ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022

ПОН.8 Распределение ответственности в рамках реализации процесса обеспечения операционной надежности при привлечении поставщиков услуг (в том числе поставщиков облачных услуг)

7.3.7. В договор (контракт) о разработке АБС или поставке готовых АБС и их компонентов организациям БС РФ должны включаться положения по сопровождению поставляемых изделий на весь срок их службы. В случае невозможности включения в договор (контракт) указанных положений должен быть приобретен полный комплект документации, обеспечивающий возможность сопровождения АБС и их компонентов без участия разработчика. Если оба указанных варианта неприемлемы, например, вследствие высокой стоимости или позиции фирмы-поставщика (разработчика), руководство организации БС РФ должно оценить и зафиксировать допустимость риска нарушения ИБ, возникающего при невозможности сопровождения АБС и их компонентов.

ОПР.1.1 Определение и описание состава процессов управления риском реализации информационных угроз, обеспечения операционной надежности и защиты информации; 

6.4. Кредитные организации должны обеспечивать выполнение следующих требований к взаимодействию с поставщиками услуг в сфере информационных технологий:

ID.SC-1: Идентфицированы, устанавлены, оцениваются, управляются и согласовываются заинтересованными сторонами организации все процессы управления рисками в кибер-цепочке 

ID.SC-3: Поставщики и партнеры обязаны по контракту принять соответствующие меры, предназначенные для достижения целей программы информационной безопасности или плана управления рисками кибер-цепочки поставок 

ID.BE-1:  Определена и сообщена роль организации в цепочке поставок  

ID.GV-2: Роли и обязанности в области информационной безопасности скоординорованы и согласованы с внутренними ролями и внешними партнерами 

PR.MA-2: Удаленное обслуживание организационных активов одобрено, зарегистрировано и выполняется способом, который предотвращает несанкционированный доступ 

ВПУ.7 Пролонгация договора (контракта) относительно сопровождения (технической поддержки) и (или) технического обслуживания поставляемых объектов информатизации, предусмотренного мерой ВПУ.7 настоящей таблицы, в случае принятия решения о расширении ранее планируемого срока использования поставляемых объектов информатизации**.

ИКА.6 Организация и выполнение деятельности по учету сервисов поставщика облачных услуг и применяемых мер защиты информации в зависимости от модели предоставления сервиса:

РВН.6.1 Установление в рамках договорных отношений требований к соблюдению работниками поставщиков услуг установленных финансовой организацией требований к обеспечению операционной надежности и защите информации, а также их обязанностей и ответственности.

ВПУ.6 Включение в договор (контракт) о разработке объектов информатизации или поставке готовых объектов информатизации финансовым организациям положений по сопровождению (технической поддержке) и (или) техническому обслуживанию поставляемых изделий на планируемый срок их использования**.

11.4.7
Defined Approach Requirements: 
Additional requirement for multi-tenant service providers only: Multi-tenant service providers support their customers for external penetration testing per Requirement 11.4.3 and 11.4.4. 

Customized Approach Objective:
Multi-tenant service providers support their customers’ need for technical testing either by providing access or evidence that comparable technical testing has been undertaken. 

Applicability Notes:
This requirement applies only when the entity being assessed is a multi-tenant service provider. 
To meet this requirement, a multi-tenant service provider may either:

Evidence provided to customers can include redacted penetration testing results but needs to include sufficient information to prove that all elements of Requirements 11.4.3 and 11.4.4 have been met on the customer’s behalf. 
Refer also to Appendix A1: Additional PCI DSS Requirements for Multi-Tenant Service Providers. 
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 

Defined Approach Testing Procedures:

Purpose:
Entities need to conduct penetration tests in accordance with PCI DSS to simulate attacker behavior and discover vulnerabilities in their environment. In shared and cloud environments, the multi-tenant service provider may be concerned about the activities of a penetration tester affecting other customers’ systems. 
Multi-tenant service providers cannot forbid penetration testing because this would leave their customers’ systems open to exploitation. Therefore, multi-tenant service providers must support customer requests to conduct penetration testing or for penetration testing results. 

