Куда я попал?
Guideline for a healthy information system v.2.0 (EN)
Framework
31 STANDARD
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
CIS Critical Security Controls v8 (The 18 CIS CSC):
3.9
3.9 Encrypt Data on Removable Media
Encrypt data on removable media.
Encrypt data on removable media.
3.6
3.6 Encrypt Data on End-User Devices
Encrypt data on end-user devices containing sensitive data. Example implementations can include: Windows BitLocker®, Apple FileVault®, Linux® dm-crypt.
Encrypt data on end-user devices containing sensitive data. Example implementations can include: Windows BitLocker®, Apple FileVault®, Linux® dm-crypt.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ПУИ.27
ПУИ.27 Шифрование информации конфиденциального характера при ее хранении на МНИ, выносимых за пределы финансовой организации
3-Н 2-Н 1-Т
3-Н 2-Н 1-Т
ЗУД.3
ЗУД.3 Предоставление удаленного доступа только с использованием мобильных (переносных) устройств доступа, находящихся под контролем системы централизованного управления и мониторинга (системы Mobile Device Management, MDM)
3-Н 2-Т 1-Т
3-Н 2-Т 1-Т
ЗУД.10
ЗУД.10 Применение системы централизованного управления и мониторинга (MDM-системы), реализующей:
- шифрование и возможность удаленного удаления информации, полученной в результате взаимодействия с информационными ресурсами финансовой организации;
- аутентификацию пользователей на устройстве доступа;
- блокировку устройства по истечении определенного промежутка времени неактивности пользователя, требующую выполнения повторной аутентификации пользователя на устройстве доступа;
- управление обновлениями системного ПО устройств доступа;
- управление параметрами настроек безопасности системного ПО устройств доступа;
- управление составом и обновлениями прикладного ПО;
- невозможность использования мобильного (переносного) устройства в режиме USB-накопителя, а также в режиме отладки;
- управление ключевой информацией, используемой для организации защищенного сетевого взаимодействия;
- возможность определения местонахождения устройства доступа;
- регистрацию смены SIM-карты;
- запрет переноса информации в облачные хранилища данных, расположенные в общедоступных сетях (например, iCIoud);
- обеспечение возможности централизованного управления и мониторинга при смене SIM-карты
3-Н 2-Т 1-Т
NIST Cybersecurity Framework (RU):
PR.DS-1
PR.DS-1: Защищены данные находящиеся в состоянии покоя
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
3.6
3.6 Реализовано шифрование данных на устройствах конечных пользователей
Примеры решений: Windows BitLocker, Apple FileVault, Linux dm-crypt.
Примеры решений: Windows BitLocker, Apple FileVault, Linux dm-crypt.
3.9
3.9 Реализовано шифрование данных на съемных носителях
Шифровать данные на съемных носителях
Шифровать данные на съемных носителях
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 3.5.1.2
3.5.1.2
Defined Approach Requirements:
If disk-level or partition-level encryption (rather than file-, column-, or field-level database encryption) is used to render PAN unreadable, it is implemented only as follows:
Defined Approach Requirements:
If disk-level or partition-level encryption (rather than file-, column-, or field-level database encryption) is used to render PAN unreadable, it is implemented only as follows:
- On removable electronic media
OR
- If used for non-removable electronic media, PAN is also rendered unreadable via another mechanism that meets Requirement 3.5.1.
Customized Approach Objective:
This requirement is not eligible for the customized approach.
Applicability Notes:
While disk encryption may still be present on these types of devices, it cannot be the only mechanism used to protect PAN stored on those systems. Any stored PAN must also be rendered unreadable per Requirement 3.5.1—for example, through truncation or a data-level encryption mechanism. Full disk encryption helps to protect data in the event of physical loss of a disk and therefore its use is appropriate only for removable electronic media storage devices.
Media that is part of a data center architecture (for example, hot-swappable drives, bulk tape-backups) is considered non-removable electronic media to which Requirement 3.5.1 applies
Disk or partition encryption implementations must also meet all other PCI DSS encryption and keymanagement requirements
Defined Approach Testing Procedures:
This requirement is not eligible for the customized approach.
