Куда я попал?
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022
Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А
A.11.2.4
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 8 п.п. 8
7.8.8. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры обслуживания средств вычислительной техники, используемых в банковском платежном технологическом процессе, включая замену их программных и (или) аппаратных частей.
NIST Cybersecurity Framework (RU):
PR.MA-1
PR.MA-1: Техническое обслуживание и ремонт организационных активов выполняются и регистрируются своевременно с использованием утвержденных и контролируемых инструментов
PR.DS-8
PR.DS-8: Механизмы проверки целостности используются для проверки целостности оборудования
PR.MA-2
PR.MA-2: Удаленное обслуживание организационных активов одобрено, зарегистрировано и выполняется способом, который предотвращает несанкционированный доступ
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ВПУ.13.3
ВПУ.13.3 Завершение сессии и прерывание сетевого подключения субъектов доступа после окончания удаленного технического обслуживания;
ВПУ.13.1
ВПУ.13.1 Многофакторную аутентификацию субъектов доступа, осуществляющих удаленное техническое обслуживание и диагностику;
ВПУ.13.2
ВПУ.13.2 Регистрацию операций, осуществляемых в рамках удаленного технического обслуживания и диагностики объектов информатизации;
ВПУ.13.7
ВПУ.13.7 Применение средств защиты информации для защиты целостности и конфиденциальности сессий сетевого взаимодействия при удаленном техническом обслуживании и диагностике;
ВПУ.13.8
ВПУ.13.8 Контроль и подтверждение завершения сессий и прерывания сетевого подключения субъектов доступа после окончания удаленного технического обслуживания и диагностики.
ВПУ.13.6
ВПУ.13.6 Использование защищенного выделенного (виртуального) канала сетевого взаимодействия при удаленном техническом обслуживании;
ВПУ.13.4
ВПУ.13.4 Аудит (последующий контроль) и анализ операций, осуществляемых в рамках удаленного технического обслуживания и диагностики;
ВПУ.13.5
ВПУ.13.5 Установление в договорах (контрактах) требований к осуществлению удаленного технического обслуживания и диагностики только посредством объектов информатизации, в отношении которых реализован тот же уровень защиты (в том числе защиты информации), что и в отношении обслуживаемых объектов информатизации;
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.5.1
9.5.1
Defined Approach Requirements:
POI devices that capture payment card data via direct physical interaction with the payment card form factor are protected from tampering and unauthorized substitution, including the following:
Defined Approach Requirements:
POI devices that capture payment card data via direct physical interaction with the payment card form factor are protected from tampering and unauthorized substitution, including the following:
- Maintaining a list of POI devices.
- Periodically inspecting POI devices to look for tampering or unauthorized substitution.
- Training personnel to be aware of suspicious behavior and to report tampering or unauthorized substitution of devices.
Customized Approach Objective:
The entity has defined procedures to protect and manage point of interaction devices. Expectations, controls, and oversight for the management and protection of POI devices are defined and adhered to by affected personnel.
Applicability Notes:
These requirements apply to deployed POI devices used in card-present transactions (that is, a payment card form factor such as a card that is swiped, tapped, or dipped).
This requirement is not intended to apply to manual PAN key-entry components such as computer keyboards. This requirement is recommended, but not required, for manual PAN key-entry components such as computer keyboards.
This requirement does not apply to commercial offthe-shelf (COTS) devices (for example, smartphones or tablets), which are mobile merchant-owned devices designed for mass-market distribution.
Defined Approach Testing Procedures:
The entity has defined procedures to protect and manage point of interaction devices. Expectations, controls, and oversight for the management and protection of POI devices are defined and adhered to by affected personnel.
Applicability Notes:
These requirements apply to deployed POI devices used in card-present transactions (that is, a payment card form factor such as a card that is swiped, tapped, or dipped).
This requirement is not intended to apply to manual PAN key-entry components such as computer keyboards. This requirement is recommended, but not required, for manual PAN key-entry components such as computer keyboards.
