Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений

ГОСТ Р № 57580.1-2017 от 01.01.2018

ЖЦ.27

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.4.1.2
9.4.1.2
Defined Approach Requirements: 
The security of the offline media backup location(s) with cardholder data is reviewed at least once every 12 months. 

Customized Approach Objective:
The security controls protecting offline backups are verified periodically by inspection. 

Defined Approach Testing Procedures:
  • 9.4.1.2.a Examine documentation to verify that procedures are defined for reviewing the security of the offline media backup location(s) with cardholder data at least once every 12 months. 
  • 9.4.1.2.b Examine documented procedures, logs, or other documentation, and interview responsible personnel at the storage location(s) to verify that the storage location’s security is reviewed at least once every 12 months. 
Purpose:
Conducting regular reviews of the storage facility enables the organization to address identified security issues promptly, minimizing the potential risk. It is important for the entity to be aware of the security of the area where media is being stored. 
Requirement 9.4.1.1
9.4.1.1
Defined Approach Requirements: 
Offline media backups with cardholder data are stored in a secure location. 

Customized Approach Objective:
Offline backups cannot be accessed by unauthorized personnel. 

Defined Approach Testing Procedures:
  • 9.4.1.1.a Examine documentation to verify that procedures are defined for physically securing offline media backups with cardholder data in a secure location. 
  • 9.4.1.1.b Examine logs or other documentation and interview responsible personnel at the storage location to verify that offline media backups are stored in a secure location. 
Purpose:
If stored in a non-secured facility, backups containing cardholder data may easily be lost, stolen, or copied for malicious intent. 

Good Practice:
For secure storage of backup media, a good practice is to store media in an off-site facility, such as an alternate or backup site or commercial storage facility. 
Guideline for a healthy information system v.2.0 (EN):
14 STRENGTHENED
/STRENGTHENED
Data vital to the proper business of the organization that is held on users’ devices and servers must be subject to regular backups and stored on disconnected devices, and its restoration must be tested periodically. An increasing number of small organisations are subject to attacks which make their data unavailable (for example demanding, in exchange for returning the data, the payment of a significant amount of money (ransomware)). 
37 STANDARD
/STANDARD
Following an exploitation incident or in the context of managing an intrusion, the availability of backups, saved in a safe place, is essential to continue the activity. Formalising a regularly updated backup policy is therefore highly recommended. This aims to define the requirements in terms of backing up information, software and systems. 

This policy must, at least, integrate the following elements:
  • the list of data judged vital for the organization and the servers concerned;
  • the different types of backup (for example the offline mode);
  • the frequency of backups;
  • the administration and backup execution procedure;
  • the storage information and the access restrictions to backups;
  • the testing and restoration procedures; > the destruction of media that contained backups. 
The restoration tests may be carried out in several ways: 
  • systematic, through a task scheduler for important applications; 
  • one-off, in the event of an error in files; 
  • general, for complete backup and restoration of the information system. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.12.3.1
A.12.3.1 Резервное копирование информации 
Мера обеспечения информационной безопасности: В соответствии с политикой резервирования следует регулярно создавать и проверять резервные копии информации, программного обеспечения и образов системы 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.4.1.1
9.4.1.1
Определенные Требования к Подходу:
Резервные копии автономных носителей с данными о держателях карт хранятся в безопасном месте.

Цель Индивидуального подхода:
Неавторизованный персонал не может получить доступ к автономным резервным копиям.

Определенные Процедуры Тестирования Подхода:
  • 9.4.1.1.a Изучите документацию, чтобы убедиться, что определены процедуры для физической защиты резервных копий автономных носителей с данными о держателях карт в безопасном месте.
  • 9.4.1.1.b Изучите журналы или другую документацию и опросите ответственный персонал в месте хранения, чтобы убедиться, что резервные копии автономных носителей хранятся в безопасном месте.
Цель:
При хранении в незащищенном месте резервные копии, содержащие данные о держателях карт, могут быть легко потеряны, украдены или скопированы с целью злонамеренного умысла.

