Куда я попал?
ГОСТ Р № 57580.4-2022 от 01.02.2023
Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7
УИ.11.2
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
УИ.11.2 Обновление инвентарных данных о критичных активах (элементах критичной архитектуры) при внесении изменений в критичную архитектуру, в том числе для фиксации фактов внедрения новых, перемещения и (или) перепрофилирования существующих, а также выявления неучтенных объектов информатизации;Обязательно для уровня защиты 1 2 3
Похожие требования
NIST Cybersecurity Framework (RU):
ID.AM-1
ID.AM-1: В организации инвентаризированы системы и физическое оборудование
ID.AM-2
ID.AM-2: В организации инвентаризированы программные платформы и приложения
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.5.1
12.5.1
Defined Approach Requirements:
An inventory of system components that are in scope for PCI DSS, including a description of function/use, is maintained and kept current.
Customized Approach Objective:
All system components in scope for PCI DSS are identified and known.
Defined Approach Testing Procedures:
Defined Approach Requirements:
An inventory of system components that are in scope for PCI DSS, including a description of function/use, is maintained and kept current.
Customized Approach Objective:
All system components in scope for PCI DSS are identified and known.
Defined Approach Testing Procedures:
- 12.5.1.a Examine the inventory to verify it includes all in-scope system components and a description of function/use for each. 12.5.1.b Interview personnel to verify the inventory is kept current.
Purpose:
Maintaining a current list of all system components will enable an organization to define the scope of its environment and implement PCI DSS requirements accurately and efficiently. Without an inventory, some system components could be overlooked and be inadvertently excluded from the organization’s configuration standards
Good Practice:
If an entity keeps an inventory of all assets, those system components in scope for PCI DSS should be clearly identifiable among the other assets.
Inventories should include containers or images that may be instantiated.
Assigning an owner to the inventory helps to ensure the inventory stays current.
Examples:
Methods to maintain an inventory include as a database, as a series of files, or in an inventorymanagement tool.
Maintaining a current list of all system components will enable an organization to define the scope of its environment and implement PCI DSS requirements accurately and efficiently. Without an inventory, some system components could be overlooked and be inadvertently excluded from the organization’s configuration standards
Good Practice:
If an entity keeps an inventory of all assets, those system components in scope for PCI DSS should be clearly identifiable among the other assets.
Inventories should include containers or images that may be instantiated.
Assigning an owner to the inventory helps to ensure the inventory stays current.
Examples:
Methods to maintain an inventory include as a database, as a series of files, or in an inventorymanagement tool.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.5.1
12.5.1
Определенные Требования к Подходу:
Ведется и поддерживается в актуальном состоянии перечень системных компонентов, подпадающих под действие стандарта PCI DSS, включая описание функций/использования.
Цель Индивидуального подхода:
Все системные компоненты, подпадающие под действие стандарта PCI DSS, идентифицированы и известны.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Ведется и поддерживается в актуальном состоянии перечень системных компонентов, подпадающих под действие стандарта PCI DSS, включая описание функций/использования.
Цель Индивидуального подхода:
Все системные компоненты, подпадающие под действие стандарта PCI DSS, идентифицированы и известны.
Определенные Процедуры Тестирования Подхода:
- 12.5.1.a Изучите перечень, чтобы убедиться, что он включает все компоненты системы, входящие в комплект поставки, и описание функций/использования для каждого из них. 12.5.1.b Опросите персонал, чтобы убедиться, что инвентаризация ведется в актуальном состоянии.
Цель:
Ведение текущего списка всех компонентов системы позволит организации определить область применения своей среды и точно и эффективно выполнять требования PCI DSS. Без инвентаризации некоторые компоненты системы могут быть упущены из виду и непреднамеренно исключены из стандартов конфигурации организации
Надлежащая практика:
Если организация ведет инвентаризацию всех активов, те системные компоненты, которые подпадают под действие стандарта PCI DSS, должны быть четко идентифицированы среди других активов.
Описи должны включать контейнеры или изображения, которые могут быть созданы.
