Куда я попал?
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022
Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А
A.8.3.2
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 8 п. 4 пп. 1
8.4.1 Общие положения
Организация должна внедрить и поддерживать структуру реагирования, которая позволит своевременно предупреждать нарушение деятельности организации и проводить обмен информацией с соответствующими заинтересованными сторонами. Организация должна разработать планы и процедуры управления организацией в период нарушения ее деятельности. Планы и процедуры должны быть использованы, когда необходимо инициировать решения по обеспечению непрерывности деятельности.
Примечание — Существуют различные типы процедур, которые включают в планы обеспечения непрерывности деятельности.
Организация должна определить и документировать планы и процедуры обеспечения непрерывности деятельности на основе выбранных стратегий и решений.
Процедуры должны:
Организация должна внедрить и поддерживать структуру реагирования, которая позволит своевременно предупреждать нарушение деятельности организации и проводить обмен информацией с соответствующими заинтересованными сторонами. Организация должна разработать планы и процедуры управления организацией в период нарушения ее деятельности. Планы и процедуры должны быть использованы, когда необходимо инициировать решения по обеспечению непрерывности деятельности.
Примечание — Существуют различные типы процедур, которые включают в планы обеспечения непрерывности деятельности.
Организация должна определить и документировать планы и процедуры обеспечения непрерывности деятельности на основе выбранных стратегий и решений.
Процедуры должны:
- а) быть конкретными е отношении немедленных действий, которые должны быть выполнены в период нарушения деятельности организации;
- b) гибкими, чтобы реагировать на изменяющиеся внутренние и внешние условия в период нарушения деятельности организации;
- с) фокусироваться на воздействии инцидентов, которые потенциально могут привести к нарушению деятельности организации;
- d) результативно минимизировать воздействия путем выполнения соответствующих решений;
- е) устанавливать функции и обязанности по выполнению задач внутри процедур.
NIST Cybersecurity Framework (RU):
PR.IP-6
PR.IP-6: Уничтожение данных производиться в соответствии с политикой
PR.DS-3
PR.DS-3: Регулируется и контролируется удаление, передача и утилизация активов.
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗНИ.8
ЗНИ.8 Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.4.6
9.4.6
Defined Approach Requirements:
Hard-copy materials with cardholder data are destroyed when no longer needed for business or legal reasons, as follows:
Defined Approach Requirements:
Hard-copy materials with cardholder data are destroyed when no longer needed for business or legal reasons, as follows:
- Materials are cross-cut shredded, incinerated, or pulped so that cardholder data cannot be reconstructed.
- Materials are stored in secure storage containers prior to destruction.
Customized Approach Objective:
Cardholder data cannot be recovered from media that has been destroyed or which is pending destruction.
Applicability Notes:
These requirements for media destruction when that media is no longer needed for business or legal reasons are separate and distinct from PCI DSS Requirement 3.2.1, which is for securely deleting cardholder data when no longer needed per the entity’s cardholder data retention policies.
Defined Approach Testing Procedures:
Cardholder data cannot be recovered from media that has been destroyed or which is pending destruction.
Applicability Notes:
These requirements for media destruction when that media is no longer needed for business or legal reasons are separate and distinct from PCI DSS Requirement 3.2.1, which is for securely deleting cardholder data when no longer needed per the entity’s cardholder data retention policies.
Defined Approach Testing Procedures:
- 9.4.6.a Examine the periodic media destruction policy to verify that procedures are defined to destroy hard-copy media with cardholder data when no longer needed for business or legal reasons in accordance with all elements specified in this requirement.
- 9.4.6.b Observe processes and interview personnel to verify that hard-copy materials are cross-cut shredded, incinerated, or pulped such that cardholder data cannot be reconstructed.
- 9.4.6.c Observe storage containers used for materials that contain information to be destroyed to verify that the containers are secure.
Purpose:
If steps are not taken to destroy information contained on hard-copy media before disposal, malicious individuals may retrieve information from the disposed media, leading to a data compromise. For example, malicious individuals may use a technique known as “dumpster diving,” where they search through trashcans and recycle bins looking for hard-copy materials with information they can use to launch an attack.
Securing storage containers used for materials that are going to be destroyed prevents sensitive information from being captured while the materials are being collected.
Good Practice:
Consider “to-be-shredded” containers with a lock that prevents access to its contents or that physically prevent access to the inside of the container.
Further Information:
See NIST Special Publication 800-88, Revision 1: Guidelines for Media Sanitization.
