Куда я попал?
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022
Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А
A.8.3.1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 5 п.п. 3
7.5.3. Перед подключением съемных носителей информации к средствам вычислительной техники, задействованным в рамках осуществления банковских технологических процессов, рекомендуется проводить их антивирусную проверку на специально выделенном автономном средстве вычислительной техники.
Р. 7 п. 4 п.п. 8
7.4.8. В организации БС РФ должен быть определен, выполняться и контролироваться порядок использования съемных носителей информации.
CIS Critical Security Controls v8 (The 18 CIS CSC):
10.3
10.3 Disable Autorun and Autoplay for Removable Media
Disable autorun and autoplay auto-execute functionality for removable media.
Disable autorun and autoplay auto-execute functionality for removable media.
3.9
3.9 Encrypt Data on Removable Media
Encrypt data on removable media.
Encrypt data on removable media.
10.4
10.4 Configure Automatic Anti-Malware Scanning of Removable Media
Configure anti-malware software to automatically scan removable media
Configure anti-malware software to automatically scan removable media
NIST Cybersecurity Framework (RU):
PR.IP-6
PR.IP-6: Уничтожение данных производиться в соответствии с политикой
PR.PT-2
PR.PT-2: Съемные носители информации защищены, и их использование ограничено в соответствии с политикой
PR.DS-3
PR.DS-3: Регулируется и контролируется удаление, передача и утилизация активов.
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
10.3
10.3 Реализован запрет автоматического запуска для съемных носителей информации
Запретить автозапуск для съемных носителей.
Запретить автозапуск для съемных носителей.
3.9
3.9 Реализовано шифрование данных на съемных носителях
Шифровать данные на съемных носителях
Шифровать данные на съемных носителях
10.4
10.4 Автоматически проводится проверка на наличие вредоносного программного кода для съемных носителей информации
Настроить автоматическое сканирование на вредоносное программное обеспечение для съемных носителей
Настроить автоматическое сканирование на вредоносное программное обеспечение для съемных носителей
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 13.7
CSC 13.7 Manage USB Devices
If USB storage devices are required, enterprise software should be used that can configure systems to allow the use of specific devices. An inventory of such devices should be maintained.
If USB storage devices are required, enterprise software should be used that can configure systems to allow the use of specific devices. An inventory of such devices should be maintained.
CSC 8.5
CSC 8.5 Configure Devices to Not Auto-Run Content
Configure devices to not auto-run content from removable media.
Configure devices to not auto-run content from removable media.
CSC 8.4
CSC 8.4 Configure Anti-Malware Scanning of Removable Devices
Configure devices so that they automatically conduct an anti-malware scan of removable media when inserted or connected.
Configure devices so that they automatically conduct an anti-malware scan of removable media when inserted or connected.
CSC 13.8
CSC 13.8 Manage System's External Removable Media's Read/Write Configurations
Configure systems not to write data to external removable media, if there is no business need for supporting such devices.
Configure systems not to write data to external removable media, if there is no business need for supporting such devices.
CSC 13.9
CSC 13.9 Encrypt Data on USB Storage Devices
If USB storage devices are required, all data stored on such devices must be encrypted while at rest.
If USB storage devices are required, all data stored on such devices must be encrypted while at rest.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.7.10
А.7.10 Носители информации
В соответствии со схемой категорирования организации и требованиями по обращению с носителями информации эти носители должны управляться на протяжении их жизненного цикла приобретения, использования, транспортировки и утилизации.
В соответствии со схемой категорирования организации и требованиями по обращению с носителями информации эти носители должны управляться на протяжении их жизненного цикла приобретения, использования, транспортировки и утилизации.
Приказ ФСБ России № 378 от 10.07.2014 "Состав и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации":
Глава II п. 5
5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
- а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- б) обеспечение сохранности носителей персональных данных;
- в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
NIST Cybersecurity Framework (EN):
PR.IP-6
PR.IP-6: Data is destroyed according to policy
PR.PT-2
PR.PT-2: Removable media is protected and its use restricted according to policy
PR.DS-3
PR.DS-3: Assets are formally managed throughout removal, transfers, and disposition
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗНИ.6
ЗНИ.6 Контроль ввода (вывода) информации на съемные машинные носители информации
ЗНИ.7
ЗНИ.7 Контроль подключения съемных машинных носителей информации
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
8.3.1
8.3.1 Управление съемными носителями информации
Мера обеспечения ИБ
Должны быть реализованы процедуры по управлению сменными носителями информации в соответствии с принятой в организации системой категорирования информации.
Руководство по применению
Необходимо рассмотреть следующие рекомендации в отношении управления съемными носителями.
Для управления съемными носителями должны быть учтены следующие рекомендации:
- a) содержимое, в котором отпала необходимость, на любых перезаписываемых носителях, которые могут быть вынесены из организации, должно быть удалено без возможности восстановления;
- b) где это необходимо и целесообразно, должно требоваться разрешение на вынос носителей информации из организации, а записи о выносе следует хранить как контрольную запись для аудита;
- c) все носители следует хранить в безопасном, надежном месте в соответствии с инструкциями производителей;
- d) если конфиденциальность или целостность данных являются важными факторами, следует использовать криптографические методы для защиты данных на съемных носителях;
- e) для снижения риска деградации носителей, когда сохраняемые данные все еще необходимы, данные должны быть перенесены на новые носители, прежде чем прежние станут нечитаемыми;
- f) несколько копий ценных данных следует хранить на отдельных носителях для снижения риска случайного повреждения или потери данных;
- g) для уменьшения возможности потери данных должна быть предусмотрена регистрация съемных носителей информации;
- h) съемные диски разрешается использовать только в случаях, обусловленных потребностями бизнеса;
- i) в случае необходимости использования съемных носителей перенос информации на них необходимо контролировать.
Все процедуры и уровни авторизации должны быть задокументированы.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.7.10
А.7.10 Storage media
Storage media shall be managed through its life cycle of acquisition, use, transportation and disposal in accordance with the organization’s classification scheme and handling requirements.
Storage media shall be managed through its life cycle of acquisition, use, transportation and disposal in accordance with the organization’s classification scheme and handling requirements.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.