8.3.10
Defined Approach Requirements: 
Additional requirement for service providers only: If passwords/passphrases are used as the only authentication factor for customer user access to cardholder data (i.e., in any singlefactor authentication implementation), then guidance is provided to customer users including: 

Customized Approach Objective:
Passwords/passphrases for service providers’ customers cannot be used indefinitely. 

Applicability Notes:
This requirement applies only when the entity being assessed is a service provider. 
This requirement does not apply to accounts of consumer users accessing their own payment card information. 
This requirement for service providers will be superseded by Requirement 8.3.10.1 once 8.3.10.1 becomes effective. 

Defined Approach Testing Procedures:

Purpose:
Using a password/passphrase as the only authentication factor provides a single point of failure if compromised. Therefore, in these implementations, controls are needed to minimize how long malicious activity could occur via a compromised password/passphrase. 

Good Practice:
Passwords/passphrases that are valid for a long time without a change provide malicious individuals with more time to break the password/phrase. Periodically changing passwords offers less time for a malicious individual to crack a password/passphrase and less time to use a compromised password. 

12.5.3
Defined Approach Requirements: 
Additional requirement for service providers only: Significant changes to organizational structure result in a documented (internal) review of the impact to PCI DSS scope and applicability of controls, with results communicated to executive management. 

Customized Approach Objective:
PCI DSS scope is confirmed after significant organizational change. 

Applicability Notes:
This requirement applies only when the entity being assessed is a service provider. 
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 

Defined Approach Testing Procedures:

Purpose:
An organization’s structure and management define the requirements and protocol for effective and secure operations. Changes to this structure could have negative effects to existing controls and frameworks by reallocating or removing resources that once supported PCI DSS controls or inheriting new responsibilities that may not have established controls in place. Therefore, it is important to revisit PCI DSS scope and controls when there are changes to an organization’s structure and management to ensure controls are in place and active. 

Examples:
Changes to organizational structure include, but are not limited to, company mergers or acquisitions, and significant changes or reassignments of personnel with responsibility for security controls. 

12.5.2.1
Defined Approach Requirements: 
Additional requirement for service providers only: PCI DSS scope is documented and confirmed by the entity at least once every six months and upon significant change to the in-scope environment. At a minimum, the scoping validation includes all the elements specified in Requirement 12.5.2. 

Customized Approach Objective:
The accuracy of PCI DSS scope is verified to be continuously accurate by comprehensive analysis and appropriate technical measures. 

Applicability Notes:
This requirement applies only when the entity being assessed is a service provider. 
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 

Defined Approach Testing Procedures:

Purpose:
Service providers typically have access to greater volumes of cardholder data than do merchants, or can provide an entry point that can be exploited to then compromise multiple other entities. Service providers also typically have larger and more complex networks that are subject to more frequent change. The probability of overlooked changes to scope in complex and dynamic networks is greater in service providers’ environments.
Validating PCI DSS scope more frequently is likely to discover such overlooked changes before they can be exploited by an attacker. 

11.4.6
Defined Approach Requirements: 
Additional requirement for service providers only: If segmentation is used to isolate the CDE from other networks, penetration tests are performed on segmentation controls as follows: 

Customized Approach Objective:
If segmentation is used, it is verified by technical testing to be continually effective, including after any changes, in isolating the CDE from out-of-scope systems. 

Applicability Notes:
This requirement applies only when the entity being assessed is a service provider. 

Defined Approach Testing Procedures:

Purpose:
Service providers typically have access to greater volumes of cardholder data or can provide an entry point that can be exploited to then compromise multiple other entities. Service providers also typically have larger and more complex networks that are subject to more frequent change. The probability of segmentation controls failing in complex and dynamic networks is greater in service provider environments. 
Validating segmentation controls more frequently is likely to discover such failings before they can be exploited by an attacker attempting to pivot laterally from an out-of-scope untrusted network to the CDE. 

