Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

ГОСТ Р № 57580.4-2022 от 01.02.2023

Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7

ВПУ.3.3

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

NIST Cybersecurity Framework (RU):

ID.SC-4

ID.SC-4: Производиться контроль поставщиков и партнеров, чтобы подтвердить, что они выполнили свои обязательства в соответствии с требованиями. Проводятся обзоры аудитов, сводки результатов тестов или другие эквивалентные оценки поставщиков

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":

Requirement 11.4.6

11.4.6
Defined Approach Requirements:
Additional requirement for service providers only: If segmentation is used to isolate the CDE from other networks, penetration tests are performed on segmentation controls as follows:

At least once every six months and after any changes to segmentation controls/methods.
Covering all segmentation controls/methods in use.
According to the entity’s defined penetration testing methodology.
Confirming that the segmentation controls/methods are operational and effective, and isolate the CDE from all out-of-scope systems.
Confirming effectiveness of any use of isolation to separate systems with differing security levels (see Requirement 2.2.3).
Performed by a qualified internal resource or qualified external third party.
Organizational independence of the tester exists (not required to be a QSA or ASV).

Customized Approach Objective:
If segmentation is used, it is verified by technical testing to be continually effective, including after any changes, in isolating the CDE from out-of-scope systems.

Applicability Notes:
This requirement applies only when the entity being assessed is a service provider.

Defined Approach Testing Procedures:

11.4.6.a Additional testing procedure for service provider assessments only: Examine the results from the most recent penetration test to verify that the penetration covers and addressed all elements specified in this requirement.
11.4.6.b Additional testing procedure for service provider assessments only: Interview personnel to verify that the test was performed by a qualified internal resource or qualified external third party and that organizational independence of the tester exists (not required to be a QSA or ASV).

Purpose:
Service providers typically have access to greater volumes of cardholder data or can provide an entry point that can be exploited to then compromise multiple other entities. Service providers also typically have larger and more complex networks that are subject to more frequent change. The probability of segmentation controls failing in complex and dynamic networks is greater in service provider environments.
Validating segmentation controls more frequently is likely to discover such failings before they can be exploited by an attacker attempting to pivot laterally from an out-of-scope untrusted network to the CDE.

Good Practice:
Although the requirement specifies that this scope validation is carried out at least once every six months and after significant change, this exercise should be performed as frequently as possible to ensure it remains effective at isolating the CDE from other networks.

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":

Requirement 11.4.6

11.4.6
Определенные Требования к Подходу:
Дополнительное требование только для поставщиков услуг: Если сегментация используется для изоляции CDE от других сетей, тесты на проникновение выполняются для элементов управления сегментацией следующим образом:

Не реже одного раза в шесть месяцев и после любых изменений в элементах управления/методах сегментации.
Охватывающий все используемые элементы управления/методы сегментации.
В соответствии с определенной организацией методологией тестирования на проникновение.
Подтверждение того, что средства управления/методы сегментации являются работоспособными и эффективными, и изолируют CDE от всех систем, не входящих в сферу применения.
Подтверждение эффективности любого использования изоляции для разделения систем с различными уровнями безопасности (см. Требование 2.2.3).
Выполняется квалифицированным внутренним ресурсом или квалифицированной внешней третьей стороной.
Существует организационная независимость тестировщика (не обязательно быть QSA или ASV).

Цель Индивидуального подхода:
Если используется сегментация, она проверяется техническим тестированием на постоянную эффективность, в том числе после любых изменений, в изоляции CDE от систем, выходящих за рамки области применения.

Примечания по применению:
Это требование применяется только в том случае, если оцениваемый субъект является поставщиком услуг.

