Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022

8.3.2. В организации БС РФ должны быть установлены критерии отнесения конкретных информационных активов к одному или нескольким типам информационных активов. 

7.4.6. Должен быть определен, выполняться, регистрироваться и контролироваться порядок доступа к объектам среды информационных активов, в том числе в помещения, в которых размещаются объекты среды информационных активов.

8.11.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета информационных активов или типов информационных активов, существенных для обеспечения непрерывности бизнеса организации БС РФ. 

6.6 Establish and Maintain an Inventory of Authentication and Authorization Systems
Establish and maintain an inventory of the enterprise’s authentication and authorization systems, including those hosted on-site or at a remote service provider. Review and update the inventory, at a minimum, annually, or more frequently 

1.4 Use Dynamic Host Configuration Protocol (DHCP) Logging to Update Enterprise Asset Inventory 
Use DHCP logging on all DHCP servers or Internet Protocol (IP) address management tools to update the enterprise’s asset inventory. Review and use logs to update the enterprise’s asset inventory weekly, or more frequently 

1.2 Address Unauthorized Assets 
Ensure that a process exists to address unauthorized assets on a weekly basis. The enterprise may choose to remove the asset from the network, deny the asset from connecting remotely to the network, or quarantine the asset. 

2.3 Address Unauthorized Software
Ensure that unauthorized software is either removed from use on enterprise assets or receives a documented exception. Review monthly, or more frequently 

1.1 Establish and Maintain Detailed Enterprise Asset Inventory
Establish and maintain an accurate, detailed, and up-to-date inventory of all enterprise assets with the potential to store or process data, to include: end-user devices (including portable and mobile), network devices, noncomputing/IoT devices, and servers. Ensure the inventory records the network address (if static), hardware address, machine name, enterprise asset owner, department for each asset, and whether the asset has been approved to connect to the network. For mobile end-user devices, MDM type tools can support this process, where appropriate. This inventory includes assets connected to the infrastructure physically, virtually, remotely, and those within cloud environments. Additionally, it includes assets that are regularly connected to the enterprise’s network infrastructure, even if they are not under control of the enterprise. Review and update the inventory of all enterprise assets bi-annually, or more frequently. 

1.3 Utilize an Active Discovery Tool
Utilize an active discovery tool to identify assets connected to the enterprise’s network. Configure the active discovery tool to execute daily, or more frequently. 

2.1 Establish and Maintain a Software Inventory
Establish and maintain a detailed inventory of all licensed software installed on enterprise assets. The software inventory must document the title, publisher, initial install/use date, and business purpose for each entry; where appropriate, include the Uniform Resource Locator (URL), app store(s), version(s), deployment mechanism, and decommission date. Review and update the software inventory bi-annually, or more frequently. 

3.2 Establish and Maintain a Data Inventory
Establish and maintain a data inventory, based on the enterprise’s data management process. Inventory sensitive data, at a minimum. Review and update inventory annually, at a minimum, with a priority on sensitive data.

15.1 Establish and Maintain an Inventory of Service Providers
Establish and maintain an inventory of service providers. The inventory is to list all known service providers, include classification(s), and designate an enterprise contact for each service provider. Review and update the inventory annually, or when significant enterprise changes occur that could impact this Safeguard. 

16.4 Establish and Manage an Inventory of Third-Party Software Components
Establish and manage an updated inventory of third-party components used in development, often referred to as a “bill of materials,” as well as components slated for future use. This inventory is to include any risks that each third-party component could pose. Evaluate the list at least monthly to identify any changes or updates to these components, and validate that the component is still supported.  

5.1 Establish and Maintain an Inventory of Accounts 
Establish and maintain an inventory of all accounts managed in the enterprise. The inventory must include both user and administrator accounts. The inventory, at a minimum, should contain the person’s name, username, start/ stop dates, and department. Validate that all active accounts are authorized, on a recurring schedule at a minimum quarterly, or more frequently 

2.4 Utilize Automated Software Inventory Tools
Utilize software inventory tools, when possible, throughout the enterprise to automate the discovery and documentation of installed software. 

5.5 Establish and Maintain an Inventory of Service Accounts 
Establish and maintain an inventory of service accounts. The inventory, at a minimum, must contain department owner, review date, and purpose. Perform service account reviews to validate that all active accounts are authorized, on a recurring schedule at a minimum quarterly, or more frequently. 

1.5 Use a Passive Asset Discovery Tool
Use a passive discovery tool to identify assets connected to the enterprise’s network. Review and use scans to update the enterprise’s asset inventory at least weekly, or more frequently. 

