Куда я попал?
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022
Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A
А.5.33
Для проведения оценки соответствия по документу войдите в систему.
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 10 п.п. 11
7.10.11. Поручение обработки ПДн третьему лицу (далее — обработчик) должно осуществляться на основании договора. В указанном договоре должны быть определены перечень действий (операций) с ПДн, которые будут совершаться обработчиком, и цели обработки, должна быть установлена обязанность обработчика обеспечивать безопасность ПДн (в том числе соблюдать конфиденциальность ПДн) при их обработке, не раскрывать и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом, а также должны быть указаны требования по обеспечению безопасности ПДн. При поручении обработки персональных данных обработчику организация БС РФ должна получить согласие субъекта ПДн, если иное не предусмотрено законодательством РФ.
CIS Critical Security Controls v8 (The 18 CIS CSC):
3.11
3.11 Encrypt Sensitive Data at Rest
Encrypt sensitive data at rest on servers, applications, and databases containing sensitive data. Storage-layer encryption, also known as server-side encryption, meets the minimum requirement of this Safeguard. Additional encryption methods may include application-layer encryption, also known as client-side encryption, where access to the data storage device(s) does not permit access to the plain-text data.
Encrypt sensitive data at rest on servers, applications, and databases containing sensitive data. Storage-layer encryption, also known as server-side encryption, meets the minimum requirement of this Safeguard. Additional encryption methods may include application-layer encryption, also known as client-side encryption, where access to the data storage device(s) does not permit access to the plain-text data.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ПУИ.4
ПУИ.4 Блокирование неразрешенного и контроль (анализ) разрешенного копирования информации конфиденциального характера на переносные (отчуждаемые) носители информации
3-Н 2-Т 1-Т
3-Н 2-Т 1-Т
ПУИ.3
ПУИ.3 Блокирование неразрешенной и контроль (анализ) разрешенной печати информации конфиденциального характера
3-Н 2-Т 1-Т
3-Н 2-Т 1-Т
ПУИ.2
ПУИ.2 Блокирование неразрешенной и контроль (анализ) разрешенной передачи информации конфиденциального характера в сеть Интернет с использованием информационной инфраструктуры финансовой организации
3-Н 2-Т 1-Т
3-Н 2-Т 1-Т
ПУИ.21
ПУИ.21 Документарное определение порядка использования и доступа к МНИ, предназначенным для хранения информации конфиденциального характера
3-О 2-О 1-О
3-О 2-О 1-О
ПУИ.27
ПУИ.27 Шифрование информации конфиденциального характера при ее хранении на МНИ, выносимых за пределы финансовой организации
3-Н 2-Н 1-Т
3-Н 2-Н 1-Т
ПУИ.1
ПУИ.1 Блокирование неразрешенной и контроль (анализ) разрешенной передачи информации конфиденциального характера на внешние адреса электронной почты
3-Н 2-Т 1-Т
3-Н 2-Т 1-Т
FDA 21 CFR part 11 (EN):
Sec. 11.30 p. 1
Persons who use open systems to create, modify, maintain, or transmit electronic records shall employ procedures and controls designed to ensure the authenticity, integrity, and, as appropriate, the confidentiality of electronic records from the point of their creation to the point of their receipt. Such procedures and controls shall include those identified in § 11.10, as appropriate, and additional measures such as document encryption and use of appropriate digital signature standards to ensure, as necessary under the circumstances, record authenticity, integrity, and confidentiality.
NIST Cybersecurity Framework (RU):
PR.DS-1
PR.DS-1: Защищены данные находящиеся в состоянии покоя
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
3.11
3.11 Реализовано шифрование чувствительных данных при хранении
Шифрование используется на серверах, в прикладном ПО и базах данных с конфиденциальными данными.
Как минимум, используется шифрование на стороне сервера (SSE).
Дополнительно может использоваться шифрование на стороне клиента.
Шифрование используется на серверах, в прикладном ПО и базах данных с конфиденциальными данными.
Как минимум, используется шифрование на стороне сервера (SSE).
Дополнительно может использоваться шифрование на стороне клиента.