This requirement does not apply to commercial offthe-shelf (COTS) devices (for example, smartphones or tablets), which are mobile merchant-owned devices designed for mass-market distribution.
Defined Approach Testing Procedures:
- 9.5.1 Examine documented policies and procedures to verify that processes are defined that include all elements specified in this requirement.
Purpose:
riminals attempt to steal payment card data by stealing and/or manipulating card-reading devices and terminals. Criminals will try to steal devices so they can learn how to break into them, and they often try to replace legitimate devices with fraudulent devices that send them payment card data every time a card is entered.
They will also try to add “skimming” components to the outside of devices, which are designed to capture payment card data before it enters the device—for example, by attaching an additional card reader on top of the legitimate card reader so that the payment card data is captured twice: once by the criminal’s component and then by the device’s legitimate component. In this way, transactions may still be completed without interruption while the criminal is “skimming” the payment card data during the process.
Good Practice:
Additional best practices on skimming prevention are available on the PCI SSC website.
riminals attempt to steal payment card data by stealing and/or manipulating card-reading devices and terminals. Criminals will try to steal devices so they can learn how to break into them, and they often try to replace legitimate devices with fraudulent devices that send them payment card data every time a card is entered.
They will also try to add “skimming” components to the outside of devices, which are designed to capture payment card data before it enters the device—for example, by attaching an additional card reader on top of the legitimate card reader so that the payment card data is captured twice: once by the criminal’s component and then by the device’s legitimate component. In this way, transactions may still be completed without interruption while the criminal is “skimming” the payment card data during the process.
Good Practice:
Additional best practices on skimming prevention are available on the PCI SSC website.
Приказ Минздрава № 911н от 24.12.2018 "Требования к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам":
Раздел II п. 9 п.п. е)
е) функционировать в бесперебойном круглосуточном режиме, за исключением установленных периодов проведения работ по обслуживанию информационных систем и устранению неисправностей в работе, суммарная длительность которых не должна превышать 4 часов в месяц (за исключением перерывов, связанных с обстоятельствами непреодолимой силы);
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.5.1
9.5.1
Определенные Требования к Подходу:
Устройства POI, которые фиксируют данные платежной карты посредством прямого физического взаимодействия с форм-фактором платежной карты, защищены от подделки и несанкционированной замены, включая следующее:
Определенные Требования к Подходу:
Устройства POI, которые фиксируют данные платежной карты посредством прямого физического взаимодействия с форм-фактором платежной карты, защищены от подделки и несанкционированной замены, включая следующее:
- Ведение списка POI-устройств.
- Периодически проверяйте POI-устройства на предмет подделки или несанкционированной замены.
- Обучение персонала тому, как быть осведомленным о подозрительном поведении и сообщать о несанкционированном вмешательстве или несанкционированной замене устройств.
Цель Индивидуального подхода:
Организация определила процедуры для защиты устройств точки взаимодействия и управления ими. Ожидания, средства контроля и надзора в отношении управления и защиты устройств POI определяются и соблюдаются соответствующим персоналом.
Примечания по применению:
Эти требования применяются к развернутым устройствам POI, используемым в транзакциях с использованием карты (то есть форм-фактор платежной карты, такой как карта, которую проводят пальцем, нажимают или опускают).
Это требование не предназначено для применения к компонентам ручного ввода клавиш панорамирования, таким как компьютерные клавиатуры. Это требование рекомендуется, но не обязательно, для компонентов ручного ввода клавиш панорамирования, таких как компьютерные клавиатуры.
Это требование не распространяется на коммерческие готовые устройства (COTS) (например, смартфоны или планшеты), которые являются мобильными торговыми устройствами, предназначенными для массового распространения.
Определенные Процедуры Тестирования Подхода:
Организация определила процедуры для защиты устройств точки взаимодействия и управления ими. Ожидания, средства контроля и надзора в отношении управления и защиты устройств POI определяются и соблюдаются соответствующим персоналом.