6.1. Кредитные организации должны обеспечивать организацию учета и контроля состава следующих элементов (далее при совместном упоминании - критичная архитектура):

В целях организации учета и контроля состава технологических процессов, технологических участков технологических процессов, реализуемых поставщиками услуг в сфере информационных технологий, кредитные организации должны обеспечивать ведение отдельного реестра в соответствии с внутренними документами.

Кредитные организации в отношении элементов, указанных в подпункте 6.1 настоящего пункта, являющихся значимыми объектами критической информационной инфраструктуры в соответствии с пунктом 3 статьи 2 Федерального закона от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - Федеральный закон от 26 июля 2017 года N 187-ФЗ), должны выполнять требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленные в соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 года N 187-ФЗ 7.

ID.AM-1:  В организации инвентаризированы системы и физическое оборудование 

ID.AM-5: Приоритезированы ресурсы (например, оборудование, устройства, данные, время и программное обеспечение) на основе их классификации, критичности и ценности для бизнеса

ID.AM-2:  В организации инвентаризированы программные платформы и приложения 

15.1 Создан и поддерживается реестр поставщиков услуг
Список включает контакты с каждым провайдером и обновляется ежегодно или чаще. 

1.5 Применяются инструменты для пассивного обнаружения устройств
Результаты сканирования используются для обновления реестра устройств раз в неделю или чаще.

1.3 Применяются инструменты для активного обнаружения устройств
Обнаружение подключенных к сети устройств запускается по расписанию не реже раза в день.

1.2 Регулярно устраняются неавторизованные устройства
Есть регламентированная процедура для обращения с неавторизованными устройствами.
Процедура запускается не реже 1 раза в неделю. 
Есть правила, как поступать с неавторизованными устройствами, например: удалять из сети, запрещать удаленное подключение к сети или помещать устройство в карантин.

1.1 Создан и поддерживается детальный реестр устройств предприятия
Список включает все оборудование, которое может хранить или обрабатывать корпоративные данные: конечные пользовательские устройства, включая мобильные и портативные, сетевое оборудование, устройства IoT и серверы, в том числе облачные. 
В реестр записаны все устройства, которые регулярно подключаются к корпоративной сетевой инфраструктуре физически, удаленно или виртуально, даже если они не контролируются организацией. 
Записи реестра содержат сетевой адрес (если он статический), аппаратный адрес, имя машины, ее владельца, подразделение и разрешение на подключение к сети. Для мобильных конечных устройств собрать эту информацию помогают инструменты типа MDM.
Реестр пересматривается и обновляется каждые полгода или чаще.

2.4 Применяются инструменты для автоматического учета программного обеспечения
Использовать инструменты для автоматического учета программного обеспечения

5.1 Создан и поддерживается реестр учетных записей
Реестр включает учетные данные рядовых пользователей и администраторов.
Реестр содержит имя, фамилию, подразделение, дату создания/закрытия учетной записи.
Проверка авторизованных учетных записей осуществляется каждый квартал или чаще.

3.2 Реализован и поддерживается реестр данных
Как минимум, создан реестр конфиденциальных документов.
Реестр пересматривается раз в год или чаще.

16.4 Создан и поддерживается реестр сторонних программных компонентов
Обновления и свежие версии компонентов в реестре отслеживаются раз в месяц или чаще.  

2.1 Создан и поддерживается реестр программного обеспечения
Реестр содержит название ПО, разработчика, дату установки/начала использования и бизнес-задачу ПО. При необходимости указаны версия, механизм развертывания и дата вывода из эксплуатации. Для программ с веб- и мобильным доступом указаны их URL, магазин приложений. 
Реестр пересматривается и обновляется каждые полгода или чаще.

5.5 Создан и поддерживается реестр сервисных учетных записей
Для каждой служебной записи указано подразделение-владелец, цели учетной записи и дата пересмотра.

2.3 Регулярно устраняется неразрешенное программное обеспечение
Для всех неавторизованных программ своевременно принимается решение: запретить использование или прописать исключение с анализом возможных рисков.

6.6 Создан и поддерживается реестр систем аутентификации и авторизации
В реестре учтены системы на своей площадке и на сторонних площадках провайдеров.

1.4 Используется DHCP для обновления реестра устройств предприятия
На всех DHCP-серверах ведутся журналы. Данные в реестре обновляются раз в неделю или чаще.

11.2.2
Defined Approach Requirements: 
An inventory of authorized wireless access points is maintained, including a documented business justification. 

