Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

NIST Cybersecurity Framework (EN)

Framework

PR.DS-5

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

CIS Critical Security Controls v8 (The 18 CIS CSC):
3.13
3.13 Deploy a Data Loss Prevention Solution 
Implement an automated tool, such as a host-based Data Loss Prevention (DLP) tool to identify all sensitive data stored, processed, or transmitted through enterprise assets, including those located onsite or at a remote service provider, and update the enterprise’s sensitive data inventory 
NIST Cybersecurity Framework (RU):
PR.DS-5
PR.DS-5:  Реализована защита от утечки данных
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗТС.1 ЗТС.1 Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам
ЗИС.16 ЗИС.16 Выявление, анализ и блокирование в информационной системы скрытых каналов передачи информации в обход реализованных мер или внутри разрешенных сетевых протоколов
ЗИС.8 ЗИС.8 Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи
ЗИС.9 ЗИС.9 Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
3.13
3.13 Развернуты решения для предотвращения утечки данных (например, DLP)
Развернуть DLP-решение
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.10.7
12.10.7
Defined Approach Requirements: 
 Incident response procedures are in place, to be initiated upon the detection of stored PAN anywhere it is not expected, and include:
  • Determining what to do if PAN is discovered outside the CDE, including its retrieval, secure deletion, and/or migration into the currently defined CDE, as applicable.
  • Identifying whether sensitive authentication data is stored with PAN.
  • Determining where the account data came from and how it ended up where it was not expected.
  • Remediating data leaks or process gaps that resulted in the account data being where it was not expected. 
Customized Approach Objective:
Processes are in place to quickly respond, analyze, and address situations in the event that cleartext PAN is detected where it is not expected. 

Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 

Defined Approach Testing Procedures:
  • 12.10.7.a Examine documented incident response procedures to verify that procedures for responding to the detection of stored PAN anywhere it is not expected to exist, ready to be initiated, and include all elements specified in this requirement. 
  • 12.10.7.b Interview personnel and examine records of response actions to verify that incident response procedures are performed upon detection of stored PAN anywhere it is not expected. 
Purpose:
Having documented incident response procedures that are followed in the event that stored PAN is found anywhere it is not expected to be, helps to identify the necessary remediation actions and prevent future leaks. 