Определенные Процедуры Тестирования Подхода:

11.4.6.дополнительная процедура тестирования только для оценки поставщика услуг: Изучите результаты последнего теста на проникновение, чтобы убедиться, что проникновение охватывает и затрагивает все элементы, указанные в этом требовании.
11.4.6.b Дополнительная процедура тестирования только для оценки поставщика услуг: Опрос персонала, чтобы убедиться, что тест был проведен квалифицированным внутренним ресурсом или квалифицированной внешней третьей стороной и что существует организационная независимость тестировщика (не обязательно быть QSA или ASV).

Цель:
Поставщики услуг обычно имеют доступ к большим объемам данных о держателях карт или могут предоставить точку входа, которую можно использовать для последующего компрометации множества других организаций. Поставщики услуг также, как правило, имеют более крупные и сложные сети, которые подвержены более частым изменениям. Вероятность сбоя элементов управления сегментацией в сложных и динамичных сетях выше в средах поставщиков услуг.
Более частое использование средств контроля сегментации, скорее всего, позволит обнаружить такие сбои до того, как они смогут быть использованы злоумышленником, пытающимся выполнить боковой поворот из недоверенной сети, находящейся вне зоны действия, в CDE.

Надлежащая практика:
Хотя в требовании указано, что проверка этой области проводится по крайней мере раз в шесть месяцев и после внесения существенных изменений, это упражнение следует выполнять как можно чаще, чтобы гарантировать, что оно остается эффективным при изоляции CDE от других сетей.

Стандарт Банка России № СТО БР ИББС-1.4-2018 от 01.07.2018 "Управление риском нарушения информационной безопасности при аутсорсинге":

Р. 9 п. 3

9.3. При оценке ресурсов, потенциала и возможностей поставщика услуг организации БС РФ необходимо учитывать следующие показатели:

финансовое состояние поставщика услуг, наличие финансовых ресурсов, необходимых и достаточных для обеспечения ИБ при предоставлении организации БС РФ услуг аутсорсинга на протяжении всего срока действия соглашения. Для оценки финансового состояния поставщика услуг организацией БС РФ могут использоваться методы, аналогичные применяемым при оценке финансового состояния и потенциала кредиторов и иных контрагентов в организации БС РФ, результаты анализа или аудита финансового состояния (отчетности);
наличие в штате поставщика услуг персонала в необходимом количестве и с достаточной квалификацией, реализация поставщиком услуг программ повышения квалификации персонала и реализации проведения аттестации персонала в соответствии с применимыми отечественными и международными системами аттестации (см. Приложение 1);
наличие у поставщика услуг системы обеспечения ИБ;
реализация политики обеспечения доверия к персоналу, которая должна соответствовать политике обеспечения доверия к персоналу, применяемой в организации БС РФ. В составе реализации такой политики необходимо рассматривать:
- определение, выполнение и регистрацию процедуры контроля деятельности работников, обладающих совокупностью полномочий, определяемых их ролями, позволяющими получить доступ к защищаемой информации организации БС РФ;
- определение, выполнение и регистрацию процедуры приема на работу, реализующие принцип “знать своего работника”, включающие проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов, а также проверку в части профессиональных навыков и оценку профессиональной пригодности;
- получение письменного обязательства работников поставщика услуг о соблюдении конфиденциальности, приверженности правилам корпоративной этики, включая требования по недопущению конфликта интересов;
- включение обязанности персонала поставщика услуг по выполнению требований к обеспечению ИБ, обработке ПДн, обеспечению сохранности защищаемой информации в трудовые контракты (соглашения, договоры) и (или) должностные инструкции;
наличие у поставщика услуг необходимых лицензий, предусмотренных законодательством о лицензировании отдельных видов деятельности;
показатели, характеризующие политику аутсорсинга поставщика услуг в части обеспечения ИБ.

Для оценки политики поставщика услуг может быть рекомендован перечень вопросов, представленный в Приложении 2.

NIST Cybersecurity Framework (EN):

ID.SC-4 ID.SC-4: Suppliers and third-party partners are routinely assessed using audits, test results, or other forms of evaluations to confirm they are meeting their contractual obligations.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.