Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022

Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А

A.8.3.1

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 5 п.п. 3
7.5.3. Перед подключением съемных носителей информации к средствам вычислительной техники, задействованным в рамках осуществления банковских технологических процессов, рекомендуется проводить их антивирусную проверку на специально выделенном автономном средстве вычислительной техники.
Р. 7 п. 4 п.п. 8
7.4.8. В организации БС РФ должен быть определен, выполняться и контролироваться порядок использования съемных носителей информации.
CIS Critical Security Controls v8 (The 18 CIS CSC):
10.3 
10.3 Disable Autorun and Autoplay for Removable Media
Disable autorun and autoplay auto-execute functionality for removable media. 
3.9
3.9 Encrypt Data on Removable Media 
Encrypt data on removable media. 
10.4
10.4 Configure Automatic Anti-Malware Scanning of Removable Media 
Configure anti-malware software to automatically scan removable media 
NIST Cybersecurity Framework (RU):
PR.IP-6
PR.IP-6: Уничтожение данных производиться в соответствии с политикой 
PR.PT-2
PR.PT-2: Съемные носители информации защищены, и их использование ограничено в соответствии с политикой 
PR.DS-3
PR.DS-3: Регулируется и контролируется удаление, передача и утилизация активов. 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 13.7 CSC 13.7 Manage USB Devices
If USB storage devices are required, enterprise software should be used that can configure systems to allow the use of specific devices. An inventory of such devices should be maintained.
CSC 8.5 CSC 8.5 Configure Devices to Not Auto-Run Content
Configure devices to not auto-run content from removable media.
CSC 8.4 CSC 8.4 Configure Anti-Malware Scanning of Removable Devices
Configure devices so that they automatically conduct an anti-malware scan of removable media when inserted or connected.
CSC 13.8 CSC 13.8 Manage System's External Removable Media's Read/Write Configurations
Configure systems not to write data to external removable media, if there is no business need for supporting such devices.
CSC 13.9 CSC 13.9 Encrypt Data on USB Storage Devices
If USB storage devices are required, all data stored on such devices must be encrypted while at rest.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.7.10
А.7.10 Носители информации
В соответствии со схемой категорирования организации и требованиями по обращению с носителями информации эти носители должны управляться на протяжении их жизненного цикла приобретения, использования, транспортировки и утилизации.
Приказ ФСБ России № 378 от 10.07.2014 "Состав и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации":
Глава II п. 5
5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
  • а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
  • б) обеспечение сохранности носителей персональных данных;
  • в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
  • г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
NIST Cybersecurity Framework (EN):
PR.IP-6 PR.IP-6: Data is destroyed according to policy
PR.PT-2 PR.PT-2: Removable media is protected and its use restricted according to policy
PR.DS-3 PR.DS-3: Assets are formally managed throughout removal, transfers, and disposition
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗНИ.6 ЗНИ.6 Контроль ввода (вывода) информации на съемные машинные носители информации
ЗНИ.7 ЗНИ.7 Контроль подключения съемных машинных носителей информации
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.7.10
А.7.10 Storage media
Storage media shall be managed through its life cycle of acquisition, use, transportation and disposal in accordance with the organization’s classification scheme and handling requirements.

Связанные защитные меры

Ничего не найдено