Стандарт Банка России № РС БР ИББС-2.9-2016 от 01.05.2016 "Предотвращение утечек информации":
Р. 10 п. 2
10.2. В части обеспечения необходимой и достаточной области действия процессов мониторинга и контроля потенциальных каналов утечки информации организации БС РФ рекомендуется:
– обеспечить мониторинг и контроль использования сервисов электронной почты (в том числе с использованием web-интерфейса) при передаче информации на внешние адреса электронной почты для всего трафика электронной почты и для всех учетных записей сервисов электронной почты;
– обеспечить мониторинг и контроль использования сети Интернет для всех средств вычислительной техники, расположенных в группах сегментов вычислительной сети организации БС РФ, предназначенных для обработки и (или) хранения информации конфиденциального характера, и для всех учетных записей, используемых для осуществления доступа к сети Интернет;
– определить перечень ресурсов сети Интернет, на которых высока вероятность публикации информации конфиденциального характера:
– обеспечить мониторинг и контроль использования сервисов электронной почты (в том числе с использованием web-интерфейса) при передаче информации на внешние адреса электронной почты для всего трафика электронной почты и для всех учетных записей сервисов электронной почты;
– обеспечить мониторинг и контроль использования сети Интернет для всех средств вычислительной техники, расположенных в группах сегментов вычислительной сети организации БС РФ, предназначенных для обработки и (или) хранения информации конфиденциального характера, и для всех учетных записей, используемых для осуществления доступа к сети Интернет;
– определить перечень ресурсов сети Интернет, на которых высока вероятность публикации информации конфиденциального характера:
- ресурсы “блогосферы”;
- “банковские” сайты: официальные сайты кредитных организаций, сайты, на которых реализована возможность ведения дискуссий (форумов);
- социальные сети;
- ресурсы для хранения файлов данных;
– обеспечить мониторинг содержания указанных выше ресурсов сети Интернет с целью возможной публикации информации конфиденциального характера;
– обеспечить мониторинг, контроль, блокирование копирования информации на переносные носители информации для всех средств вычислительной техники, мобильных устройств независимо от следующих факторов:
– обеспечить мониторинг, контроль, блокирование копирования информации на переносные носители информации для всех средств вычислительной техники, мобильных устройств независимо от следующих факторов:
- типа и наличия подключения средства вычислительной техники, мобильного устройства к вычислительной сети организации БС РФ;
- осуществления обработки информации конфиденциального характера на средстве вычислительной техники, мобильных устройствах;
– обеспечить мониторинг и контроль печати и (или) копирования информации на бумажных носителях для сегментов вычислительной сети организации БС РФ, предназначенных для обработки и (или) хранения информации конфиденциального характера, и для всех учетных записей, используемых для осуществления печати информации;
– обеспечить контроль (блокирование) возможности использования и (или) доступа к информации конфиденциального характера на переносных носителях информации за пределами информационной инфраструктуры организации БС РФ для всех переносных носителей информации вне зависимости от их использования для обработки и (или) хранения информации конфиденциального характера;
– обеспечить блокирование возможности доступа к информации конфиденциального характера для всех средств вычислительной техники, используемых за пределами информационной инфраструктуры организации БС РФ, вне зависимости от их использования для обработки и (или) хранения информации конфиденциального характера и всех информационных активов организации БС РФ, к которым осуществляется удаленный доступ;
– определить перечень действий возможных внутренних нарушителей, связанных с доступом к информационным активам конфиденциальной информации, подвергаемых мониторингу и анализу для цели выявления потенциальных утечек информации. При этом рекомендуется подвергать мониторингу и анализу следующие действия:
– обеспечить контроль (блокирование) возможности использования и (или) доступа к информации конфиденциального характера на переносных носителях информации за пределами информационной инфраструктуры организации БС РФ для всех переносных носителей информации вне зависимости от их использования для обработки и (или) хранения информации конфиденциального характера;
– обеспечить блокирование возможности доступа к информации конфиденциального характера для всех средств вычислительной техники, используемых за пределами информационной инфраструктуры организации БС РФ, вне зависимости от их использования для обработки и (или) хранения информации конфиденциального характера и всех информационных активов организации БС РФ, к которым осуществляется удаленный доступ;
– определить перечень действий возможных внутренних нарушителей, связанных с доступом к информационным активам конфиденциальной информации, подвергаемых мониторингу и анализу для цели выявления потенциальных утечек информации. При этом рекомендуется подвергать мониторингу и анализу следующие действия:
- идентификация, аутентификация и авторизация возможных внутренних нарушителей;
- действия с информацией конфиденциального характера, в том числе чтение, изменение, копирование, удаление информации конфиденциального характера;
- печать информации конфиденциального характера;
– обеспечить мониторинг и анализ всех действий возможных внутренних нарушителей, связанных с доступом к информационным активам конфиденциальной информации, согласно определенному перечню для всех учтенных информационных активов;
– обеспечить контроль передачи (выноса) всех средств вычислительной техники независимо от осуществления обработки и (или) хранения информации конфиденциального характера;
– обеспечить контроль физического доступа с целью предотвращения визуального и слухового ознакомления с информацией во все помещения, в которых осуществляется обработка и (или) хранение информации конфиденциального характера.