Customized Approach Objective:
Unauthorized wireless access points are not mistaken for authorized wireless access points. 

Defined Approach Testing Procedures:

Purpose:
An inventory of authorized wireless access points can help administrators quickly respond when unauthorized wireless access points are detected. This helps to proactively minimize the 
exposure of CDE to malicious individuals. 

Good Practice:
If using a wireless scanner, it is equally important to have a defined list of known access points which, while not attached to the company’s network, will usually be detected during a scan. These non-company devices are often found in multi-tenant buildings or businesses located near one another. However, it is important to verify that these devices are not connected to the entity’s network port or through another networkconnected device and given an SSID resembling a nearby business. Scan results should note such devices and how it was determined that these devices could be “ignored.” In addition, detection of any unauthorized wireless access points that are determined to be a threat to the CDE should be managed following the entity’s incident response plan per Requirement 12.10.1. 

11.2.1
Defined Approach Requirements: 
 Authorized and unauthorized wireless access points are managed as follows:

Customized Approach Objective:
Unauthorized wireless access points are identified and addressed periodically. 

Applicability Notes:
The requirement applies even when a policy exists that prohibits the use of wireless technology since attackers do not read and follow company policy. 
Methods used to meet this requirement must be sufficient to detect and identify both authorized and unauthorized devices, including unauthorized devices attached to devices that themselves are authorized. 

Defined Approach Testing Procedures:

Purpose:
Implementation and/or exploitation of wireless technology within a network are common paths for malicious users to gain unauthorized access to the network and cardholder data. Unauthorized wireless devices could be hidden within or attached to a computer or other system component. These devices could also be attached directly to a network port, to a network device such as a switch or router, or inserted as a wireless interface card inside a system component. 
If a wireless device or network is installed without a company’s knowledge, it can allow an attacker to enter the network easily and “invisibly.” Detecting and removing such unauthorized access points reduces the duration and likelihood of such devices being leveraged for an attack. 

Good Practice:
The size and complexity of an environment will dictate the appropriate tools and processes to be used to provide sufficient assurance that a rogue wireless access point has not been installed in the environment. 
For example, performing a detailed physical inspection of a single stand-alone retail kiosk in a shopping mall, where all communication components are contained within tamper-resistant and tamper-evident casings, may be sufficient to provide assurance that a rogue wireless access point has not been attached or installed. However, in an environment with multiple nodes (such as in a large retail store, call center, server room or data center), detailed physical inspection can be difficult. In this case, multiple methods may be combined, such as performing physical system inspections in conjunction with the results of a wireless analyzer. 

Definitions:
This is also referred to as rogue access point detection. 

Examples:
Methods that may be used include but are not limited to wireless network scans, physical/logical inspections of system components and infrastructure, network access control (NAC), or wireless IDS/IPS. NAC and wireless IDS/IPS are examples of automated monitoring tools. 

12.5.1
Defined Approach Requirements: 
An inventory of system components that are in scope for PCI DSS, including a description of function/use, is maintained and kept current. 

Customized Approach Objective:
All system components in scope for PCI DSS are identified and known. 

Defined Approach Testing Procedures:

Purpose:
Maintaining a current list of all system components will enable an organization to define the scope of its environment and implement PCI DSS requirements accurately and efficiently. Without an inventory, some system components could be overlooked and be inadvertently excluded from the organization’s configuration standards 
Good Practice:
If an entity keeps an inventory of all assets, those system components in scope for PCI DSS should be clearly identifiable among the other assets. 
Inventories should include containers or images that may be instantiated. 
Assigning an owner to the inventory helps to ensure the inventory stays current. 

Examples:
Methods to maintain an inventory include as a database, as a series of files, or in an inventorymanagement tool. 

9.4.5
Defined Approach Requirements: 
Inventory logs of all electronic media with cardholder data are maintained. 

Customized Approach Objective:
Accurate inventories of stored electronic media are maintained. 

Defined Approach Testing Procedures:

Purpose:
Without careful inventory methods and storage controls, stolen or missing electronic media could go unnoticed for an indefinite amount of time. 

/STANDARD
 Each organization has sensitive data. This data can be on its own activity (intellectual property, expertise, etc.) or its customers, individuals or users (personal data, contracts, etc.). In order to effectively protect your data, identifying it is essential. 

From this list of sensitive data, it will be possible to determine in which areas of the information system it is located (databases, file sharing, workstations, etc.). These components correspond to the servers and critical devices of the organization. To this end, they must be subject to specific security measures that may concern backup, logging, access, etc. 

