Куда я попал?
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022
Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А
А.7.10
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 5 п.п. 3
7.5.3. Перед подключением съемных носителей информации к средствам вычислительной техники, задействованным в рамках осуществления банковских технологических процессов, рекомендуется проводить их антивирусную проверку на специально выделенном автономном средстве вычислительной техники.
Р. 7 п. 4 п.п. 8
7.4.8. В организации БС РФ должен быть определен, выполняться и контролироваться порядок использования съемных носителей информации.
CIS Critical Security Controls v8 (The 18 CIS CSC):
10.3
10.3 Disable Autorun and Autoplay for Removable Media
Disable autorun and autoplay auto-execute functionality for removable media.
Disable autorun and autoplay auto-execute functionality for removable media.
3.9
3.9 Encrypt Data on Removable Media
Encrypt data on removable media.
Encrypt data on removable media.
10.4
10.4 Configure Automatic Anti-Malware Scanning of Removable Media
Configure anti-malware software to automatically scan removable media
Configure anti-malware software to automatically scan removable media
NIST Cybersecurity Framework (RU):
PR.PT-2
PR.PT-2: Съемные носители информации защищены, и их использование ограничено в соответствии с политикой
PR.DS-3
PR.DS-3: Регулируется и контролируется удаление, передача и утилизация активов.
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗНИ.6
ЗНИ.6 Контроль ввода (вывода) информации на машинные носители персональных данных
ЗНИ.7
ЗНИ.7 Контроль подключения машинных носителей персональных данных
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
10.3
10.3 Реализован запрет автоматического запуска для съемных носителей информации
Запретить автозапуск для съемных носителей.
Запретить автозапуск для съемных носителей.
3.9
3.9 Реализовано шифрование данных на съемных носителях
Шифровать данные на съемных носителях
Шифровать данные на съемных носителях
10.4
10.4 Автоматически проводится проверка на наличие вредоносного программного кода для съемных носителей информации
Настроить автоматическое сканирование на вредоносное программное обеспечение для съемных носителей
Настроить автоматическое сканирование на вредоносное программное обеспечение для съемных носителей
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.4.3
9.4.3
Defined Approach Requirements:
Media with cardholder data sent outside the facility is secured as follows:
Defined Approach Requirements:
Media with cardholder data sent outside the facility is secured as follows:
- Media sent outside the facility is logged.
- Media is sent by secured courier or other delivery method that can be accurately tracked.
- Offsite tracking logs include details about media location.
Customized Approach Objective:
Media is secured and tracked when transported outside the facility.
Defined Approach Testing Procedures:
Media is secured and tracked when transported outside the facility.
Defined Approach Testing Procedures:
- 9.4.3.a Examine documentation to verify that procedures are defined for securing media sent outside the facility in accordance with all elements specified in this requirement.
- 9.4.3.b Interview personnel and examine records to verify that all media sent outside the facility is logged and sent via secured courier or other delivery method that can be tracked.
- 9.4.3.c Examine offsite tracking logs for all media to verify tracking details are documented.
Purpose:
Media may be lost or stolen if sent via a nontrackable method such as regular postal mail. The use of secure couriers to deliver any media that contains cardholder data allows organizations to use their tracking systems to maintain inventory and location of shipments.
Media may be lost or stolen if sent via a nontrackable method such as regular postal mail. The use of secure couriers to deliver any media that contains cardholder data allows organizations to use their tracking systems to maintain inventory and location of shipments.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.8.3.1
A.8.3.1 Управление сменными носителями информации
Мера обеспечения информационной безопасности: Должны быть реализованы процедуры по управлению сменными носителями информации в соответствии с принятой в организации системой категорирования информации
Мера обеспечения информационной безопасности: Должны быть реализованы процедуры по управлению сменными носителями информации в соответствии с принятой в организации системой категорирования информации
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 13.7
CSC 13.7 Manage USB Devices
If USB storage devices are required, enterprise software should be used that can configure systems to allow the use of specific devices. An inventory of such devices should be maintained.
If USB storage devices are required, enterprise software should be used that can configure systems to allow the use of specific devices. An inventory of such devices should be maintained.
CSC 8.5
CSC 8.5 Configure Devices to Not Auto-Run Content
Configure devices to not auto-run content from removable media.
Configure devices to not auto-run content from removable media.
CSC 8.4
CSC 8.4 Configure Anti-Malware Scanning of Removable Devices
Configure devices so that they automatically conduct an anti-malware scan of removable media when inserted or connected.