Режим блокирования возможности использования потенциальных каналов утечки информации или режим их непрерывного мониторинга и контроля рекомендуется определять в зависимости от правил доступа для различных категорий потенциальных внутренних нарушителей, рекомендации к содержанию которых установлены в приложении В к настоящему документу.
Применение режима блокирования возможности использования потенциальных каналов утечки информации не отменяет целесообразность выполнения регулярного контроля со стороны службы информационной безопасности организации БС РФ, направленного на корректность реализации процессов мониторинга, и контроля потенциальных каналов утечки информации.
– обеспечить контроль передачи (выноса) всех средств вычислительной техники независимо от осуществления обработки и (или) хранения информации конфиденциального характера;
– обеспечить контроль физического доступа с целью предотвращения визуального и слухового ознакомления с информацией во все помещения, в которых осуществляется обработка и (или) хранение информации конфиденциального характера.
Режим блокирования возможности использования потенциальных каналов утечки информации или режим их непрерывного мониторинга и контроля рекомендуется определять в зависимости от правил доступа для различных категорий потенциальных внутренних нарушителей, рекомендации к содержанию которых установлены в приложении В к настоящему документу.
Применение режима блокирования возможности использования потенциальных каналов утечки информации не отменяет целесообразность выполнения регулярного контроля со стороны службы информационной безопасности организации БС РФ, направленного на корректность реализации процессов мониторинга, и контроля потенциальных каналов утечки информации.
Р. 8 п. 2
8.2. Организации БС РФ рекомендуется рассматривать следующие потенциальные каналы утечки информации:
– передача информации за пределы контролируемой информационной инфраструктуры организации БС РФ с применением электронной почты;
– передача информации за пределы контролируемой информационной инфраструктуры организации БС РФ с применением сервисов сети Интернет и беспроводных сетей, в том числе социальных сетей и форумов;
– размещение информации конфиденциального характера на объекте информационной инфраструктуры организации БС РФ, не предназначенном для ее хранения;
– удаленный доступ к информационной инфраструктуре организации БС РФ с использованием сети Интернет; – копирование информации на переносные носители информации;
– передача информации за пределы объектов организации БС РФ с использованием факсимильной, телефонной и (или) телетайпной связи;
– печать и (или) копирование информации на бумажные носители, в том числе с последующим их выносом за пределы организации БС РФ и (или) передачей информации за пределы объектов организации БС РФ с использованием факсимильной связи;
– использование и (или) утеря переносных носителей информации за пределами информационной инфраструктуры организации БС РФ;
– использование и (или) утеря переносных (портативных) средств вычислительной техники за пределами информационной инфраструктуры организации БС РФ;
– передача (вынос) средств вычислительной техники за пределы организации БС РФ, в том числе для технического обслуживания, ремонта и (или) утилизации;
– визуальное (включая фотографирование и видеосъемку) и слуховое (без использования специализированных технических средств) ознакомление с информацией.