Applicability Notes:
While disk encryption may still be present on these types of devices, it cannot be the only mechanism used to protect PAN stored on those systems. Any stored PAN must also be rendered unreadable per Requirement 3.5.1—for example, through truncation or a data-level encryption mechanism. Full disk encryption helps to protect data in the event of physical loss of a disk and therefore its use is appropriate only for removable electronic media storage devices.
Media that is part of a data center architecture (for example, hot-swappable drives, bulk tape-backups) is considered non-removable electronic media to which Requirement 3.5.1 applies
Disk or partition encryption implementations must also meet all other PCI DSS encryption and keymanagement requirements
Defined Approach Testing Procedures:
- 3.5.1.2.a Examine encryption processes to verify that, if disk-level or partition-level encryption is used to render PAN unreadable, it is implemented only as follows:
- On removable electronic media, OR
- If used for non-removable electronic media, examine encryption processes used to verify that PAN is also rendered unreadable via another method that meets Requirement 3.5.1.
- 3.5.1.2.b Examine configurations and/or vendor documentation and observe encryption processes to verify the system is configured according to vendor documentation the result is that the disk or the partition is rendered unreadable.
Purpose:
Disk-level and partition-level encryption typically encrypts the entire disk or partition using the same key, with all data automatically decrypted when the system runs or when an authorized user requests it. For this reason, disk-level encryption is not appropriate to protect stored PAN on computers, laptops, servers, storage arrays, or any other system that provides transparent decryption upon user authentication.
Further Information:
Where available, following vendors’ hardening and industry best practice guidelines can assist in securing PAN on these devices.
Disk-level and partition-level encryption typically encrypts the entire disk or partition using the same key, with all data automatically decrypted when the system runs or when an authorized user requests it. For this reason, disk-level encryption is not appropriate to protect stored PAN on computers, laptops, servers, storage arrays, or any other system that provides transparent decryption upon user authentication.
Further Information:
Where available, following vendors’ hardening and industry best practice guidelines can assist in securing PAN on these devices.
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 13.6
CSC 13.6 Encrypt Mobile Device Data
Utilize approved cryptographic mechanisms to protect enterprise data stored on all mobile devices.
Utilize approved cryptographic mechanisms to protect enterprise data stored on all mobile devices.
CSC 14.8
CSC 14.8 Encrypt Sensitive Information at Rest
Encrypt all sensitive information at rest using a tool that requires a secondary authentication mechanism not integrated into the operating system, in order to access the information.
Encrypt all sensitive information at rest using a tool that requires a secondary authentication mechanism not integrated into the operating system, in order to access the information.
CSC 13.9
CSC 13.9 Encrypt Data on USB Storage Devices
If USB storage devices are required, all data stored on such devices must be encrypted while at rest.
If USB storage devices are required, all data stored on such devices must be encrypted while at rest.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 3.5.1.2
3.5.1.2
Определенные Требования к Подходу:
Если шифрование на уровне диска или раздела (а не шифрование базы данных на уровне файлов, столбцов или полей) используется для того, чтобы сделать PAN нечитаемым, оно реализуется только следующим образом:
Определенные Требования к Подходу:
Если шифрование на уровне диска или раздела (а не шифрование базы данных на уровне файлов, столбцов или полей) используется для того, чтобы сделать PAN нечитаемым, оно реализуется только следующим образом:
- На съемных электронных носителях
ИЛИ
- При использовании для несъемных электронных носителей PAN также становится нечитаемым с помощью другого механизма, который соответствует требованию 3.5.1.
Цель Индивидуального подхода:
Это требование не подходит для индивидуального подхода.