Therefore, this involves creating and maintaining a simplified network diagram (or mapping) representing the different IP areas and the associated addressing plan, the routing and security devices (firewall, application relays, etc.) and the networks with the outside (Internet, private networks, etc.) and partners. This diagram must also be able to locate the servers holding the entity’s sensitive information. 

A.8.1.1  Инвентаризация активов 
Мера обеспечения информационной безопасности: Информация, средства обработки информации и другие активы, связанные с информацией, должны быть идентифицированы, а также должен быть составлен и поддерживаться в актуальном состоянии перечень этих активов (Пункт А.8.1.1 приведен с учетом технической правки 1 к ISO/IEC 27001:2013) 

4.3. Должен быть в наличии текущий перечень (реестр) всех используемых компьютеризированных систем с указанием их функциональности, подпадающей под требования настоящих Правил. 
Для критических компьютеризированных систем должны быть в наличии подробное текущее описание физических и логических взаимосвязей, потоков данных и интерфейсов с другими системами или процессами, требуемые ресурсы всего компьютерного оборудования и программного обеспечения, доступные меры безопасности. 

11.2.2
Определенные Требования к Подходу:
Ведется инвентаризация авторизованных точек беспроводного доступа, включая документированное бизнес-обоснование.

Цель Индивидуального подхода:
Несанкционированные точки беспроводного доступа не принимаются за авторизованные точки беспроводного доступа.

Определенные Процедуры Тестирования Подхода:

Цель:
Инвентаризация авторизованных точек беспроводного доступа может помочь администраторам быстро реагировать при обнаружении несанкционированных точек беспроводного доступа. Это помогает превентивно свести к минимуму
воздействие CDE на злоумышленников.

Надлежащая практика:
При использовании беспроводного сканера не менее важно иметь определенный список известных точек доступа, которые, хотя и не подключены к сети компании, обычно обнаруживаются во время сканирования. Эти устройства, не принадлежащие компании, часто встречаются в многоквартирных зданиях или на предприятиях, расположенных рядом друг с другом. Однако важно убедиться, что эти устройства не подключены к сетевому порту организации или через другое устройство, подключенное к сети, и им присвоен SSID, похожий на соседний бизнес. В результатах сканирования должны быть указаны такие устройства и то, как было определено, что эти устройства могут быть “проигнорированы”. Кроме того, обнаружение любых несанкционированных точек беспроводного доступа, которые определены как представляющие угрозу для CDE, должно управляться в соответствии с планом реагирования организации на инциденты в соответствии с требованием 12.10.1.

11.2.1
Определенные Требования к Подходу:
Авторизованные и несанкционированные точки беспроводного доступа управляются следующим образом:

Цель Индивидуального подхода:
Несанкционированные точки беспроводного доступа периодически выявляются и устраняются.

Примечания по применению:
Это требование применяется даже в тех случаях, когда существует политика, запрещающая использование беспроводной технологии, поскольку злоумышленники не читают и не следуют политике компании.
Методы, используемые для выполнения этого требования, должны быть достаточными для обнаружения и идентификации как авторизованных, так и неавторизованных устройств, включая неавторизованные устройства, подключенные к устройствам, которые сами авторизованы.

Определенные Процедуры Тестирования Подхода:

Цель:
Внедрение и/или использование беспроводной технологии в сети являются распространенными путями получения злоумышленниками несанкционированного доступа к сети и данным о держателях карт. Несанкционированные беспроводные устройства могут быть скрыты внутри компьютера или другого системного компонента или подключены к нему. Эти устройства также могут быть подключены непосредственно к сетевому порту, к сетевому устройству, такому как коммутатор или маршрутизатор, или вставлены в качестве платы беспроводного интерфейса внутри системного компонента.
Если беспроводное устройство или сеть установлены без ведома компании, это может позволить злоумышленнику легко и “незаметно” проникнуть в сеть. Обнаружение и удаление таких несанкционированных точек доступа сокращает продолжительность и вероятность использования таких устройств для атаки.

Надлежащая практика:
Размер и сложность среды будут диктовать соответствующие инструменты и процессы, которые необходимо использовать для обеспечения достаточной уверенности в том, что в среде не установлена несанкционированная точка беспроводного доступа.
Например, выполнения детального физического осмотра одного отдельно стоящего розничного киоска в торговом центре, где все коммуникационные компоненты находятся в защищенных от несанкционированного доступа и защищенных от несанкционированного доступа корпусах, может быть достаточно, чтобы обеспечить уверенность в том, что не была подключена или установлена несанкционированная точка беспроводного доступа. Однако в среде с несколькими узлами (например, в крупном розничном магазине, колл-центре, серверной комнате или центре обработки данных) детальный физический осмотр может быть затруднен. В этом случае можно комбинировать несколько методов, таких как выполнение физических проверок системы в сочетании с результатами беспроводного анализатора.