Good Practice:
Although the requirement specifies that this scope validation is carried out at least once every six months and after significant change, this exercise should be performed as frequently as possible to ensure it remains effective at isolating the CDE from other networks. 

12.8.1
Defined Approach Requirements: 
A list of all third-party service providers (TPSPs) with which account data is shared or that could affect the security of account data is maintained, including a description for each of the services provided. 

Customized Approach Objective:
Records are maintained of TPSPs and the services provided. 

Applicability Notes:
The use of a PCI DSS compliant TPSP does not make an entity PCI DSS compliant, nor does it remove the entity’s responsibility for its own PCI DSS compliance. 

Defined Approach Testing Procedures:

Purpose:
Maintaining a list of all TPSPs identifies where potential risk extends outside the organization and defines the organization’s extended attack surface. 

Examples:
Different types of TPSPs include those that: 

8.2.3
Defined Approach Requirements: 
Additional requirement for service providers only: Service providers with remote access to customer premises use unique authentication factors for each customer premises 

Customized Approach Objective:
A service provider’s credential used for one customer cannot be used for any other customer. 

Applicability Notes:
This requirement applies only when the entity being assessed is a service provider. 
This requirement is not intended to apply to service providers accessing their own shared services environments, where multiple customer environments are hosted. 
If service provider employees use shared authentication factors to remotely access customer premises, these factors must be unique per customer and managed in accordance with Requirement 8.2.2. 

Defined Approach Testing Procedures:

Purpose:
Service providers with remote access to customer premises typically use this access to support POS POI systems or provide other remote services. 
If a service provider uses the same authentication factors to access multiple customers, all the service provider’s customers can easily be compromised if an attacker compromises that one factor. 
Criminals know this and deliberately target service providers looking for a shared authentication factor that gives them remote access to many merchants via that single factor. 

Examples:
Technologies such as multi-factor mechanisms that provide a unique credential for each connection (such as a single-use password) could also meet the intent of this requirement. 

/STRENGTHENED
For organizations with more demanding security needs, it will be advisable to ensure that the IP filtering device for partner connections is dedicated to this use. The addition of an intrusion detection device may also be considered as a good practice. 

Moreover, knowing an up-to-date point of contact for the partner is necessary to be able to react in the event of a security incident. 

/STANDARD
When an organization wants to outsource its information system or data, it must assess, in advance, the risks specific to outsourced services (controlling the information system, remote actions, shared hosting, etc.) in order to take into account the needs ans suitable security measures when creating the requirements applicable to the future service provider. The information security system risks inherent in this type of approach may be linked to the context of the outsourcing operation, but also deficient or incomplete contractual specifications. 

Therefore, in order to run smoothly the operations, it is important to:

To formalise these commitments, the service provider will provide the customer with a security insurance plan detailed in the bid. This is a contractual document describing all of the specific measures that the applicants commit to implementing in order to guarantee the security requirements specified by the organization are met. 

The use of digital solutions or tools (hosted in the Cloud for example) is not considered here as it comes under the area of managed services and, moreover, is not advisable when processing sensitive data. 

/STRENGTHENED
To strengthen these measures, the creation and signature of an IT resource charter specifying the rules and instructions that must be adhered to by users may be considered. 

3.1. Если задействованы третьи лица (например, поставщики, провайдеры услуг)например, для поставки, установки, настройки, задания конфигурации, интегрирования, валидации, технического обслуживания (например, через удаленный доступ), модификации или поддержания компьютеризированных систем, связанных с ними услуг или обработки данных, то должны иметься надлежаще оформленные договоры между производителем и любыми третьими лицами. В этих договорах должна быть четко установлена ответственность третьих лиц. Аналогичные требования следует предъявлять к подразделениям информационных технологий производителя. 