Примечания по применению:
Хотя шифрование диска все еще может присутствовать на устройствах такого типа, оно не может быть единственным механизмом, используемым для защиты данных, хранящихся в этих системах. Любой сохраненный PAN также должен быть сделан нечитаемым в соответствии с требованием 3.5.1 — например, с помощью усечения или механизма шифрования на уровне данных. Полное шифрование диска помогает защитить данные в случае физической потери диска, и поэтому его использование подходит только для съемных устройств хранения электронных носителей.
Носители, являющиеся частью архитектуры центра обработки данных (например, диски с возможностью горячей замены, массовые резервные копии на магнитной ленте), считаются несъемными электронными носителями, к которым применяется требование 3.5.1
Реализации шифрования диска или раздела также должны соответствовать всем другим требованиям к шифрованию PCI DSS и управлению ключами
Определенные Процедуры Тестирования Подхода:
Это требование не подходит для индивидуального подхода.
Примечания по применению:
Хотя шифрование диска все еще может присутствовать на устройствах такого типа, оно не может быть единственным механизмом, используемым для защиты данных, хранящихся в этих системах. Любой сохраненный PAN также должен быть сделан нечитаемым в соответствии с требованием 3.5.1 — например, с помощью усечения или механизма шифрования на уровне данных. Полное шифрование диска помогает защитить данные в случае физической потери диска, и поэтому его использование подходит только для съемных устройств хранения электронных носителей.
Носители, являющиеся частью архитектуры центра обработки данных (например, диски с возможностью горячей замены, массовые резервные копии на магнитной ленте), считаются несъемными электронными носителями, к которым применяется требование 3.5.1
Реализации шифрования диска или раздела также должны соответствовать всем другим требованиям к шифрованию PCI DSS и управлению ключами
Определенные Процедуры Тестирования Подхода:
- 3.5.1.2.a Изучите процессы шифрования, чтобы убедиться, что, если шифрование на уровне диска или раздела используется для того, чтобы сделать PAN нечитаемым, оно реализуется только следующим образом:
- На съемных электронных носителях ИЛИ
- Если используется для несъемных электронных носителей, изучите процессы шифрования, используемые для проверки того, что PAN также становится нечитаемым с помощью другого метода, который соответствует требованию 3.5.1.
- 3.5.1.2.b Изучите конфигурации и/или документацию поставщика и соблюдайте процессы шифрования, чтобы убедиться, что система настроена в соответствии с документацией поставщика. Результатом является то, что диск или раздел становятся нечитаемыми.
Цель:
Шифрование на уровне диска и раздела обычно шифрует весь диск или раздел с использованием одного и того же ключа, при этом все данные автоматически расшифровываются при запуске системы или по запросу авторизованного пользователя. По этой причине шифрование на уровне диска не подходит для защиты сохраненных данных на компьютерах, ноутбуках, серверах, массивах хранения или в любой другой системе, которая обеспечивает прозрачное дешифрование при аутентификации пользователя.
Дополнительная информация:
Там, где это возможно, соблюдение рекомендаций поставщиков по усилению и наилучшей отраслевой практике может помочь в обеспечении безопасности PAN на этих устройствах.
Шифрование на уровне диска и раздела обычно шифрует весь диск или раздел с использованием одного и того же ключа, при этом все данные автоматически расшифровываются при запуске системы или по запросу авторизованного пользователя. По этой причине шифрование на уровне диска не подходит для защиты сохраненных данных на компьютерах, ноутбуках, серверах, массивах хранения или в любой другой системе, которая обеспечивает прозрачное дешифрование при аутентификации пользователя.
Дополнительная информация:
Там, где это возможно, соблюдение рекомендаций поставщиков по усилению и наилучшей отраслевой практике может помочь в обеспечении безопасности PAN на этих устройствах.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.7.9
А.7.9 Безопасность активов за пределами организации
Должны защищаться активы за пределами защищаемого периметра организации.
Должны защищаться активы за пределами защищаемого периметра организации.
NIST Cybersecurity Framework (EN):
PR.DS-1
PR.DS-1: Data-at-rest is protected
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.7.9
А.7.9 Security of assets off-premises
Off-site assets shall be protected.
Off-site assets shall be protected.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.