Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям ГОСТ Р № ИСО/МЭК 27001-2021 от... A.8.3.3
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022

Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А

A.8.3.3

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 4 п.п. 8
7.4.8. В организации БС РФ должен быть определен, выполняться и контролироваться порядок использования съемных носителей информации.
Р. 7 п. 3 п.п. 13
7.3.13. На стадии эксплуатации АБС должны быть определены, выполняться и контролироваться процедуры, необходимые для обеспечения сохранности носителей защищаемой информации.
NIST Cybersecurity Framework (RU):
PR.PT-2
PR.PT-2: Съемные носители информации защищены, и их использование ограничено в соответствии с политикой 
PR.DS-3
PR.DS-3: Регулируется и контролируется удаление, передача и утилизация активов. 
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗНИ.4 ЗНИ.4 Исключение возможности несанкционированного ознакомления с содержанием персональных данных,хранящихся на машинных носителях, и (или) использования носителей персональных данных в иных информационных системах
ЗНИ.2 ЗНИ.2 Управление доступом к машинным носителям персональных данных
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.4.3
9.4.3
Defined Approach Requirements: 
 Media with cardholder data sent outside the facility is secured as follows:
  • Media sent outside the facility is logged.
  • Media is sent by secured courier or other delivery method that can be accurately tracked.
  • Offsite tracking logs include details about media location. 
Customized Approach Objective:
Media is secured and tracked when transported outside the facility. 

Defined Approach Testing Procedures:
  • 9.4.3.a Examine documentation to verify that procedures are defined for securing media sent outside the facility in accordance with all elements specified in this requirement. 
  • 9.4.3.b Interview personnel and examine records to verify that all media sent outside the facility is logged and sent via secured courier or other delivery method that can be tracked. 
  • 9.4.3.c Examine offsite tracking logs for all media to verify tracking details are documented. 
Purpose:
Media may be lost or stolen if sent via a nontrackable method such as regular postal mail. The use of secure couriers to deliver any media that contains cardholder data allows organizations to use their tracking systems to maintain inventory and location of shipments. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.4.3
9.4.3
Определенные Требования к Подходу:
Носитель с данными о держателях карт, отправляемый за пределы учреждения, защищается следующим образом:
  • Носители, отправленные за пределы объекта, регистрируются.
  • Носитель отправляется защищенным курьером или другим способом доставки, который можно точно отследить.
  • Журналы отслеживания за пределами сайта содержат подробную информацию о местоположении носителя.
Цель Индивидуального подхода:
Носитель защищен и отслеживается при транспортировке за пределы объекта.

Определенные Процедуры Тестирования Подхода:
  • 9.4.3.a Изучите документацию, чтобы убедиться, что процедуры определены для обеспечения безопасности носителей, отправляемых за пределы объекта, в соответствии со всеми элементами, указанными в этом требовании.
  • 9.4.3.b Опросите персонал и изучите записи, чтобы убедиться, что все материалы, отправленные за пределы объекта, регистрируются и отправляются через защищенного курьера или другим способом доставки, который можно отследить.
  • 9.4.3.c Изучите журналы отслеживания за пределами сайта для всех носителей, чтобы убедиться, что детали отслеживания задокументированы.
Цель:
Носитель может быть утерян или украден, если он отправлен с помощью не отслеживаемого способа, такого как обычная почтовая почта. Использование надежных курьеров для доставки любых носителей, содержащих данные о держателях карт, позволяет организациям использовать свои системы отслеживания для ведения инвентаризации и определения местоположения отправлений.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ЗНИ.2 ЗНИ.2 Управление доступом к машинным носителям информации
ЗНИ.4 ЗНИ.4 Исключение возможности несанкционированного ознакомления с содержанием информации, хранящейся на машинных носителях, и (или) использования носителей информации в иных информационных системах
ЗНИ.3 ЗНИ.3 Контроль перемещения машинных носителей информации за пределы контролируемой зоны
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗНИ.2 ЗНИ.2 Управление физическим доступом к машинным носителям информации
ЗНИ.4 ЗНИ.4 Исключение возможности несанкционированного чтения информации на машинных носителях информации
ЗНИ.3 ЗНИ.3 Контроль перемещения машинных носителей информации за пределы контролируемой зоны
NIST Cybersecurity Framework (EN):
PR.PT-2 PR.PT-2: Removable media is protected and its use restricted according to policy
PR.DS-3 PR.DS-3: Assets are formally managed throughout removal, transfers, and disposition
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗНИ.2 ЗНИ.2 Управление физическим доступом к машинным носителям информации
ЗНИ.4 ЗНИ.4 Исключение возможности несанкционированного чтения информации на машинных носителях информации
ЗНИ.1 ЗНИ.1 Учет машинных носителей информации
ЗНИ.3 ЗНИ.3 Контроль перемещения машинных носителей информации за пределы контролируемой зоны
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
8.3.3
8.3.3 Перемещение физических носителей

Мера обеспечения ИБ
Во время транспортировки носители информации, содержащие информацию, должны быть защищены от несанкционированного доступа, ненадлежащего использования или повреждения.

Руководство по применению
Для защиты носителей информации, подлежащих транспортировке, должны быть приняты во внимание следующие рекомендации:
  • a) должен использоваться надежный транспорт или курьеры;
  • b) перечень авторизованных курьеров должен быть согласован с руководством;
  • c) должны быть разработаны процедуры для идентификации курьеров;
  • d) упаковка должна обеспечивать защиту содержимого от любых физических повреждений, которые могут возникнуть в ходе транспортировки, и соответствовать требованиям производителей, например обеспечивать защиту от воздействия любых факторов окружающей среды, которые могут снизить возможность восстановления носителей, таких как тепло, влага или электромагнитные поля;
  • e) должны регистрироваться записи о содержании носителей, применяемых мерах обеспечения ИБ, а также о времени передачи курьеру для транспортировки и времени получения в пункте назначения.
Дополнительная информация
Информация может быть уязвимой к несанкционированному доступу, нецелевому использованию или повреждению в ходе транспортировки, например при отправке носителя через почтовую службу или курьером. В этом случае носители включают в себя и бумажные документы.
В тех случаях, когда конфиденциальная информация на носителе не зашифрована, следует рассмотреть вопрос о дополнительной физической защите носителя.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.