7.1. Участники ССНП, участники СБП, ОПКЦ СБП и ОУИО СБП должны разработать и утвердить внутренние документы, регламентирующие выполнение следующих процессов (направлений) защиты информации в рамках процессов (направлений) защиты информации, предусмотренных подпунктом 7.1.1 пункта 7.1 раздела 7 ГОСТ Р 57580.1-2017:

8.2.3
Определенные Требования к Подходу:
Дополнительное требование только для поставщиков услуг: Поставщики услуг с удаленным доступом к помещениям клиентов используют уникальные факторы аутентификации для каждого помещения клиента.

Цель Индивидуального подхода:
Учетные данные поставщика услуг, используемые для одного клиента, не могут быть использованы для любого другого клиента.

Примечания по применению:
Это требование применяется только в том случае, если оцениваемый субъект является поставщиком услуг.
Это требование не предназначено для применения к поставщикам услуг, получающим доступ к своим собственным средам общих служб, в которых размещены несколько клиентских сред.
Если сотрудники поставщика услуг используют общие факторы аутентификации для удаленного доступа к помещениям клиентов, эти факторы должны быть уникальными для каждого клиента и управляться в соответствии с требованием 8.2.2.

Определенные Процедуры Тестирования Подхода:

Цель:
Поставщики услуг с удаленным доступом к помещениям клиентов обычно используют этот доступ для поддержки систем POS POI или предоставления других удаленных услуг.
Если поставщик услуг использует одни и те же факторы аутентификации для доступа к нескольким клиентам, все клиенты поставщика услуг могут быть легко скомпрометированы, если злоумышленник скомпрометирует этот один фактор.
Преступники знают это и намеренно нацеливаются на поставщиков услуг, ищущих общий фактор аутентификации, который дает им удаленный доступ ко многим продавцам через этот единственный фактор.

Примеры:
Такие технологии, как многофакторные механизмы, которые предоставляют уникальные учетные данные для каждого соединения (например, одноразовый пароль), также могут соответствовать цели этого требования.

11.4.7
Определенные Требования к Подходу:
Дополнительное требование только для поставщиков услуг с несколькими арендаторами: Поставщики услуг с несколькими арендаторами поддерживают своих клиентов для внешнего тестирования на проникновение в соответствии с требованиями 11.4.3 и 11.4.4.

Цель Индивидуального подхода:
Поставщики услуг с несколькими арендаторами поддерживают потребность своих клиентов в техническом тестировании либо путем предоставления доступа, либо путем подтверждения того, что было проведено сопоставимое техническое тестирование.

Примечания по применению:
Это требование применяется только в том случае, если оцениваемый объект является поставщиком услуг с несколькими арендаторами.
Для выполнения этого требования поставщик услуг с несколькими арендаторами может либо:

Доказательства, предоставляемые клиентам, могут включать отредактированные результаты тестирования на проникновение, но должны содержать достаточную информацию, чтобы доказать, что все элементы требований 11.4.3 и 11.4.4 были выполнены от имени клиента.
См. также Приложение A1: Дополнительные требования PCI DSS для поставщиков услуг с несколькими арендаторами.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:

Цель:
Организациям необходимо проводить тесты на проникновение в соответствии с PCI DSS, чтобы имитировать поведение злоумышленника и обнаруживать уязвимости в своей среде. В общих и облачных средах поставщик услуг с несколькими арендаторами может быть обеспокоен действиями тестировщика на проникновения, влияющими на системы других клиентов.
Поставщики услуг с несколькими арендаторами не могут запретить тестирование на проникновение, поскольку это оставило бы системы их клиентов открытыми для эксплуатации. Поэтому поставщики услуг с несколькими арендаторами должны поддерживать запросы клиентов на проведение тестирования на проникновение или на получение результатов тестирования на проникновение.