Назначение владельца инвентарю помогает обеспечить актуальность инвентаря.
Примеры:
Методы ведения инвентаризации включают в себя в виде базы данных, в виде серии файлов или в инструменте управления запасами.
Ведение текущего списка всех компонентов системы позволит организации определить область применения своей среды и точно и эффективно выполнять требования PCI DSS. Без инвентаризации некоторые компоненты системы могут быть упущены из виду и непреднамеренно исключены из стандартов конфигурации организации
Надлежащая практика:
Если организация ведет инвентаризацию всех активов, те системные компоненты, которые подпадают под действие стандарта PCI DSS, должны быть четко идентифицированы среди других активов.
Описи должны включать контейнеры или изображения, которые могут быть созданы.
Назначение владельца инвентарю помогает обеспечить актуальность инвентаря.
Примеры:
Методы ведения инвентаризации включают в себя в виде базы данных, в виде серии файлов или в инструменте управления запасами.
ГОСТ Р № 59547-2021 от 01.04.2022 "Защита информации. Мониторинг информационной безопасности. Общие положения":
Р. 6 п. 4 п.п. 1
6.4.1 В рамках мероприятий по мониторингу информационной безопасности должна обеспечиваться возможность представления персоналу оператора информационной (автоматизированной) системы следующих данных о результатах мониторинга информационной безопасности:
- данные о событиях безопасности от различных источников в информационной (автоматизированной) системе;
- результаты корреляции событий безопасности;
- результаты сопоставления событий безопасности с потоками данных об угрозах, содержащих индикаторы компрометации;
- результаты контроля, учета и статистического анализа действий пользователей и администраторов информационной (автоматизированной) системы;
- результаты сопоставления событий безопасности с результатами анализа уязвимостей;
- результаты выявления нарушений безопасности информации в информационной (автоматизированной) системе при осуществлении контроля за событиями безопасности и действиями пользователей;
- результаты выявления (поиска) уязвимостей в информационной (автоматизированной) системе;
- результаты контроля установки обновлений программного обеспечения, включая программное обеспечение средств защиты информации;
- результаты контроля состава технических средств, программного обеспечения и средств защиты информации, применяемых в информационной (автоматизированной) системе (инвентаризация);
- результаты контроля соответствия настроек программного обеспечения и средств защиты информации установленным требованиям безопасности (политикам безопасности);
- результаты контроля потоков информации;
- результаты контроля работоспособности (неотключении) программного обеспечения и средств защиты информации;
- результаты проверки соответствия среды функционирования требованиям, предъявленным в документации на средства защиты информации;
- результаты получения данных о новых угрозах безопасности информации из доступных источников, содержащих сведения об уязвимостях и угрозах безопасности информации.
- данные о событиях безопасности от различных источников в информационной (автоматизированной) системе;
- результаты корреляции событий безопасности;
- результаты сопоставления событий безопасности с потоками данных об угрозах, содержащих индикаторы компрометации;
- результаты контроля, учета и статистического анализа действий пользователей и администраторов информационной (автоматизированной) системы;
- результаты сопоставления событий безопасности с результатами анализа уязвимостей;
- результаты выявления нарушений безопасности информации в информационной (автоматизированной) системе при осуществлении контроля за событиями безопасности и действиями пользователей;
- результаты выявления (поиска) уязвимостей в информационной (автоматизированной) системе;
- результаты контроля установки обновлений программного обеспечения, включая программное обеспечение средств защиты информации;
- результаты контроля состава технических средств, программного обеспечения и средств защиты информации, применяемых в информационной (автоматизированной) системе (инвентаризация);
- результаты контроля соответствия настроек программного обеспечения и средств защиты информации установленным требованиям безопасности (политикам безопасности);
- результаты контроля потоков информации;
- результаты контроля работоспособности (неотключении) программного обеспечения и средств защиты информации;
- результаты проверки соответствия среды функционирования требованиям, предъявленным в документации на средства защиты информации;
- результаты получения данных о новых угрозах безопасности информации из доступных источников, содержащих сведения об уязвимостях и угрозах безопасности информации.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.