Определения:
Это также называется обнаружением несанкционированной точки доступа.

Примеры:
Методы, которые могут быть использованы, включают, но не ограничиваются ими, сканирование беспроводной сети, физические/логические проверки системных компонентов и инфраструктуры, контроль доступа к сети (NAC) или беспроводные идентификаторы/IP-адреса. NAC и беспроводные идентификаторы/IP-адреса являются примерами автоматизированных средств мониторинга.

12.5.1
Определенные Требования к Подходу:
Ведется и поддерживается в актуальном состоянии перечень системных компонентов, подпадающих под действие стандарта PCI DSS, включая описание функций/использования.

Цель Индивидуального подхода:
Все системные компоненты, подпадающие под действие стандарта PCI DSS, идентифицированы и известны.

Определенные Процедуры Тестирования Подхода:

Цель:
Ведение текущего списка всех компонентов системы позволит организации определить область применения своей среды и точно и эффективно выполнять требования PCI DSS. Без инвентаризации некоторые компоненты системы могут быть упущены из виду и непреднамеренно исключены из стандартов конфигурации организации
Надлежащая практика:
Если организация ведет инвентаризацию всех активов, те системные компоненты, которые подпадают под действие стандарта PCI DSS, должны быть четко идентифицированы среди других активов.
Описи должны включать контейнеры или изображения, которые могут быть созданы.
Назначение владельца инвентарю помогает обеспечить актуальность инвентаря.

Примеры:
Методы ведения инвентаризации включают в себя в виде базы данных, в виде серии файлов или в инструменте управления запасами.

9.4.5
Определенные Требования к Подходу:
Ведутся журналы инвентаризации всех электронных носителей с данными о держателях карт.

Цель Индивидуального подхода:
Ведется точный учет хранящихся электронных носителей.

Определенные Процедуры Тестирования Подхода:

Цель:
Без тщательных методов инвентаризации и контроля за хранением украденные или пропавшие электронные носители могут оставаться незамеченными в течение неопределенного периода времени.

1.4. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны обеспечивать организацию учета и контроля следующих элементов (при их наличии) (далее при совместном упоминании - критичная архитектура):

Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в отношении своих элементов критичной архитектуры, являющихся значимыми объектами критической информационной инфраструктуры в соответствии с пунктом 3 статьи 2 Федерального закона от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736) (далее - Федеральный закон от 26 июля 2017 года N 187-ФЗ), должны выполнять требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленные в соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 года N 187-ФЗ (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736).

В целях организации учета и контроля состава технологических процессов, указанных в приложении к настоящему Положению, технологических участков технологических процессов, реализуемых поставщиками услуг, некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны обеспечивать ведение реестра указанных технологических процессов и технологических участков технологических процессов в соответствии со своими внутренними документами.

Информация, средства обработки информации и другие активы, связанные с информацией, должны быть идентифицированы, а также должен быть составлен и поддерживаться в актуальном состоянии перечень этих активов. (Внесена техническая поправка Cor.1:2014).

Организация должна идентифицировать активы, относящиеся к жизненному циклу информации, и задокументировать их значимость. Жизненный цикл информации должен включать в себя создание, обработку, хранение, передачу, удаление и уничтожение. Документация должна храниться в специально созданных или уже существующих перечнях, в зависимости от ситуации.

Перечень активов должен быть точным, актуальным, полным и согласованным с другими инвентаризационными перечнями.

Для каждого актива, включенного в перечень, должен быть определен его владелец (см. 8.1.2) и проведено категорирование (см. 8.2).

Инвентаризация активов помогает обеспечить эффективную защиту и может также потребоваться для других целей, таких как здоровье и безопасность, страхование или финансы (управление активами).

ИСО/МЭК 27005 [11] предоставляет примеры активов, которые могут быть приняты во внимание организацией в процессе идентификации активов. Процесс составления перечня активов является важной предпосылкой управления рисками (см. также ИСО/МЭК 27001 [10] и ИСО/МЭК 27005 [11]).

А.5.9 Inventory of information and other associated assets
An inventory of information and other associated assets, including owners, shall be developed and maintained