If steps are not taken to destroy information contained on hard-copy media before disposal, malicious individuals may retrieve information from the disposed media, leading to a data compromise. For example, malicious individuals may use a technique known as “dumpster diving,” where they search through trashcans and recycle bins looking for hard-copy materials with information they can use to launch an attack.
Securing storage containers used for materials that are going to be destroyed prevents sensitive information from being captured while the materials are being collected.
Good Practice:
Consider “to-be-shredded” containers with a lock that prevents access to its contents or that physically prevent access to the inside of the container.
Further Information:
See NIST Special Publication 800-88, Revision 1: Guidelines for Media Sanitization.
Requirement 9.4.7
9.4.7
Defined Approach Requirements:
Electronic media with cardholder data is destroyed when no longer needed for business or legal reasons via one of the following:
Defined Approach Requirements:
Electronic media with cardholder data is destroyed when no longer needed for business or legal reasons via one of the following:
- The electronic media is destroyed.
- The cardholder data is rendered unrecoverable so that it cannot be reconstructed.
Customized Approach Objective:
Cardholder data cannot be recovered from media that has been erased or destroyed.
Applicability Notes:
These requirements for media destruction when that media is no longer needed for business or legal reasons are separate and distinct from PCI DSS Requirement 3.2.1, which is for
securely deleting cardholder data when no longer needed per the entity’s cardholder data retention policies.
Defined Approach Testing Procedures:
Cardholder data cannot be recovered from media that has been erased or destroyed.
Applicability Notes:
These requirements for media destruction when that media is no longer needed for business or legal reasons are separate and distinct from PCI DSS Requirement 3.2.1, which is for
securely deleting cardholder data when no longer needed per the entity’s cardholder data retention policies.
Defined Approach Testing Procedures:
- 9.4.7.a Examine the periodic media destruction policy to verify that procedures are defined to destroy electronic media when no longer needed for business or legal reasons in accordance with all elements specified in this requirement.
- 9.4.7.b Observe the media destruction process and interview responsible personnel to verify that electronic media with cardholder data is destroyed via one of the methods specified in this requirement.
Purpose:
If steps are not taken to destroy information contained on electronic media when no longer needed, malicious individuals may retrieve information from the disposed media, leading to a data compromise. For example, malicious individuals may use a technique known as “dumpster diving,” where they search through trashcans and recycle bins looking for information they can use to launch an attack.
Good Practice:
The deletion function in most operating systems allows deleted data to be recovered, so instead, a dedicated secure deletion function or application should be used to make data unrecoverable.
Examples:
Methods for securely destroying electronic media include secure wiping in accordance with industry-accepted standards for secure deletion, degaussing, or physical destruction (such as grinding or shredding hard disks).
Further Information:
See NIST Special Publication 800-88, Revision 1: Guidelines for Media Sanitization
If steps are not taken to destroy information contained on electronic media when no longer needed, malicious individuals may retrieve information from the disposed media, leading to a data compromise. For example, malicious individuals may use a technique known as “dumpster diving,” where they search through trashcans and recycle bins looking for information they can use to launch an attack.
Good Practice:
The deletion function in most operating systems allows deleted data to be recovered, so instead, a dedicated secure deletion function or application should be used to make data unrecoverable.
Examples:
Methods for securely destroying electronic media include secure wiping in accordance with industry-accepted standards for secure deletion, degaussing, or physical destruction (such as grinding or shredding hard disks).
Further Information:
See NIST Special Publication 800-88, Revision 1: Guidelines for Media Sanitization
Стандарт Банка России № РС БР ИББС-2.9-2016 от 01.05.2016 "Предотвращение утечек информации":
Р. 7 п. 8
7.8. В части безопасного уничтожения бумажных и переносных носителей информации организации БС РФ рекомендуется:
– физически уничтожать не используемые более переносные носители информации, либо уничтожить, удалить, перезаписать информацию на них с использованием методов, позволяющих сделать исходную информацию невосстанавливаемой, вместо стандартных функций удаления или форматирования;
– установить и использовать средства уничтожения бумажных документов (шредеры) вблизи мест расположения средств печати и копирования информации;
– при необходимости выбирать шредеры исходя из степени конфиденциальности уничтожаемых документов, при этом рекомендуется использовать шредеры с перекрестной резкой.