Configure devices so that they automatically conduct an anti-malware scan of removable media when inserted or connected.
CSC 13.8
CSC 13.8 Manage System's External Removable Media's Read/Write Configurations
Configure systems not to write data to external removable media, if there is no business need for supporting such devices.
Configure systems not to write data to external removable media, if there is no business need for supporting such devices.
CSC 13.9
CSC 13.9 Encrypt Data on USB Storage Devices
If USB storage devices are required, all data stored on such devices must be encrypted while at rest.
If USB storage devices are required, all data stored on such devices must be encrypted while at rest.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.4.3
9.4.3
Определенные Требования к Подходу:
Носитель с данными о держателях карт, отправляемый за пределы учреждения, защищается следующим образом:
Определенные Требования к Подходу:
Носитель с данными о держателях карт, отправляемый за пределы учреждения, защищается следующим образом:
- Носители, отправленные за пределы объекта, регистрируются.
- Носитель отправляется защищенным курьером или другим способом доставки, который можно точно отследить.
- Журналы отслеживания за пределами сайта содержат подробную информацию о местоположении носителя.
Цель Индивидуального подхода:
Носитель защищен и отслеживается при транспортировке за пределы объекта.
Определенные Процедуры Тестирования Подхода:
Носитель защищен и отслеживается при транспортировке за пределы объекта.
Определенные Процедуры Тестирования Подхода:
- 9.4.3.a Изучите документацию, чтобы убедиться, что процедуры определены для обеспечения безопасности носителей, отправляемых за пределы объекта, в соответствии со всеми элементами, указанными в этом требовании.
- 9.4.3.b Опросите персонал и изучите записи, чтобы убедиться, что все материалы, отправленные за пределы объекта, регистрируются и отправляются через защищенного курьера или другим способом доставки, который можно отследить.
- 9.4.3.c Изучите журналы отслеживания за пределами сайта для всех носителей, чтобы убедиться, что детали отслеживания задокументированы.
Цель:
Носитель может быть утерян или украден, если он отправлен с помощью не отслеживаемого способа, такого как обычная почтовая почта. Использование надежных курьеров для доставки любых носителей, содержащих данные о держателях карт, позволяет организациям использовать свои системы отслеживания для ведения инвентаризации и определения местоположения отправлений.
Носитель может быть утерян или украден, если он отправлен с помощью не отслеживаемого способа, такого как обычная почтовая почта. Использование надежных курьеров для доставки любых носителей, содержащих данные о держателях карт, позволяет организациям использовать свои системы отслеживания для ведения инвентаризации и определения местоположения отправлений.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ЗНИ.6
ЗНИ.6 Контроль ввода (вывода) информации на машинные носители информации
ЗНИ.7
ЗНИ.7 Контроль подключения машинных носителей информации
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗНИ.6
ЗНИ.6 Контроль ввода (вывода) информации на машинные носители информации
ЗНИ.7
ЗНИ.7 Контроль подключения машинных носителей информации
ЗНИ.0
ЗНИ.0 Разработка политики защиты машинных носителей информации
Приказ ФСБ России № 378 от 10.07.2014 "Состав и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации":
Глава II п. 7
7. Для выполнения требования, указанного в подпункте "б" пункта 5 настоящего документа, необходимо:
- а) осуществлять хранение съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками. В случае если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием СКЗИ виде, допускается хранение таких носителей вне сейфов (металлических шкафов);
- б) осуществлять поэкземплярный учет машинных носителей персональных данных, который достигается путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров.
Глава II п. 5
5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
- а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- б) обеспечение сохранности носителей персональных данных;
- в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
NIST Cybersecurity Framework (EN):
PR.PT-2
PR.PT-2: Removable media is protected and its use restricted according to policy
PR.DS-3
PR.DS-3: Assets are formally managed throughout removal, transfers, and disposition
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗНИ.6
ЗНИ.6 Контроль ввода (вывода) информации на съемные машинные носители информации
ЗНИ.7
ЗНИ.7 Контроль подключения съемных машинных носителей информации
ЗНИ.0
ЗНИ.0 Регламентация правил и процедур защиты машинных носителей информации
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.7.10
А.7.10 Storage media
Storage media shall be managed through its life cycle of acquisition, use, transportation and disposal in accordance with the organization’s classification scheme and handling requirements.
Storage media shall be managed through its life cycle of acquisition, use, transportation and disposal in accordance with the organization’s classification scheme and handling requirements.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.