Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022

Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A

А.8.33

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 3 п.п. 5
7.3.5. На стадии создания и тестирования АБС и (или) их компонентов организация БС РФ обеспечивает реализацию запрета использования защищаемой информации в качестве тестовых данных, анонимность данных и контроль адекватности предоставления и разграничения доступа.
Стандарт № GMP Annex 11: Computerised Systems (EN) от 30.11.2011 "Good Manufacturing Practice. Annex 11: Computerised Systems":
Р. 3 п. 4 п.п. 7
4.7 Evidence of appropriate test methods and test scenarios should be demonstrated. Particularly, system (process) parameter limits, data limits and error handling should be considered. Automated testing tools and test environments should have documented assessments for their adequacy. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 6.5.6
6.5.6
Defined Approach Requirements: 
Test data and test accounts are removed from system components before the system goes into production. 

Customized Approach Objective:
Test data and test accounts cannot exist in production environments. 

Defined Approach Testing Procedures:
  • 6.5.6.a Examine policies and procedures to verify that processes are defined for removal of test data and test accounts from system components before the system goes into production. 
  • 6.5.6.b Observe testing processes for both off-theshelf software and in-house applications, and interview personnel to verify test data and test accounts are removed before a system goes into production. 
  • 6.5.6.c Examine data and accounts for recently installed or updated off-the-shelf software and inhouse applications to verify there is no test data or test accounts on systems in production. 
Purpose:
This data may give away information about the functioning of an application or system and is an easy target for unauthorized individuals to exploit to gain access to systems. Possession of such information could facilitate compromise of the system and related account data. 
Requirement 6.5.5
6.5.5
Defined Approach Requirements: 
Live PANs are not used in pre-production environments, except where those environments are included in the CDE and protected in accordance with all applicable PCI DSS requirements. 

Customized Approach Objective:
Live PANs cannot be present in pre-production environments outside the CDE. 

Defined Approach Testing Procedures:
  • 6.5.5.a Examine policies and procedures to verify that processes are defined for not using live PANs in pre-production environments, except where those environments are in a CDE and protected in accordance with all applicable PCI DSS requirements. 
  • 6.5.5.b Observe testing processes and interview personnel to verify procedures are in place to ensure live PANs are not used in pre-production environments, except where those environments are in a CDE and protected in accordance with all applicable PCI DSS requirements. 
  • 6.5.5.c Examine pre-production test data to verify live PANs are not used in pre-production environments, except where those environments are in a CDE and protected in accordance with all applicable PCI DSS requirements. 
Purpose:
Use of live PANs outside of protected CDEs provides malicious individuals with the opportunity to gain unauthorized access to cardholder data. 

Good Practice:
Entities can minimize their storage of live PANs by only storing them in pre-production when strictly necessary for a specific and defined testing purpose and securely deleting that data after use. 
If an entity requires PANs specifically designed for test purposes, these can be obtained from acquirers. 

Definitions:
Live PANs refer to valid PANs (not test PANs) that have the potential to be used to conduct payment transactions. Additionally, when payment cards expire, the same PAN is often reused with a different expiry date. All PANs must be verified as being unable to conduct payment transactions before they are excluded from PCI DSS scope. It is the responsibility of the entity to confirm that PANs are not live. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.14.3.1
A.14.3.1 Защита тестовых данных 
Мера обеспечения информационной безопасности: Тестовые данные следует тщательно выбирать, защищать и контролировать 
Стандарт № GMP Annex 11: Computerised Systems (RU) от 30.11.2011 "Правила надлежащей производственной практики. Приложение 11: Компьютеризированные системы":
Р. 3 п. 4 п.п. 7
4.7. Следует представить доказательства соответствия методов и схем тестирования компьютеризированной системы. В частности, должны быть рассмотрены пределы параметров системы (процесса), границы данных и обработка ошибок. Следует документально оформить оценку соответствия применения автоматизированных средств тестирования и режимов их работы. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 6.5.6
6.5.6
Определенные Требования к Подходу:
Тестовые данные и тестовые учетные записи удаляются из компонентов системы перед запуском системы в эксплуатацию.

Цель Индивидуального подхода:
Тестовые данные и тестовые учетные записи не могут существовать в производственных средах.

Определенные Процедуры Тестирования Подхода:
  • 6.5.6.a Изучите политики и процедуры, чтобы убедиться, что определены процессы для удаления тестовых данных и тестовых учетных записей из компонентов системы до запуска системы в производство.
  • 6.5.6.b Наблюдать за процессами тестирования как готового программного обеспечения, так и собственных приложений, а также проводить собеседования с персоналом для проверки того, что тестовые данные и тестовые учетные записи удаляются до запуска системы в производство.
  • 6.5.6.c Изучите данные и учетные записи для недавно установленного или обновленного готового программного обеспечения и собственных приложений, чтобы убедиться в отсутствии тестовых данных или тестовых учетных записей в производственных системах.
Цель:
Эти данные могут выдавать информацию о функционировании приложения или системы и являются легкой мишенью для использования неавторизованными лицами для получения доступа к системам. Обладание такой информацией может способствовать компрометации системы и связанных с ней данных учетной записи.
Requirement 6.5.5
6.5.5
Определенные Требования к Подходу:
Текущие PANs не используются в предпроизводственных средах, за исключением случаев, когда эти среды включены в CDE и защищены в соответствии со всеми применимыми требованиями PCI DSS.

Цель Индивидуального подхода:
Текущие PANs не могут присутствовать в среде предварительного производства за пределами CDE.

Определенные Процедуры Тестирования Подхода:
  • 6.5.5.a Изучите политики и процедуры, чтобы убедиться, что процессы определены для отказа от использования live PANs в предпроизводственных средах, за исключением случаев, когда эти среды находятся в CDE и защищены в соответствии со всеми применимыми требованиями PCI DSS.
  • 6.5.5.b Наблюдайте за процессами тестирования и опрашивайте персонал, чтобы убедиться в наличии процедур, гарантирующих, что live PANs не используются в предпроизводственных средах, за исключением случаев, когда эти среды находятся в CDE и защищены в соответствии со всеми применимыми требованиями PCI DSS.
  • 6.5.5.c Изучите данные предпроизводственных тестов, чтобы убедиться, что live PANs не используются в предпроизводственных средах, за исключением случаев, когда эти среды находятся в CDE и защищены в соответствии со всеми применимыми требованиями PCI DSS.
Цель:
Использование текущих PANs за пределами защищенных CDE предоставляет злоумышленникам возможность получить несанкционированный доступ к данным о держателях карт.

Надлежащая практика:
Организации могут свести к минимуму хранение данных в режиме реального времени, сохраняя их только в стадии подготовки к производству, когда это строго необходимо для конкретной и определенной цели тестирования, и безопасно удаляя эти данные после использования.
Если предприятию требуются PAN, специально разработанные для целей тестирования, их можно получить у покупателей.

Определения:
Текущие PANs относятся к действительным PANs (не тестовым PANs), которые потенциально могут быть использованы для проведения платежных транзакций. Кроме того, когда срок действия платежных карт истекает, один и тот же PAN часто используется повторно с другой датой истечения срока действия. Все PANS должны быть проверены как неспособные проводить платежные транзакции, прежде чем они будут исключены из сферы действия PCI DSS. Организация несет ответственность за подтверждение того, что кастрюли не находятся в режиме реального времени.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.33
А.8.33 Тестовая информация
Данные для тестирования должны быть соответствующим образом отобраны, защищены. Процесс подбора данных должен быть управляемым.

Связанные защитные меры

Ничего не найдено