– физически уничтожать не используемые более переносные носители информации, либо уничтожить, удалить, перезаписать информацию на них с использованием методов, позволяющих сделать исходную информацию невосстанавливаемой, вместо стандартных функций удаления или форматирования;
– установить и использовать средства уничтожения бумажных документов (шредеры) вблизи мест расположения средств печати и копирования информации;
– при необходимости выбирать шредеры исходя из степени конфиденциальности уничтожаемых документов, при этом рекомендуется использовать шредеры с перекрестной резкой.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.4.6
9.4.6
Определенные Требования к Подходу:
Печатные материалы с данными о держателях карт уничтожаются, когда они больше не нужны по деловым или юридическим причинам, следующим образом:
Определенные Требования к Подходу:
Печатные материалы с данными о держателях карт уничтожаются, когда они больше не нужны по деловым или юридическим причинам, следующим образом:
- Материалы разрезаются поперек, измельчаются, сжигаются или измельчаются в порошок, так что данные о владельцах карт не могут быть восстановлены.
- Материалы хранятся в безопасных контейнерах для хранения перед уничтожением.
Цель Индивидуального подхода:
Данные о владельце карты не могут быть восстановлены с носителя, который был уничтожен или который ожидает уничтожения.
Примечания по применению:
Эти требования к уничтожению носителей, когда они больше не нужны по деловым или юридическим причинам, являются отдельными и отличными от требования PCI DSS 3.2.1, которое предназначено для безопасного удаления данных о держателях карт, когда они больше не нужны, в соответствии с политикой хранения данных о держателях карт организации.
Определенные Процедуры Тестирования Подхода:
Данные о владельце карты не могут быть восстановлены с носителя, который был уничтожен или который ожидает уничтожения.
Примечания по применению:
Эти требования к уничтожению носителей, когда они больше не нужны по деловым или юридическим причинам, являются отдельными и отличными от требования PCI DSS 3.2.1, которое предназначено для безопасного удаления данных о держателях карт, когда они больше не нужны, в соответствии с политикой хранения данных о держателях карт организации.
Определенные Процедуры Тестирования Подхода:
- 9.4.6.a Изучите политику периодического уничтожения носителей, чтобы убедиться, что определены процедуры уничтожения печатных носителей с данными о держателях карт, когда они больше не нужны по деловым или юридическим причинам, в соответствии со всеми элементами, указанными в этом требовании.
- 9.4.6.b Наблюдайте за процессами и опрашивайте персонал, чтобы убедиться, что печатные материалы разрезаны поперек, измельчены, сожжены или измельчены таким образом, что данные о держателях карт не могут быть восстановлены.
- 9.4.6.c Наблюдайте за контейнерами для хранения, используемыми для материалов, содержащих информацию, подлежащую уничтожению, чтобы убедиться в безопасности контейнеров.
Цель:
Если перед утилизацией не будут приняты меры для уничтожения информации, содержащейся на бумажных носителях, злоумышленники могут извлечь информацию с утилизированных носителей, что приведет к компрометации данных. Например, злоумышленники могут использовать технику, известную как “погружение в мусорный контейнер”, когда они просматривают мусорные баки и мусорные баки в поисках печатных материалов с информацией, которую они могут использовать для запуска атаки.
Защита контейнеров для хранения, используемых для материалов, которые будут уничтожены, предотвращает захват конфиденциальной информации во время сбора материалов.
Надлежащая практика:
Рассмотрите контейнеры ”для измельчения" с замком, который предотвращает доступ к его содержимому, или которые физически препятствуют доступу к внутренней части контейнера.
Дополнительная информация:
См. В Специальной публикации NIST 800-88, Редакция 1: Руководство по санитарной обработке носителей.
Если перед утилизацией не будут приняты меры для уничтожения информации, содержащейся на бумажных носителях, злоумышленники могут извлечь информацию с утилизированных носителей, что приведет к компрометации данных. Например, злоумышленники могут использовать технику, известную как “погружение в мусорный контейнер”, когда они просматривают мусорные баки и мусорные баки в поисках печатных материалов с информацией, которую они могут использовать для запуска атаки.
Защита контейнеров для хранения, используемых для материалов, которые будут уничтожены, предотвращает захват конфиденциальной информации во время сбора материалов.
Надлежащая практика:
Рассмотрите контейнеры ”для измельчения" с замком, который предотвращает доступ к его содержимому, или которые физически препятствуют доступу к внутренней части контейнера.
Дополнительная информация:
См. В Специальной публикации NIST 800-88, Редакция 1: Руководство по санитарной обработке носителей.
