Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

NIST Cybersecurity Framework (EN)

Framework

PR.DS-3

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

CIS Critical Security Controls v8 (The 18 CIS CSC):
1.2
1.2 Address Unauthorized Assets 
Ensure that a process exists to address unauthorized assets on a weekly basis. The enterprise may choose to remove the asset from the network, deny the asset from connecting remotely to the network, or quarantine the asset. 
1.1
1.1 Establish and Maintain Detailed Enterprise Asset Inventory
Establish and maintain an accurate, detailed, and up-to-date inventory of all enterprise assets with the potential to store or process data, to include: end-user devices (including portable and mobile), network devices, noncomputing/IoT devices, and servers. Ensure the inventory records the network address (if static), hardware address, machine name, enterprise asset owner, department for each asset, and whether the asset has been approved to connect to the network. For mobile end-user devices, MDM type tools can support this process, where appropriate. This inventory includes assets connected to the infrastructure physically, virtually, remotely, and those within cloud environments. Additionally, it includes assets that are regularly connected to the enterprise’s network infrastructure, even if they are not under control of the enterprise. Review and update the inventory of all enterprise assets bi-annually, or more frequently. 
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 7 п. 5 пп. 3 ппп. 2
 7.5.3.2 Для управления документированной информацией организация должка рассмотреть следующие виды действий с документацией: 
  • а) распространение, доступ, поиск и использование; 
  • b) хранение и сохранение, в том числе сохранение разборчивости; 
  • с) управление изменениями (например, управление версиями); 
  • d) хранение и распоряжение (в том числе утилизация). 
Документированная информация внешнего происхождения, необходимая организации для планирования и эксплуатации СМНД должна быть идентифицирована, и при необходимости должна контролироваться.

Примечание — Доступ может подразумевать решение относительно разрешения только на просмотр документированной информации или на просмотр и изменение документированной информации. 
NIST Cybersecurity Framework (RU):
PR.DS-3
PR.DS-3: Регулируется и контролируется удаление, передача и утилизация активов. 
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗНИ.8 ЗНИ.8 Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
РВН.4.3
РВН.4.3 Организация и контроль возврата всех принадлежащих финансовой организации объектов информатизации, переданных соответствующему работнику в рамках исполнения им должностных обязанностей.
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
1.2
1.2 Регулярно устраняются неавторизованные устройства
Есть регламентированная процедура для обращения с неавторизованными устройствами.
Процедура запускается не реже 1 раза в неделю. 
Есть правила, как поступать с неавторизованными устройствами, например: удалять из сети, запрещать удаленное подключение к сети или помещать устройство в карантин.
1.1
1.1 Создан и поддерживается детальный реестр устройств предприятия
Список включает все оборудование, которое может хранить или обрабатывать корпоративные данные: конечные пользовательские устройства, включая мобильные и портативные, сетевое оборудование, устройства IoT и серверы, в том числе облачные. 
В реестр записаны все устройства, которые регулярно подключаются к корпоративной сетевой инфраструктуре физически, удаленно или виртуально, даже если они не контролируются организацией. 
Записи реестра содержат сетевой адрес (если он статический), аппаратный адрес, имя машины, ее владельца, подразделение и разрешение на подключение к сети. Для мобильных конечных устройств собрать эту информацию помогают инструменты типа MDM.
Реестр пересматривается и обновляется каждые полгода или чаще.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.4.4
9.4.4
Defined Approach Requirements: 
Management approves all media with cardholder data that is moved outside the facility (including when media is distributed to individuals). 

Customized Approach Objective:
Media cannot leave a facility without the approval of accountable personnel. 

Applicability Notes:
Individuals approving media movements should have the appropriate level of management authority to grant this approval. However, it is not specifically required that such individuals have “manager” as part of their title. 