– передача информации за пределы контролируемой информационной инфраструктуры организации БС РФ с применением электронной почты;
– передача информации за пределы контролируемой информационной инфраструктуры организации БС РФ с применением сервисов сети Интернет и беспроводных сетей, в том числе социальных сетей и форумов;
– размещение информации конфиденциального характера на объекте информационной инфраструктуры организации БС РФ, не предназначенном для ее хранения;
– удаленный доступ к информационной инфраструктуре организации БС РФ с использованием сети Интернет; – копирование информации на переносные носители информации;
– передача информации за пределы объектов организации БС РФ с использованием факсимильной, телефонной и (или) телетайпной связи;
– печать и (или) копирование информации на бумажные носители, в том числе с последующим их выносом за пределы организации БС РФ и (или) передачей информации за пределы объектов организации БС РФ с использованием факсимильной связи;
– использование и (или) утеря переносных носителей информации за пределами информационной инфраструктуры организации БС РФ;
– использование и (или) утеря переносных (портативных) средств вычислительной техники за пределами информационной инфраструктуры организации БС РФ;
– передача (вынос) средств вычислительной техники за пределы организации БС РФ, в том числе для технического обслуживания, ремонта и (или) утилизации;
– визуальное (включая фотографирование и видеосъемку) и слуховое (без использования специализированных технических средств) ознакомление с информацией.
Р. 8 п. 4
8.4. Организации БС РФ рекомендуется определить перечень угроз утечки информации конфиденциального характера, в которой необходимо установить потенциальные каналы утечки информации для каждого типа средств вычислительной техники – объекта среды информационных активов, в том числе из числа указанных в пункте 7.3 настоящих рекомендаций, и каждой категории возможных внутренних нарушителей. В качестве перечня угроз утечки информации конфиденциального характера рекомендуется использовать следующий:
- Серверное оборудование и рабочие станции эксплуатационного персонала
- Рабочие станции пользователей
- Переносные носители информации
- Переносные (портативные) средства вычислительной техники
- Бумажные носители информации
См. документ.
Р. 9 п. 4
9.4. Организации БС РФ с учетом результатов оценки рисков рекомендуется обеспечить реализацию:
– контроля и (или) запрета размещения на средствах вычислительной техники, используемых для обработки информации конфиденциального характера, и блокирования возможности использования программного обеспечения сервисов мгновенных сообщений (например: ICQ, WhatsUp, Viber, Skype);
– контроля и (или) запрета обработки личной информации с использованием информационной инфраструктуры и средств связи организации БС РФ;
– контроля и (или) запрета самостоятельного использования работниками публичных облачных технологий хранения и обработки информации конфиденциального характера.
– контроля и (или) запрета размещения на средствах вычислительной техники, используемых для обработки информации конфиденциального характера, и блокирования возможности использования программного обеспечения сервисов мгновенных сообщений (например: ICQ, WhatsUp, Viber, Skype);
– контроля и (или) запрета обработки личной информации с использованием информационной инфраструктуры и средств связи организации БС РФ;
– контроля и (или) запрета самостоятельного использования работниками публичных облачных технологий хранения и обработки информации конфиденциального характера.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.18.1.3
A.18.1.3 Защита записей
Мера обеспечения информационной безопасности: Записи должны быть защищены от потери, уничтожения, фальсификации, несанкционированного доступа и разглашения, в соответствии с правовыми, регулятивными, договорными и бизнес-требованиями
Мера обеспечения информационной безопасности: Записи должны быть защищены от потери, уничтожения, фальсификации, несанкционированного доступа и разглашения, в соответствии с правовыми, регулятивными, договорными и бизнес-требованиями
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 14.8
CSC 14.8 Encrypt Sensitive Information at Rest
Encrypt all sensitive information at rest using a tool that requires a secondary authentication mechanism not integrated into the operating system, in order to access the information.
Encrypt all sensitive information at rest using a tool that requires a secondary authentication mechanism not integrated into the operating system, in order to access the information.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.33
А.5.33 Защита записей
Записи должны быть защищены от потери, уничтожения, подделки, несанкционированных доступа и опубликования.
Записи должны быть защищены от потери, уничтожения, подделки, несанкционированных доступа и опубликования.