Requirement 9.4.7
Примечания по применению:
Эти требования к уничтожению носителей, когда они больше не нужны по деловым или юридическим причинам, являются отдельными и отличными от требования PCI DSS 3.2.1, которое предназначено для
безопасного удаления данных о держателях карт, когда они больше не нужны, в соответствии с политикой хранения данных о держателях карт организации.
Определенные Процедуры Тестирования Подхода:
9.4.7
Определенные Требования к Подходу:
Электронный носитель с данными о держателе карты уничтожается, когда он больше не нужен по деловым или юридическим причинам, одним из следующих способов:
Определенные Требования к Подходу:
Электронный носитель с данными о держателе карты уничтожается, когда он больше не нужен по деловым или юридическим причинам, одним из следующих способов:
- Электронные носители информации уничтожены.
- Данные о владельце карты становятся невосстановимыми, так что их невозможно восстановить.
Цель Индивидуального подхода:
Данные о владельце карты не могут быть восстановлены с носителя, который был стерт или уничтожен.
Данные о владельце карты не могут быть восстановлены с носителя, который был стерт или уничтожен.
Примечания по применению:
Эти требования к уничтожению носителей, когда они больше не нужны по деловым или юридическим причинам, являются отдельными и отличными от требования PCI DSS 3.2.1, которое предназначено для
безопасного удаления данных о держателях карт, когда они больше не нужны, в соответствии с политикой хранения данных о держателях карт организации.
Определенные Процедуры Тестирования Подхода:
- 9.4.7.a Изучите политику периодического уничтожения носителей, чтобы убедиться, что определены процедуры уничтожения электронных носителей, когда они больше не нужны по деловым или юридическим причинам, в соответствии со всеми элементами, указанными в этом требовании.
- 9.4.7.b Наблюдайте за процессом уничтожения носителей и опросите ответственный персонал, чтобы убедиться, что электронные носители с данными о держателях карт уничтожены одним из способов, указанных в этом требовании.
Цель:
Если не будут приняты меры для уничтожения информации, содержащейся на электронных носителях, когда она больше не нужна, злоумышленники могут извлечь информацию с утилизированных носителей, что приведет к компрометации данных. Например, злоумышленники могут использовать технику, известную как “погружение в мусорный контейнер”, когда они просматривают мусорные баки и мусорные баки в поисках информации, которую они могут использовать для запуска атаки.
Надлежащая практика:
Функция удаления в большинстве операционных систем позволяет восстановить удаленные данные, поэтому вместо этого следует использовать специальную функцию безопасного удаления или приложение, чтобы сделать данные невосстановимыми.
Примеры:
Способы безопасного уничтожения электронных носителей включают безопасную очистку в соответствии с принятыми в отрасли стандартами для безопасного удаления, размагничивания или физического уничтожения (например, измельчения или измельчения жестких дисков).
Дополнительная информация:
См. Специальную публикацию NIST 800-88, Редакция 1: Руководство по санитарной обработке носителей
Если не будут приняты меры для уничтожения информации, содержащейся на электронных носителях, когда она больше не нужна, злоумышленники могут извлечь информацию с утилизированных носителей, что приведет к компрометации данных. Например, злоумышленники могут использовать технику, известную как “погружение в мусорный контейнер”, когда они просматривают мусорные баки и мусорные баки в поисках информации, которую они могут использовать для запуска атаки.
Надлежащая практика:
Функция удаления в большинстве операционных систем позволяет восстановить удаленные данные, поэтому вместо этого следует использовать специальную функцию безопасного удаления или приложение, чтобы сделать данные невосстановимыми.
Примеры:
Способы безопасного уничтожения электронных носителей включают безопасную очистку в соответствии с принятыми в отрасли стандартами для безопасного удаления, размагничивания или физического уничтожения (например, измельчения или измельчения жестких дисков).
Дополнительная информация:
См. Специальную публикацию NIST 800-88, Редакция 1: Руководство по санитарной обработке носителей
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ЗНИ.8
ЗНИ.8 Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания)
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗНИ.8
ЗНИ.8 Уничтожение (стирание) информации на машинных носителях информации
NIST Cybersecurity Framework (EN):
PR.IP-6
PR.IP-6: Data is destroyed according to policy
PR.DS-3
PR.DS-3: Assets are formally managed throughout removal, transfers, and disposition
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗНИ.8
ЗНИ.8 Уничтожение (стирание) информации на машинных носителях информации
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.