Надлежащая практика:
Для безопасного хранения резервных носителей рекомендуется хранить их в удаленном месте, например на альтернативном или резервном сайте или в коммерческом хранилище.
Requirement 9.4.1.2
9.4.1.2
Определенные Требования к Подходу:
Безопасность автономных хранилищ резервных копий носителей с данными о держателях карт проверяется не реже одного раза в 12 месяцев.

Цель Индивидуального подхода:
Средства безопасности, защищающие автономные резервные копии, периодически проверяются путем проверки.

Определенные Процедуры Тестирования Подхода:
  • 9.4.1.2.a Изучайте документацию, чтобы убедиться, что определены процедуры проверки безопасности автономных хранилищ резервных копий носителей с данными о держателях карт не реже одного раза в 12 месяцев.
  • 9.4.1.2.b Изучите документированные процедуры, журналы или другую документацию и опросите ответственный персонал в месте (ах) хранения, чтобы убедиться, что безопасность места хранения проверяется не реже одного раза в 12 месяцев.
Цель:
Проведение регулярных проверок хранилища позволяет организации оперативно устранять выявленные проблемы безопасности, сводя к минимуму потенциальный риск. Для организации важно знать о безопасности области, в которой хранятся носители.
Strategies to Mitigate Cyber Security Incidents (EN):
4.1.
Regular backups of important new/changed data, software and configuration settings, stored disconnected, retained for at least three months. Test restoration initially, annually and when IT infrastructure changes.
Relative Security Effectiveness:  Essential | Potential User Resistance:   Low | Upfront Cost:  High | Ongoing Maintenance Cost:  High
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.13
А.8.13 Резервное копирование информации
Резервные копии информации, программного обеспечения и систем должны поддерживаться и регулярно тестироваться в соответствии с согласованной специфической тематической политикой по резервному копированию.
Положение Банка России № N 757-П от 20.04.2021 "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций":
2.1.
2.1. Оператор финансовой платформы, регистратор финансовых транзакций дополнительно к информации, указанной в пункте 1.1 настоящего Положения, должны осуществлять защиту следующей информации, получаемой, подготавливаемой, обрабатываемой, передаваемой и хранимой в используемых ими автоматизированных системах:
  • информации, обрабатываемой оператором финансовой платформы при совершении финансовых сделок с использованием финансовой платформы;
  • информации, обрабатываемой регистратором финансовых транзакций при осуществлении репозитарной деятельности в отношении финансовых сделок;
  • информации, содержащейся в электронных сообщениях, составляемых участниками финансовой платформы, оператором финансовой платформы и регистратором финансовых транзакций при заключении и исполнении финансовых сделок с использованием финансовой платформы, в том числе содержащейся в электронных сообщениях - указаниях потребителей финансовых услуг;
  • информации о размещенных с использованием финансовой платформы банковских вкладах и об операциях с денежными средствами по ним, информации о совершении иных финансовых сделок и об операциях по ним, предоставленной оператором финансовой платформы регистратору финансовых транзакций;
  • электронных сообщений, которые содержат распоряжения оператора финансовой платформы в кредитную организацию о совершении операций по специальному счету на основании указания потребителя финансовых услуг.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.13
А.8.13 Information backup
Backup copies of information, software and systems shall be maintained and regularly tested in accordance with the agreed topic-specific policy on backup.

Связанные защитные меры

Название Дата Влияние
Community
1 13 / 32
Резервное копирование документов с ПК
Ежедневно Автоматически Техническая Восстановительная Компенсирующая
20.06.2022
20.06.2022 1 13 / 32
Community
2 18 / 41
Дополнительное автономное (оффлайн) хранилище резервных копий
Ежеквартально Вручную Техническая Физическая Восстановительная
23.08.2021
23.08.2021 2 18 / 41
Community
1 9 / 56
Резервное копирование и архивирование конфигураций сетевого оборудования
Еженедельно Автоматически Восстановительная
26.07.2021
26.07.2021 1 9 / 56