FDA 21 CFR part 11 (RU):
Sec. 11.30 p. 1
Лица, использующие открытые системы для создания, изменения, ведения или передачи электронных документов, должны применять процедуры и средства контроля, предназначенные для обеспечения аутентичности, целостности и, при необходимости, конфиденциальности электронных документов с момента их создания до момента их передачи. квитанция. Такие процедуры и средства контроля должны включать те, которые указаны в § 11.10, в зависимости от обстоятельств, и дополнительные меры, такие как шифрование документов и использование соответствующих стандартов цифровой подписи, чтобы обеспечить, если это необходимо в данных обстоятельствах, подлинность, целостность и конфиденциальность записи.
NIST Cybersecurity Framework (EN):
PR.DS-1
PR.DS-1: Data-at-rest is protected
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
18.1.3
18.1.3 Защита записей
Мера обеспечения ИБ
Записи должны быть защищены от потери, уничтожения, фальсификации, несанкционированного доступа и разглашения в соответствии с правовыми, регулятивными, договорными и бизнес-требованиями.
Руководство по применению
При принятии решения о защите определенных документов организации следует учитывать то, как они классифицированы по схеме организации. Записи должны быть разделены на типы, например бухгалтерские счета, записи баз данных, журналы транзакций, журналы событий и эксплуатационные процедуры. Для каждого из типов должен быть определен период хранения и допустимый носитель, например бумага, микрофиша, магнитная лента, оптические диски. Все криптографические ключи и программы, имеющие отношение к зашифрованным архивам или цифровым подписям (раздел 10), также должны сохраняться, чтобы обеспечить возможность расшифровывания записей во время их хранения.
Следует учитывать возможность порчи носителей, используемых для хранения записей. Процедуры их хранения и обработки должны осуществляться в соответствии с рекомендациями производителя.
Там, где выбираются электронные носители данных, должны быть установлены процедуры, обеспечивающие возможность доступа к данным (читаемость носителей и формата данных) в течение срока их хранения с целью защиты от потери в результате будущих изменений технологии.
Системы хранения данных следует выбирать таким образом, чтобы требуемые данные могли быть извлечены в приемлемые сроки и в приемлемом формате в зависимости от применимых требований.
Система хранения и обработки должна обеспечивать четкую идентификацию записей, а также период их хранения, установленный соответствующими национальными или региональными законами и нормами. Необходимо, чтобы эта система предоставляла возможность уничтожения документов после того, как у организации отпадет потребность в их хранении.
Для достижения целей защиты записей в организации должны быть предприняты следующие шаги:
- a) должны быть выпущены руководящие принципы по срокам, хранению, обработке и утилизации записей и информации;
- b) должен быть составлен график хранения с указанием записей и периода времени, в течение которого они должны храниться;
- c) следует вести перечень источников ключевой информации.
Дополнительная информация
Может потребоваться обеспечение надежного хранения некоторых записей для соответствия законодательным, нормативным или договорным требованиям, а также для обеспечения основных видов деятельности бизнеса организации. Примерами являются записи, которые могут потребоваться в качестве доказательства того, что организация ведет деятельность в соответствии с законодательными и нормативными документами, для обеспечения защиты от потенциального гражданского или уголовного преследования, или для подтверждения финансового состояния организации акционерам, аудиторам и внешним сторонам. Национальное законодательство или нормативные акты могут устанавливать периоды времени и содержание данных для сохранения.
Дополнительную информацию о менеджменте записей организации можно найти в ИСО 15489-1 [5].
Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":
Глава 8. Пункт 6.
8.6. Кредитная организация (головная кредитная организация банковской группы) обеспечивает проведение подразделениями кредитной организации (головной кредитной организации банковской группы) мероприятий, направленных на выявление, оценку, разработку форм (способов) контроля, и мероприятий, направленных на повышение качества системы управления риском информационных систем и снижение уровня риска информационных систем и сопряженных с ним рисков информационной безопасности, влияющих на информационные системы (в том числе рисков уничтожения (искажения, безвозвратного удаления) носителей и (или) хранилищ информации и данных, хранящихся в информационных системах).
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.