Куда я попал?
ГОСТ Р № 57580.4-2022 от 01.02.2023
Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7
ВПУ.13.6
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
ВПУ.13.6 Использование защищенного выделенного (виртуального) канала сетевого взаимодействия при удаленном техническом обслуживании;Обязательно для уровня защиты 1 2 3
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 4 п.п. 15
7.4.15. Передача защищаемых данных по каналам связи, имеющим выход за пределы контролируемой организацией БС РФ зоны, должна осуществляться только при условии обеспечения их защиты от раскрытия и модификации.
NIST Cybersecurity Framework (RU):
PR.MA-1
PR.MA-1: Техническое обслуживание и ремонт организационных активов выполняются и регистрируются своевременно с использованием утвержденных и контролируемых инструментов
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.11.2.4
A.11.2.4 Техническое обслуживание оборудования
Мера обеспечения информационной безопасности: Должно проводиться надлежащее техническое обслуживание оборудования для обеспечения его непрерывной доступности и целостности
Мера обеспечения информационной безопасности: Должно проводиться надлежащее техническое обслуживание оборудования для обеспечения его непрерывной доступности и целостности
A.14.1.2
A.14.1.2 Обеспечение безопасности прикладных сервисов, предоставляемых с использованием сетей общего пользования
Мера обеспечения информационной безопасности: Информация, используемая в прикладных сервисах и передаваемая по сетям общего пользования, должна быть защищена от мошеннической деятельности, оспаривания договоров, а также несанкционированного раскрытия и модификации
Мера обеспечения информационной безопасности: Информация, используемая в прикладных сервисах и передаваемая по сетям общего пользования, должна быть защищена от мошеннической деятельности, оспаривания договоров, а также несанкционированного раскрытия и модификации
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.6.7
А.6.7 Удаленная работа
В случае удаленной работы персонала должны быть реализованы меры безопасности для защиты информации, к которой осуществляется доступ, и той которая обрабатывается или хранится за пределами помещений организации.
В случае удаленной работы персонала должны быть реализованы меры безопасности для защиты информации, к которой осуществляется доступ, и той которая обрабатывается или хранится за пределами помещений организации.
А.7.13
А.7.13 Обслуживание оборудования
В целях обеспечения доступности, целостности и конфиденциальности информации оборудование должно обслуживаться корректным образом.
В целях обеспечения доступности, целостности и конфиденциальности информации оборудование должно обслуживаться корректным образом.
NIST Cybersecurity Framework (EN):
PR.MA-1
PR.MA-1: Maintenance and repair of organizational assets are performed and logged, with approved and controlled tools
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
14.1.2
14.1.2 Обеспечение безопасности прикладных сервисов, предоставляемых с использованием сетей общего пользования
Мера обеспечения ИБ
Информация, используемая в прикладных сервисах и передаваемая по сетям общего пользования, должна быть защищена от мошеннической деятельности, оспаривания договоров, а также несанкционированного раскрытия и модификации.
Руководство по применению
ИБ прикладных сервисов, проходящих через общедоступные сети, следует обеспечивать исходя из следующих соображений:
- a) уровень доверия, который требует каждая сторона в отношении друг друга, например посредством аутентификации;
- b) процессы авторизации, связанные с тем, кто может утверждать содержание, выпускать или подписывать ключевые деловые документы;
- c) обеспечение того, чтобы взаимодействующие стороны были полностью проинформированы о своих правах на предоставление и использование сервиса;
- d) определение и соблюдение требований в отношении конфиденциальности, целостности, подтверждения отправки и получения ключевых документов, а также невозможности отказа от совершенных сделок, например связанных с процессами заключения контрактов и проведения тендеров;
- e) уровень доверия, необходимый для целостности ключевых документов;
- f) требования по защите любой конфиденциальной информации;
- g) конфиденциальность и целостность любых операций с заказом, платежной информации, адреса доставки и подтверждения получения;
- h) степень проверки платежной информации, предоставленной клиентом;
- i) выбор наиболее подходящей формы расчета для защиты от мошенничества;
- j) уровень защиты, необходимый для сохранения конфиденциальности и целостности информации о заказе;
- k) предотвращение потери или дублирования информации об операции;
- l) ответственность за мошеннические операции;
- m) страховые требования.
Многие из вышеперечисленных соображений могут быть выполнены с применением криптографических мер обеспечения ИБ (раздел 10), принимая во внимание требования законодательства (раздел 18, особенно 18.1.5 для законодательства о криптографии).
Механизмы предоставления услуг между участниками должны быть закреплены документально оформленным соглашением, в котором обе стороны соглашаются с условиями предоставления сервисов, включая детали авторизации (перечисление b).
Следует учитывать требования устойчивости к атакам, которые могут включать в себя требования по защите используемых серверов приложений или обеспечению доступности сетевых соединений, необходимых для предоставления сервиса.
Дополнительная информация
Приложения, доступные через сети общего пользования, подвержены целому ряду угроз, таких как мошеннические действия, нарушение условий договора или публичное разглашение информации. Поэтому обязательным здесь является детальная оценка риска и правильный выбор мер обеспечения ИБ. Необходимые меры обеспечения ИБ часто включают в себя криптографические методы для аутентификации и защиты данных при передаче.
Прикладные сервисы могут использовать безопасные методы аутентификации, например использование криптографии с открытым ключом и электронных подписей (раздел 10) для снижения рисков. Кроме того, при необходимости, могут быть задействованы доверенные третьи стороны.
11.2.4
11.2.4 Техническое обслуживание оборудования
Мера обеспечения ИБ
Необходимо проводить надлежащее техническое обслуживание оборудования для обеспечения его непрерывной доступности и целостности.
Руководство по применению
Необходимо рассмотреть следующие рекомендации в отношении обслуживания оборудования:
- a) оборудование следует обслуживать в соответствии с рекомендованной поставщиком периодичностью и спецификациями;
- b) техническое обслуживание и ремонт оборудования должен проводить только авторизованный персонал;
- c) следует хранить записи обо всех предполагаемых или фактических неисправностях и всех видах профилактического обслуживания;
- d) если запланировано техническое обслуживание оборудования, следует принимать соответствующие меры и средства контроля и управления, при этом необходимо учитывать, будет ли техническое обслуживание проводиться персоналом организации или за ее пределами; при необходимости конфиденциальная информация должна быть удалена с оборудования или специалисты по техническому обслуживанию и ремонту должны иметь соответствующий допуск;
- e) должны соблюдаться все требования к техническому обслуживанию, установленные страховыми полисами;
- f) перед возвращением оборудования в эксплуатацию после технического обслуживания необходимо осмотреть его, чтобы убедиться, что оборудование не повреждено и нормально функционирует.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.6.7
А.6.7 Remote working
Security measures shall be implemented when personnel are working remotely to protect information accessed, processed or stored outside the organization’s premises.
Security measures shall be implemented when personnel are working remotely to protect information accessed, processed or stored outside the organization’s premises.
А.7.13
А.7.13 Equipment maintenance
Equipment shall be maintained correctly to ensure availability, integrity and confidentiality of information.
Equipment shall be maintained correctly to ensure availability, integrity and confidentiality of information.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.