12.5.2.1
Определенные Требования к Подходу:
Дополнительное требование только для поставщиков услуг: Область применения стандарта PCI DSS документируется и подтверждается организацией не реже одного раза в шесть месяцев и при значительных изменениях в среде, в которой он применяется. Как минимум, проверка области охвата включает в себя все элементы, указанные в требовании 12.5.2.

Цель Индивидуального подхода:
Точность области применения PCI DSS проверяется на постоянную точность с помощью всестороннего анализа и соответствующих технических мер.

Примечания по применению:
Это требование применяется только в том случае, если оцениваемый субъект является поставщиком услуг.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:

Цель:
Поставщики услуг обычно имеют доступ к большему объему данных о держателях карт, чем торговцы, или могут предоставить точку входа, которую можно использовать для последующего компрометации множества других организаций. Поставщики услуг также, как правило, имеют более крупные и сложные сети, которые подвержены более частым изменениям. Вероятность незамеченных изменений в области применения в сложных и динамичных сетях выше в среде поставщиков услуг.
Более частая проверка области действия PCI DSS, скорее всего, позволит обнаружить такие пропущенные изменения до того, как они смогут быть использованы злоумышленником.

11.4.6
Определенные Требования к Подходу:
Дополнительное требование только для поставщиков услуг: Если сегментация используется для изоляции CDE от других сетей, тесты на проникновение выполняются для элементов управления сегментацией следующим образом:

Цель Индивидуального подхода:
Если используется сегментация, она проверяется техническим тестированием на постоянную эффективность, в том числе после любых изменений, в изоляции CDE от систем, выходящих за рамки области применения.

Примечания по применению:
Это требование применяется только в том случае, если оцениваемый субъект является поставщиком услуг.

Определенные Процедуры Тестирования Подхода:

Цель:
Поставщики услуг обычно имеют доступ к большим объемам данных о держателях карт или могут предоставить точку входа, которую можно использовать для последующего компрометации множества других организаций. Поставщики услуг также, как правило, имеют более крупные и сложные сети, которые подвержены более частым изменениям. Вероятность сбоя элементов управления сегментацией в сложных и динамичных сетях выше в средах поставщиков услуг.
Более частое использование средств контроля сегментации, скорее всего, позволит обнаружить такие сбои до того, как они смогут быть использованы злоумышленником, пытающимся выполнить боковой поворот из недоверенной сети, находящейся вне зоны действия, в CDE.

Надлежащая практика:
Хотя в требовании указано, что проверка этой области проводится по крайней мере раз в шесть месяцев и после внесения существенных изменений, это упражнение следует выполнять как можно чаще, чтобы гарантировать, что оно остается эффективным при изоляции CDE от других сетей.

12.5.3
Определенные Требования к Подходу:
Дополнительное требование только для поставщиков услуг: Значительные изменения в организационной структуре приводят к документированному (внутреннему) анализу влияния на сферу применения и применимость средств контроля PCI DSS, результаты которого доводятся до сведения исполнительного руководства.

Цель Индивидуального подхода:
Область применения PCI DSS подтверждена после значительных организационных изменений.

Примечания по применению:
Это требование применяется только в том случае, если оцениваемый субъект является поставщиком услуг.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:

Цель:
Структура и управление организации определяют требования и протокол для эффективной и безопасной работы. Изменения в этой структуре могут оказать негативное влияние на существующие средства контроля и структуры путем перераспределения или удаления ресурсов, которые когда-то поддерживали средства контроля PCI DSS, или наследования новых обязанностей, которые, возможно, не имели установленных средств контроля. Поэтому важно пересматривать область применения и средства контроля PCI DSS при внесении изменений в структуру и управление организации, чтобы убедиться, что средства контроля установлены и активны.

Примеры:
Изменения в организационной структуре включают, но не ограничиваются ими, слияния или поглощения компаний, а также значительные изменения или переназначения персонала, отвечающего за контроль безопасности.

