Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений

ГОСТ Р № 57580.1-2017 от 01.01.2018

ЖЦ.10

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.3.4
12.3.4
Defined Approach Requirements: 
Hardware and software technologies in use are reviewed at least once every 12 months, including at least the following:
  • Analysis that the technologies continue to receive security fixes from vendors promptly. 
  • Analysis that the technologies continue to support (and do not preclude) the entity’s PCI DSS compliance.
  • Documentation of any industry announcements or trends related to a technology, such as when a vendor has announced “end of life” plans for a technology. 
  • Documentation of a plan, approved by senior management, to remediate outdated technologies, including those for which vendors have announced “end of life” plans. 
Customized Approach Objective:
The entity’s hardware and software technologies are up to date and supported by the vendor. Plans to remove or replace all unsupported system components are reviewed periodically. 

Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 

Defined Approach Testing Procedures:
  • 12.3.4 Examine documentation for the review of hardware and software technologies in use and interview personnel to verify that the review is in accordance with all elements specified in this requirement. 
Purpose:
Hardware and software technologies are constantly evolving, and organizations need to be aware of changes to the technologies they use, as well as the evolving threats to those technologies to ensure that they can prepare for, and manage, vulnerabilities in hardware and software that will not be remediated by the vendor or developer. 

Good Practice:
Organizations should review firmware versions to ensure they remain current and supported by the vendors. Organizations also need to be aware of changes made by technology vendors to their products or processes to understand how such changes may impact the organization’s use of the technology. 
Regular reviews of technologies that impact or influence PCI DSS controls can assist with purchasing, usage, and deployment strategies, and ensure controls that rely on those technologies remain effective. These reviews include, but are not limited to, reviewing technologies that are no longer supported by the vendor and/or no longer meet the security needs of the organization. 
Guideline for a healthy information system v.2.0 (EN):
35 STANDARD
/STANDARD
The use of an obsolete system or software package significantly increases the possibilities of a cyberattack. Systems become vulnerable when corrective measures are no longer proposed. Malicious tools exploiting these vulnerabilities can be spread quickly online while the publisher is not offering a security corrective measure. 

To anticipate obsolescence, a certain number of precautions exist:
  • establish an inventory of the information system applications and systems and keep it up to date;
  • choose solutions with support that is ensured for a time period corresponding to their use;
  • ensure monitoring of updates and end of support dates for software;
  • keep an homogeneous software stock (the co-existence of different versions of the same product increases the risks and makes monitoring more complicated);
  • reduce software reliance, in other words, dependency on the operating of a software package compared to another, in particular when its support comes to an end;
  • include in contracts with service providers and suppliers clauses guaranteeing the monitoring of corrective security measures and the management of obsolescence;
  • identify the time periods and resources necessary (material, human, budgetary) for the migration of each software package at the end of its life (non-regression tests, backup procedure, data migration procedure, etc.). 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.3.4
12.3.4
Определенные Требования к Подходу:
Используемые аппаратные и программные технологии пересматриваются не реже одного раза в 12 месяцев, включая, по крайней мере, следующие:
  • Убедитесь, что технологии продолжают оперативно получать исправления безопасности от поставщиков.
  • Анализ того, что технологии продолжают поддерживать (и не препятствуют) соответствие организации стандарту PCI DSS.
  • Документирование любых отраслевых объявлений или тенденций, связанных с технологией, например, когда поставщик объявил о планах “окончания срока службы” технологии.
  • Документация плана, утвержденного высшим руководством, по исправлению устаревших технологий, в том числе тех, для которых поставщики объявили о планах “окончания срока службы”.
Цель Индивидуального подхода:
Аппаратные и программные технологии предприятия обновлены и поддерживаются поставщиком. Планы по удалению или замене всех неподдерживаемых компонентов системы периодически пересматриваются.

Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:
  • 12.3.4 Изучите документацию для проверки используемых аппаратных и программных технологий и опросите персонал, чтобы убедиться, что проверка соответствует всем элементам, указанным в этом требовании.
Цель:
Аппаратные и программные технологии постоянно развиваются, и организации должны быть осведомлены об изменениях в используемых ими технологиях, а также о возникающих угрозах для этих технологий, чтобы гарантировать, что они могут подготовиться к уязвимостям в аппаратном и программном обеспечении и управлять ими, которые не будут устранены поставщиком или разработчиком.

Надлежащая практика:
Организациям следует проверять версии встроенного ПО, чтобы убедиться, что они остаются актуальными и поддерживаются поставщиками. Организациям также необходимо знать об изменениях, вносимых поставщиками технологий в их продукты или процессы, чтобы понять, как такие изменения могут повлиять на использование технологии организацией.
Регулярные обзоры технологий, которые влияют или влияют на средства контроля PCI DSS, могут помочь в разработке стратегий приобретения, использования и развертывания и гарантировать, что средства контроля, основанные на этих технологиях, остаются эффективными. Эти проверки включают, но не ограничиваются ими, анализ технологий, которые больше не поддерживаются поставщиком и/или больше не отвечают потребностям организации в области безопасности.

Связанные защитные меры

3
Ничего не найдено