Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям ГОСТ Р № ИСО/МЭК 27001-2021 от... A.11.2.5
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022

Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А

A.11.2.5

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

CIS Critical Security Controls v8 (The 18 CIS CSC):
1.2
1.2 Address Unauthorized Assets 
Ensure that a process exists to address unauthorized assets on a weekly basis. The enterprise may choose to remove the asset from the network, deny the asset from connecting remotely to the network, or quarantine the asset. 
NIST Cybersecurity Framework (RU):
PR.MA-1
PR.MA-1: Техническое обслуживание и ремонт организационных активов выполняются и регистрируются своевременно с использованием утвержденных и контролируемых инструментов 
PR.DS-3
PR.DS-3: Регулируется и контролируется удаление, передача и утилизация активов. 
PR.AC-2
PR.AC-2: Управляется и защищен физический доступ к активам 
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗНИ.3 ЗНИ.3 Контроль перемещения машинных носителей персональных данных за пределы контролируемой зоны
ЗСВ.6 ЗСВ.6 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
1.2
1.2 Регулярно устраняются неавторизованные устройства
Есть регламентированная процедура для обращения с неавторизованными устройствами.
Процедура запускается не реже 1 раза в неделю. 
Есть правила, как поступать с неавторизованными устройствами, например: удалять из сети, запрещать удаленное подключение к сети или помещать устройство в карантин.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.4.4
9.4.4
Defined Approach Requirements: 
Management approves all media with cardholder data that is moved outside the facility (including when media is distributed to individuals). 

Customized Approach Objective:
Media cannot leave a facility without the approval of accountable personnel. 

Applicability Notes:
Individuals approving media movements should have the appropriate level of management authority to grant this approval. However, it is not specifically required that such individuals have “manager” as part of their title. 

Defined Approach Testing Procedures:
  • 9.4.4.a Examine documentation to verify that procedures are defined to ensure that media moved outside the facility is approved by management. 
  • 9.4.4.b Examine offsite media tracking logs and interview responsible personnel to verify that proper management authorization is obtained for all media moved outside the facility (including media distributed to individuals). 
Purpose:
Without a firm process for ensuring that all media movements are approved before the media is removed from secure areas, the media would not be tracked or appropriately protected, and its location would be unknown, leading to lost or stolen media. 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 1.6 CSC 1.6 Address Unauthorized Assets
Ensure that unauthorized assets are either removed from the network, quarantined, or the inventory is updated in a timely manner.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.4.4
9.4.4
Определенные Требования к Подходу:
Руководство согласовывает перемещение всех носителей с данными о держателях карт, которые перемещаются за пределы учреждения (в том числе, когда носители распространяются среди физических лиц).

Цель Индивидуального подхода:
Носители не могут покидать объект без разрешения ответственного персонала.

Примечания по применению:
Лица, одобряющие движения носителей, должны иметь соответствующий уровень управленческих полномочий для предоставления такого одобрения. Однако специально не требуется, чтобы у таких лиц было “менеджер” в качестве части их должности.

Определенные Процедуры Тестирования Подхода:
  • 9.4.4.a Изучите документацию, чтобы убедиться, что определены процедуры, гарантирующие, что носители, перемещаемые за пределы объекта, одобрены руководством.
  • 9.4.4.b Изучите журналы отслеживания носителей за пределами объекта и опросите ответственный персонал, чтобы убедиться, что получено надлежащее разрешение руководства на все средства массовой информации, перемещаемые за пределы объекта (включая средства массовой информации, распространяемые среди физических лиц).
Цель:
Без четкого процесса обеспечения того, чтобы все перемещения носителей были одобрены до того, как носители будут удалены из безопасных зон, носители не будут отслеживаться или надлежащим образом защищены, а их местоположение будет неизвестно, что приведет к потере или краже носителей.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ЗСВ.6 ЗСВ.6 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных
ЗНИ.3 ЗНИ.3 Контроль перемещения машинных носителей информации за пределы контролируемой зоны
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.7.8
А.7.8 Размещение и защита оборудования
Оборудование должно защищаться и безопасно размещаться.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗИС.39 ЗИС.39 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных
ЗНИ.3 ЗНИ.3 Контроль перемещения машинных носителей информации за пределы контролируемой зоны
NIST Cybersecurity Framework (EN):
PR.AC-2 PR.AC-2: Physical access to assets is managed and protected
PR.MA-1 PR.MA-1: Maintenance and repair of organizational assets are performed and logged, with approved and controlled tools
PR.DS-3 PR.DS-3: Assets are formally managed throughout removal, transfers, and disposition
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗНИ.3 ЗНИ.3 Контроль перемещения машинных носителей информации за пределы контролируемой зоны
ЗИС.39 ЗИС.39 Управление перемещением виртуальных машин (контейнеров) и обрабатываемых на них данных
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
11.2.5
11.2.5 Перемещение активов

Мера обеспечения ИБ
Вынос оборудования, информации или программного обеспечения за пределы площадки эксплуатации без предварительного разрешения необходимо исключить.

Руководство по применению
Следует рассмотреть следующие рекомендации:
  • a) должны быть идентифицированы работники и внешние пользователи, которые имеют полномочия разрешать вынос активов за пределы организации;
  • b) должны быть установлены сроки возврата активов, а после возвращения проверено их соблюдение;
  • c) когда это необходимо и целесообразно, следует регистрировать вынос и возврат активов;
  • d) личность, должность и принадлежность лица, которое обрабатывает или использует активы, должны быть задокументированы, и эта документация должна быть возвращена вместе с оборудованием, информацией или программным обеспечением.

Дополнительная информация
Выборочные проверки, проводимые для выявления случаев несанкционированного выноса активов, могут выполняться для выявления несанкционированных записывающих устройств, оружия и так далее, а также для предотвращения их проноса и выноса с территории организации. Такие выборочные проверки должны проводиться в соответствии с действующим законодательством и регламентами. Работники должны быть осведомлены о том, что проводятся выборочные проверки, а эти проверки должны проводиться только в строгом соответствии с требованиями законодательства и регламентов.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.7.8
А.7.8 Equipment siting and protection
Equipment shall be sited securely and protected.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.