Примечания по применению:
Эти требования применяются к развернутым устройствам POI, используемым в транзакциях с использованием карты (то есть форм-фактор платежной карты, такой как карта, которую проводят пальцем, нажимают или опускают).
Это требование не предназначено для применения к компонентам ручного ввода клавиш панорамирования, таким как компьютерные клавиатуры. Это требование рекомендуется, но не обязательно, для компонентов ручного ввода клавиш панорамирования, таких как компьютерные клавиатуры.
Это требование не распространяется на коммерческие готовые устройства (COTS) (например, смартфоны или планшеты), которые являются мобильными торговыми устройствами, предназначенными для массового распространения.
Определенные Процедуры Тестирования Подхода:
- 9.5.1 Изучите документированные политики и процедуры, чтобы убедиться, что определены процессы, включающие все элементы, указанные в этом требовании.
Цель:
Мошенники пытаются украсть данные платежных карт, крадя и/или манипулируя устройствами и терминалами для считывания карт. Преступники будут пытаться украсть устройства, чтобы узнать, как взломать их, и они часто пытаются заменить законные устройства мошенническими устройствами, которые отправляют им данные платежной карты каждый раз, когда вводится карта.
Они также попытаются добавить компоненты “скимминга” на внешнюю сторону устройств, которые предназначены для захвата данных платежных карт до того, как они попадут на устройство — например, путем подключения дополнительного устройства чтения карт поверх обычного устройства чтения карт, чтобы данные платежной карты были захвачены дважды: один раз вредоносным компонентом, а затем легальным компонентом устройства. Таким образом, транзакции все еще могут быть завершены без перерыва, в то время как преступник “снимает” данные платежной карты во время процесса.
Надлежащая практика:
Дополнительные рекомендации по предотвращению скимминга доступны на веб-сайте PCI SSC.
Мошенники пытаются украсть данные платежных карт, крадя и/или манипулируя устройствами и терминалами для считывания карт. Преступники будут пытаться украсть устройства, чтобы узнать, как взломать их, и они часто пытаются заменить законные устройства мошенническими устройствами, которые отправляют им данные платежной карты каждый раз, когда вводится карта.
Они также попытаются добавить компоненты “скимминга” на внешнюю сторону устройств, которые предназначены для захвата данных платежных карт до того, как они попадут на устройство — например, путем подключения дополнительного устройства чтения карт поверх обычного устройства чтения карт, чтобы данные платежной карты были захвачены дважды: один раз вредоносным компонентом, а затем легальным компонентом устройства. Таким образом, транзакции все еще могут быть завершены без перерыва, в то время как преступник “снимает” данные платежной карты во время процесса.
Надлежащая практика:
Дополнительные рекомендации по предотвращению скимминга доступны на веб-сайте PCI SSC.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.7.13
А.7.13 Обслуживание оборудования
В целях обеспечения доступности, целостности и конфиденциальности информации оборудование должно обслуживаться корректным образом.
В целях обеспечения доступности, целостности и конфиденциальности информации оборудование должно обслуживаться корректным образом.
FDA 21 CFR part 11 (RU):
Sec. 11.10 p. 1 sp. k1
(1) Адекватный контроль над распространением, доступом и использованием документации по эксплуатации и обслуживанию системы.
NIST Cybersecurity Framework (EN):
PR.DS-8
PR.DS-8: Integrity checking mechanisms are used to verify hardware integrity
PR.MA-2
PR.MA-2: Remote maintenance of organizational assets is approved, logged, and performed in a manner that prevents unauthorized access
PR.MA-1
PR.MA-1: Maintenance and repair of organizational assets are performed and logged, with approved and controlled tools
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.7.13
А.7.13 Equipment maintenance
Equipment shall be maintained correctly to ensure availability, integrity and confidentiality of information.
Equipment shall be maintained correctly to ensure availability, integrity and confidentiality of information.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.