Defined Approach Testing Procedures:
  • 9.4.4.a Examine documentation to verify that procedures are defined to ensure that media moved outside the facility is approved by management. 
  • 9.4.4.b Examine offsite media tracking logs and interview responsible personnel to verify that proper management authorization is obtained for all media moved outside the facility (including media distributed to individuals). 
Purpose:
Without a firm process for ensuring that all media movements are approved before the media is removed from secure areas, the media would not be tracked or appropriately protected, and its location would be unknown, leading to lost or stolen media. 
Requirement 9.4.3
9.4.3
Defined Approach Requirements: 
 Media with cardholder data sent outside the facility is secured as follows:
  • Media sent outside the facility is logged.
  • Media is sent by secured courier or other delivery method that can be accurately tracked.
  • Offsite tracking logs include details about media location. 
Customized Approach Objective:
Media is secured and tracked when transported outside the facility. 

Defined Approach Testing Procedures:
  • 9.4.3.a Examine documentation to verify that procedures are defined for securing media sent outside the facility in accordance with all elements specified in this requirement. 
  • 9.4.3.b Interview personnel and examine records to verify that all media sent outside the facility is logged and sent via secured courier or other delivery method that can be tracked. 
  • 9.4.3.c Examine offsite tracking logs for all media to verify tracking details are documented. 
Purpose:
Media may be lost or stolen if sent via a nontrackable method such as regular postal mail. The use of secure couriers to deliver any media that contains cardholder data allows organizations to use their tracking systems to maintain inventory and location of shipments. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.8.3.2
A.8.3.2 Утилизация носителей информации 
Мера обеспечения информационной безопасности: При выводе из эксплуатации носителей информации требуется их надежно и безопасно утилизировать, используя формализованные процедуры 
A.11.2.5
A.11.2.5 Перемещение активов 
Мера обеспечения информационной безопасности: Вынос оборудования, информации или программного обеспечения за пределы площадки эксплуатации без предварительного разрешения необходимо исключить 
A.8.3.1
A.8.3.1 Управление сменными носителями информации 
Мера обеспечения информационной безопасности: Должны быть реализованы процедуры по управлению сменными носителями информации в соответствии с принятой в организации системой категорирования информации 
A.8.3.3
A.8.3.3 Перемещение физических носителей
Мера обеспечения информационной безопасности: Во время транспортирования носители информации, содержащие информацию, должны быть защищены от несанкционированного доступа, ненадлежащего использования или повреждения 
A.8.2.3
A.8.2.3 Обращение с активами 
Мера обеспечения информационной безопасности: Должны быть разработаны и реализованы процедуры обращения с активами в соответствии с принятой в организации системой категорирования информации.
A.11.2.7
A.11.2.7 Безопасная утилизация или повторное использование оборудования 
Мера обеспечения информационной безопасности: Все компоненты оборудования, содержащие носители данных, необходимо проверять с целью обеспечения уверенности, что вся защищаемая информация и лицензионное программное обеспечение были удалены или перезаписаны безопасным образом до утилизации или повторного использования этих компонентов оборудования 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 13.2 CSC 13.2 Remove Sensitive Data or Systems Not Regularly Accessed by Organization
Remove sensitive data or systems not regularly accessed by the organization from the network. These systems shall only be used as stand-alone systems (disconnected from the network) by the business unit needing to occasionally use the system or completely virtualized and powered off until needed.
CSC 1.4 CSC 1.4 Maintain Detailed Asset Inventory
Maintain an accurate and up-to-date inventory of all technology assets with the potential to store or process information. This inventory shall include all hardware assets, whether connected to the organization's network or not.
CSC 1.6 CSC 1.6 Address Unauthorized Assets
Ensure that unauthorized assets are either removed from the network, quarantined, or the inventory is updated in a timely manner.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.4.4
9.4.4
Определенные Требования к Подходу:
Руководство согласовывает перемещение всех носителей с данными о держателях карт, которые перемещаются за пределы учреждения (в том числе, когда носители распространяются среди физических лиц).

Цель Индивидуального подхода:
Носители не могут покидать объект без разрешения ответственного персонала.

Примечания по применению:
Лица, одобряющие движения носителей, должны иметь соответствующий уровень управленческих полномочий для предоставления такого одобрения. Однако специально не требуется, чтобы у таких лиц было “менеджер” в качестве части их должности.

