками информационной безопасности, связанными с использованием мобильных устройств
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 5.3.3
5.3.3
Определенные Требования к Подходу:
Для съемных электронных носителей решение (решения) для защиты от вредоносных программ:
Определенные Требования к Подходу:
Для съемных электронных носителей решение (решения) для защиты от вредоносных программ:
- Выполняет автоматическое сканирование, когда носитель вставлен, подключен или логически смонтирован,
ИЛИ
- Выполняет непрерывный поведенческий анализ систем или процессов, когда носитель вставлен, подключен или логически смонтирован.
Цель Индивидуального подхода:
Вредоносные программы не могут быть внедрены в системные компоненты с помощью внешних съемных носителей.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
Вредоносные программы не могут быть внедрены в системные компоненты с помощью внешних съемных носителей.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 5.3.3.a Изучите конфигурации решений для защиты от вредоносных программ, чтобы убедиться, что для съемных электронных носителей решение настроено на выполнение хотя бы одного из элементов, указанных в этом требовании.
- 5.3.3.b Проверьте компоненты системы с подключенными съемными электронными носителями, чтобы убедиться, что решение (решения) включено в соответствии хотя бы с одним из элементов, указанных в этом требовании.
- 5.3.3.c Изучите журналы и результаты сканирования, чтобы убедиться, что решение (решения) включено в соответствии хотя бы с одним из элементов, указанных в этом требовании.
Цель:
Портативные мультимедийные устройства часто упускаются из виду как способ проникновения вредоносных программ. Злоумышленники часто предварительно загружают вредоносное ПО на портативные устройства, такие как USB и флэш-накопители; подключение зараженного устройства к компьютеру затем запускает вредоносное ПО, создавая новые угрозы в среде.
Портативные мультимедийные устройства часто упускаются из виду как способ проникновения вредоносных программ. Злоумышленники часто предварительно загружают вредоносное ПО на портативные устройства, такие как USB и флэш-накопители; подключение зараженного устройства к компьютеру затем запускает вредоносное ПО, создавая новые угрозы в среде.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.7
А.8.7 Защита от вредоносного программного обеспечения
Должна быть реализована и поддерживаться соответствующей осведомленностью пользователей защита от вредоносного программного обеспечения.
Должна быть реализована и поддерживаться соответствующей осведомленностью пользователей защита от вредоносного программного обеспечения.
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
6.2.1
6.2.1 Политика использования мобильных устройств
Мера обеспечения ИБ
Должна быть определена политика и реализованы поддерживающие меры обеспечения ИБ для управления рисками ИБ, связанными с использованием мобильных устройств.
Руководство по применению
При использовании мобильных устройств особое внимание следует уделять тому, чтобы информация ограниченного доступа не была скомпрометирована. Политика использования мобильных устройств должна принимать во внимание риски работы с мобильными устройствами в незащищенных средах.
Политика использования мобильных устройств должна предусматривать:
- a) регистрацию мобильных устройств;
- b) требования к физической защите;
- c) ограничения на установку программного обеспечения;
- d) требования к версиям программного обеспечения мобильного устройства и применению исправлений;
- e) ограничение подключения к информационным сервисам;
- f) управление доступом;
- g) криптографические методы обеспечения ИБ;
- h) защиту от вредоносного программного обеспечения;
- i) возможности дистанционного отключения, стирания или блокировки;
- j) резервное копирование;
- k) использование веб-сервисов и веб-приложений;
- l) контроль получения прав "root" на устройстве.
Следует проявлять осторожность при использовании устройств в общественных местах, конференц-залах и других незащищенных местах. Должна быть предусмотрена защита от несанкционированного доступа или раскрытия информации, хранящейся и обрабатываемой этими устройствами, например, использование криптографических методов (раздел 10) и принудительное применение секретной аутентификационной информации (см. 9.2.4).
Мобильные устройства также должны быть физически защищены от кражи, особенно если они могут быть оставлены, например, в автомобилях и других видах транспорта, в гостиничных номерах, конференц-центрах и местах для встреч. Для случаев кражи или утери мобильных устройств должна быть установлена специальная процедура, учитывающая правовые, страховые и другие требования безопасности организации. Устройства, несущие важную, ограниченную информацию, не следует оставлять без присмотра и, по возможности, их следует физически запирать или использовать специальные замки для защиты.
Следует организовать обучение персонала, использующего мобильные устройства, для повышения их осведомленности о дополнительных рисках, связанных с таким способом работы, и о мерах обеспечения ИБ, которые должны быть выполнены.
Там, где политика допускает использование личных мобильных устройств, политика и соответствующие меры обеспечения ИБ также должны предусматривать:
- a) разделение использования устройств в личных и рабочих целях, включая использование программного обеспечения для обеспечения такого разделения и защиты информации ограниченного доступа на личном устройстве;
- b) предоставление доступа к информации ограниченного доступа только после того, как пользователи подпишут соглашение, признающее их обязанности (физическая защита, обновление программного обеспечения и т.д.), отказ от владения информацией ограниченного доступа, позволяющее организации дистанционно удалять данные в случае кражи или утери устройства, или когда пользователь больше не авторизован на использование. Политика должна учитывать особенности законодательства по защите конфиденциальной информации.
Дополнительная информация
Беспроводные сети для мобильных устройств похожи на другие типы сетей, однако имеют важные отличия, которые необходимо учитывать при определении мер обеспечения ИБ. Типичными отличиями являются:
- a) некоторые беспроводные протоколы, обеспечивающие безопасность, недостаточно развиты и имеют известные недостатки;
- b) информация, хранящаяся на мобильных устройствах, может быть не скопирована из-за ограниченной пропускной способности сети или из-за того, что мобильные устройства могут оказаться не подключены к сети во время запланированного резервного копирования.
Мобильные устройства обычно имеют общие функции со стационарно используемыми устройствами, например доступ в сеть и Интернет, электронная почта и управление файлами. Меры обеспечения ИБ для мобильных устройств, как правило, состоят из адаптированных мер, которые используются в стационарных устройствах и тех, которые предназначены для устранения угроз, возникающих при их использовании вне помещений организации.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.7
А.8.7 Protection against malware
Protection against malware shall be implemented and supported by appropriate user awareness.
Protection against malware shall be implemented and supported by appropriate user awareness.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.