8.3.10
Определенные Требования к Подходу:
Дополнительное требование только для поставщиков услуг: Если пароли/парольные фразы используются в качестве единственного фактора аутентификации для доступа пользователя клиента к данным держателя карты (т.е. в любой реализации однофакторной аутентификации), то пользователям клиентов предоставляются рекомендации, в том числе:

Цель Индивидуального подхода:
Пароли/парольные фразы для клиентов поставщиков услуг не могут использоваться бесконечно.

Примечания по применению:
Это требование применяется только в том случае, если оцениваемый субъект является поставщиком услуг.
Это требование не распространяется на учетные записи пользователей-потребителей, получающих доступ к информации о своих собственных платежных картах.
Это требование к поставщикам услуг будет заменено Требованием 8.3.10.1, как только 8.3.10.1 вступит в силу.

Определенные Процедуры Тестирования Подхода:

Цель:
Использование пароля/парольной фразы в качестве единственного фактора аутентификации обеспечивает единую точку отказа в случае компрометации. Поэтому в этих реализациях необходимы средства контроля, чтобы свести к минимуму время, в течение которого может происходить вредоносная активность с использованием скомпрометированного пароля/ключевой фразы.

Надлежащая практика:
Пароли/парольные фразы, которые действительны в течение длительного времени без изменений, дают злоумышленникам больше времени для взлома пароля / фразы. Периодическая смена паролей дает злоумышленнику меньше времени для взлома пароля / парольной фразы и меньше времени для использования скомпрометированного пароля.

12.8.1
Определенные Требования к Подходу:
Ведется список всех сторонних поставщиков услуг (TPSP), с которыми передаются данные учетной записи или которые могут повлиять на безопасность данных учетной записи, включая описание каждой из предоставляемых услуг.

Цель Индивидуального подхода:
Ведется учет TPPS и предоставляемых услуг.

Примечания по применению:
Использование TPSP, совместимого с PCI DSS, не делает организацию совместимой с PCI DSS и не снимает с организации ответственности за ее собственное соответствие требованиям PCI DSS.

Определенные Процедуры Тестирования Подхода:

Цель:
Ведение списка всех TPSP определяет, где потенциальный риск распространяется за пределы организации, и определяет расширенную зону атаки организации.

Примеры:
Различные типы TPSP включают те, которые:

10.1. Заключение с поставщиком услуг соглашения (контракта, пакета договорных документов) об аутсорсинге является одним из основных элементов управления и контроля в отношении риска нарушения ИБ при аутсорсинге существенных функций. 

А.5.19 Информационная безопасность в отношениях с поставщиками
В целях управления рисками ИБ, связанными с использованием поставляемыми продуктами или услугами, должны быть определены и внедрены соответствующие процессы и процедуры.

1.7. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны обеспечивать выполнение следующих требований в отношении взаимодействия с поставщиками услуг:

Требования ИБ, направленные на снижение рисков, связанных с доступом поставщиков к активам организации, должны быть согласованы с поставщиком и задокументированы.

В своей политике организация должна определить и назначить меры обеспечения ИБ, которые относятся к доступу поставщиков к информации организации. Эти меры должны учитывать процессы и процедуры, которые должны выполняться организацией, а также те процессы и процедуры, которые организация должна требовать выполнять от поставщика, включая:

При ненадлежащем управлении ИБ информация может подвергаться риску со стороны поставщиков. Должны быть определены и выполняться меры обеспечения ИБ для управления доступом поставщиков к средствам обработки информации. Например, если существует особая необходимость в сохранении конфиденциальности информации, может заключаться соглашение о неразглашении. Другой пример защиты данных от рисков - когда соглашение с поставщиками включает в себя вопросы передачи информации или доступа к информации из-за границы. Организация должна осознавать, что ответственность за соблюдение законодательства и контрактных обязательств по защите информации лежит на самой организации.

А.5.19 Information security in supplier relationships
Processes and procedures shall be defined and implemented to manage the information security risks associated with the use of supplier’s products or services.