Определенные Процедуры Тестирования Подхода:
  • 9.4.4.a Изучите документацию, чтобы убедиться, что определены процедуры, гарантирующие, что носители, перемещаемые за пределы объекта, одобрены руководством.
  • 9.4.4.b Изучите журналы отслеживания носителей за пределами объекта и опросите ответственный персонал, чтобы убедиться, что получено надлежащее разрешение руководства на все средства массовой информации, перемещаемые за пределы объекта (включая средства массовой информации, распространяемые среди физических лиц).
Цель:
Без четкого процесса обеспечения того, чтобы все перемещения носителей были одобрены до того, как носители будут удалены из безопасных зон, носители не будут отслеживаться или надлежащим образом защищены, а их местоположение будет неизвестно, что приведет к потере или краже носителей.
Requirement 9.4.3
9.4.3
Определенные Требования к Подходу:
Носитель с данными о держателях карт, отправляемый за пределы учреждения, защищается следующим образом:
  • Носители, отправленные за пределы объекта, регистрируются.
  • Носитель отправляется защищенным курьером или другим способом доставки, который можно точно отследить.
  • Журналы отслеживания за пределами сайта содержат подробную информацию о местоположении носителя.
Цель Индивидуального подхода:
Носитель защищен и отслеживается при транспортировке за пределы объекта.

Определенные Процедуры Тестирования Подхода:
  • 9.4.3.a Изучите документацию, чтобы убедиться, что процедуры определены для обеспечения безопасности носителей, отправляемых за пределы объекта, в соответствии со всеми элементами, указанными в этом требовании.
  • 9.4.3.b Опросите персонал и изучите записи, чтобы убедиться, что все материалы, отправленные за пределы объекта, регистрируются и отправляются через защищенного курьера или другим способом доставки, который можно отследить.
  • 9.4.3.c Изучите журналы отслеживания за пределами сайта для всех носителей, чтобы убедиться, что детали отслеживания задокументированы.
Цель:
Носитель может быть утерян или украден, если он отправлен с помощью не отслеживаемого способа, такого как обычная почтовая почта. Использование надежных курьеров для доставки любых носителей, содержащих данные о держателях карт, позволяет организациям использовать свои системы отслеживания для ведения инвентаризации и определения местоположения отправлений.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ЗНИ.8 ЗНИ.8 Уничтожение (стирание) информации на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания)
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.7.10
А.7.10 Носители информации
В соответствии со схемой категорирования организации и требованиями по обращению с носителями информации эти носители должны управляться на протяжении их жизненного цикла приобретения, использования, транспортировки и утилизации.
А.5.11
А.5.11 Возврат активов
Персонал и иные заинтересованные стороны, в зависимости от обстоятельств, в случае изменении или прекращении их работы, контракта или соглашения должны вернуть все активы организации, находящиеся в их владении.
А.7.8
А.7.8 Размещение и защита оборудования
Оборудование должно защищаться и безопасно размещаться.
А.7.14
А.7.14 Безопасное уничтожение или повторное использование оборудования
Перед утилизацией или повторным использованием элементы оборудования, содержащие носители информации, должны быть проверены на предмет того, что любые критичные данные и лицензионное программное обеспечение были удалены или надежно перезаписаны.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗНИ.8 ЗНИ.8 Уничтожение (стирание) информации на машинных носителях информации
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗНИ.8 ЗНИ.8 Уничтожение (стирание) информации на машинных носителях информации
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.7.8
А.7.8 Equipment siting and protection
Equipment shall be sited securely and protected.
А.7.10
А.7.10 Storage media
Storage media shall be managed through its life cycle of acquisition, use, transportation and disposal in accordance with the organization’s classification scheme and handling requirements.
А.5.11
А.5.11 Return of assets
Personnel and other interested parties as appropriate shall return all the organization’s assets in their possession upon change or termination of their employment, contract or agreement. 
А.7.14
А.7.14 Secure disposal or re-use of equipment
Items of equipment containing storage media shall be verified to ensure that any sensitive data and licensed software has been removed or securely overwritten prior to disposal or re-use.

Связанные защитные меры

Ничего не найдено