Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Guideline for a healthy information system v.2.0 (EN)

Framework

35 STANDARD

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 8":
РОН.5
РОН.5  Обеспечение возможности сопровождения аппаратных, программных, аппаратно-программных средств и (или) систем, реализующих технические меры обеспечения операционной надежности в течение всего срока их использования.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений":
ЖЦ.18
ЖЦ.18 Обеспечение возможности сопровождения технических мер системы защиты информации АС в течение всего срока их использования
3-Н 2-О 1-О
ЖЦ.10
ЖЦ.10 Проведение модернизации АС при изменении требований к составу и содержанию мер системы защиты информации АС (функционально-технические требований к системе защиты информации АС)
3-О 2-О 1-О
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
РЗИ.10
РЗИ.10 Обеспечение возможности сопровождения технических мер защиты информации в течение всего срока их использования
3-Н 2-О 1-О
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 4 п.п. 1
7.4.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры выявления, учета и классификации (отнесение к одному из типов) информационных активов организации БС РФ. Права доступа работников и клиентов организации БС РФ к информационным активам и (или) их типам должны быть учтены и зафиксированы.
Р. 7 п. 3 п.п. 7
7.3.7. В договор (контракт) о разработке АБС или поставке готовых АБС и их компонентов организациям БС РФ должны включаться положения по сопровождению поставляемых изделий на весь срок их службы. В случае невозможности включения в договор (контракт) указанных положений должен быть приобретен полный комплект документации, обеспечивающий возможность сопровождения АБС и их компонентов без участия разработчика. Если оба указанных варианта неприемлемы, например, вследствие высокой стоимости или позиции фирмы-поставщика (разработчика), руководство организации БС РФ должно оценить и зафиксировать допустимость риска нарушения ИБ, возникающего при невозможности сопровождения АБС и их компонентов.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.3.4
12.3.4
Defined Approach Requirements: 
Hardware and software technologies in use are reviewed at least once every 12 months, including at least the following:
  • Analysis that the technologies continue to receive security fixes from vendors promptly. 
  • Analysis that the technologies continue to support (and do not preclude) the entity’s PCI DSS compliance.
  • Documentation of any industry announcements or trends related to a technology, such as when a vendor has announced “end of life” plans for a technology. 
  • Documentation of a plan, approved by senior management, to remediate outdated technologies, including those for which vendors have announced “end of life” plans. 
Customized Approach Objective:
The entity’s hardware and software technologies are up to date and supported by the vendor. Plans to remove or replace all unsupported system components are reviewed periodically. 

Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 

Defined Approach Testing Procedures:
  • 12.3.4 Examine documentation for the review of hardware and software technologies in use and interview personnel to verify that the review is in accordance with all elements specified in this requirement. 
Purpose:
Hardware and software technologies are constantly evolving, and organizations need to be aware of changes to the technologies they use, as well as the evolving threats to those technologies to ensure that they can prepare for, and manage, vulnerabilities in hardware and software that will not be remediated by the vendor or developer. 

Good Practice:
Organizations should review firmware versions to ensure they remain current and supported by the vendors. Organizations also need to be aware of changes made by technology vendors to their products or processes to understand how such changes may impact the organization’s use of the technology. 
Regular reviews of technologies that impact or influence PCI DSS controls can assist with purchasing, usage, and deployment strategies, and ensure controls that rely on those technologies remain effective. These reviews include, but are not limited to, reviewing technologies that are no longer supported by the vendor and/or no longer meet the security needs of the organization. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.3.4
12.3.4
Определенные Требования к Подходу:
Используемые аппаратные и программные технологии пересматриваются не реже одного раза в 12 месяцев, включая, по крайней мере, следующие:
  • Убедитесь, что технологии продолжают оперативно получать исправления безопасности от поставщиков.
  • Анализ того, что технологии продолжают поддерживать (и не препятствуют) соответствие организации стандарту PCI DSS.
  • Документирование любых отраслевых объявлений или тенденций, связанных с технологией, например, когда поставщик объявил о планах “окончания срока службы” технологии.
  • Документация плана, утвержденного высшим руководством, по исправлению устаревших технологий, в том числе тех, для которых поставщики объявили о планах “окончания срока службы”.
Цель Индивидуального подхода:
Аппаратные и программные технологии предприятия обновлены и поддерживаются поставщиком. Планы по удалению или замене всех неподдерживаемых компонентов системы периодически пересматриваются.

Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:
  • 12.3.4 Изучите документацию для проверки используемых аппаратных и программных технологий и опросите персонал, чтобы убедиться, что проверка соответствует всем элементам, указанным в этом требовании.
Цель:
Аппаратные и программные технологии постоянно развиваются, и организации должны быть осведомлены об изменениях в используемых ими технологиях, а также о возникающих угрозах для этих технологий, чтобы гарантировать, что они могут подготовиться к уязвимостям в аппаратном и программном обеспечении и управлять ими, которые не будут устранены поставщиком или разработчиком.

Надлежащая практика:
Организациям следует проверять версии встроенного ПО, чтобы убедиться, что они остаются актуальными и поддерживаются поставщиками. Организациям также необходимо знать об изменениях, вносимых поставщиками технологий в их продукты или процессы, чтобы понять, как такие изменения могут повлиять на использование технологии организацией.
Регулярные обзоры технологий, которые влияют или влияют на средства контроля PCI DSS, могут помочь в разработке стратегий приобретения, использования и развертывания и гарантировать, что средства контроля, основанные на этих технологиях, остаются эффективными. Эти проверки включают, но не ограничиваются ими, анализ технологий, которые больше не поддерживаются поставщиком и/или больше не отвечают потребностям организации в области безопасности.

Связанные защитные меры

Ничего не найдено