Good Practice:
If PAN was found outside the CDE, analysis should be performed to 1) determine whether it was saved independently of other data or with sensitive authentication data, 2) identify the source of the data, and 3) identify the control gaps that resulted in the data being outside the CDE. 
Entities should consider whether there are contributory factors, such as business processes, user behavior, improper system configurations, etc. that caused the PAN to be stored in an unexpected location. If such contributory factors are present, they should be addressed per this Requirement to prevent recurrence. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.13.2.4
A.13.2.4 Соглашения о конфиденциальности или неразглашении 
Мера обеспечения информационной безопасности: Требования в отношении соглашений о конфиденциальности или неразглашении, отражающие потребности организации в обеспечении защиты информации, должны быть идентифицированы, документально оформлены и регулярно пересматриваться 
A.7.3.1
A.7.3.1  Прекращение или изменение трудовых обязанностей 
Мера обеспечения информационной безопасности: Ответственность и обязанности, относящиеся к информационной безопасности, которые сохраняются после увольнения или смены места работы, должны быть определены, доведены до сведения работника или подрядчика и оформлены юридически 
A.8.2.2
A.8.2.2 Маркировка информации 
Мера обеспечения информационной безопасности: Должен быть разработан и реализован соответствующий набор процедур маркировки информации в соответствии с принятой в организации системой категорирования информации 
A.6.1.2
A.6.1.2 Разделение обязанностей 
Мера обеспечения информационной безопасности: Средства реализации: Вступающие в противоречие друг с другом обязанности и области ответственности должны быть разделены для снижения возможности несанкционированного или ненамеренного изменения или неправильного применения активов организации.
A.13.2.3
A.13.2.3 Электронный обмен сообщениями 
Мера обеспечения информационной безопасности: Следует обеспечивать соответствующую защиту информации при электронном обмене сообщениями 
A.13.1.3
A.13.1.3 Разделение в сетях 
Мера обеспечения информационной безопасности: Группы информационных сервисов, пользователей и информационных систем в сети должны быть разделены 
A.9.4.5
A.9.4.5 Управление доступом к исходному тексту программы 
Мера обеспечения информационной безопасности: Доступ к исходному тексту программы должен быть ограничен 
A.13.2.1
A.13.2.1 Политики и процедуры передачи информации 
Мера обеспечения информационной безопасности: Должны существовать формализованные политики и процедуры передачи информации, а также соответствующие меры обеспечения информационной безопасности, обеспечивающие защиту информации, передаваемой с использованием всех видов средств связи 
A.13.1.1
A.13.1.1 Меры обеспечения информационной безопасности для сетей 
Мера обеспечения информационной безопасности: Сети должны управляться и контролироваться для обеспечения защиты информации систем и приложений 
A.9.4.1
A.9.4.1 Ограничение доступа к информации 
Мера обеспечения информационной безопасности: Доступ к информации и функциям прикладных систем должен быть ограничен в соответствии с политикой управления доступом 
A.9.4.4
A.9.4.4 Использование привилегированных служебных программ 
Мера обеспечения информационной безопасности: Использование служебных программ, которые могли бы обойти меры обеспечения информационной безопасности систем и приложений, следует ограничивать и строго контролировать 
A.14.1.3
A.14.1.3 Защита транзакций прикладных сервисов 
Мера обеспечения информационной безопасности: Информацию, используемую в транзакциях прикладных сервисов, следует защищать для предотвращения неполной передачи, ложной маршрутизации, несанкционированного изменения, раскрытия, дублирования или воспроизведения сообщений 
A.11.1.5
A.11.1.5 Работа в зонах безопасности 
Мера обеспечения информационной безопасности: Должны быть разработаны и применены процедуры для работы в зонах безопасности 
A.11.1.4
A.11.1.4 Защита от внешних угроз и угроз со стороны окружающей среды 
Мера обеспечения информационной безопасности: Должны быть разработаны и реализованы меры физической защиты от стихийных бедствий, злоумышленных атак или аварий 
A.10.1.1
A.10.1.1 Политика использования криптографических мер и средств защиты информации 
Мера обеспечения информационной безопасности: Должна быть разработана и внедрена политика использования криптографических мер и средств для обеспечения защиты информации 
A.9.1.1
А.9.1.1 Политика управления доступом 
Мера обеспечения информационной безопасности: Политика управления доступом должна быть разработана, документирована и должна пересматриваться с учетом требований бизнеса и информационной безопасности 
A.11.2.1
A.11.2.1 Размещение и защита оборудования 
Мера обеспечения информационной безопасности: Оборудование должно быть размещено и защищено таким образом, чтобы снизить риски информационной безопасности от угроз и опасностей со стороны окружающей среды и возможности несанкционированного доступа 
A.7.1.1
A.7.1.1  Проверка 
Мера обеспечения информационной безопасности: Проверку всех кандидатов при приеме на работу следует осуществлять согласно соответствующим законам, правилам и этическим нормам. Проверка должна быть соразмерна требованиям бизнеса, категории информации, которая будет доступна, и предполагаемым рискам информационной безопасности 
A.7.1.2
A.7.1.2  Правила и условия работы
Мера обеспечения информационной безопасности: В договорных соглашениях с работниками и подрядчиками должны быть установлены их обязанности и обязанности организации по обеспечению информационной безопасности 
A.9.1.2
А.9.1.2 Доступ к сетям и сетевым сервисам 
Мера обеспечения информационной безопасности: Пользователям следует предоставлять доступ только к тем сетям и сетевым сервисам, на использование которых они получили конкретное разрешение 
A.8.2.3
A.8.2.3 Обращение с активами 
Мера обеспечения информационной безопасности: Должны быть разработаны и реализованы процедуры обращения с активами в соответствии с принятой в организации системой категорирования информации.
A.9.2.3
A.9.2.3 Управление привилегированными правами доступа 
Мера обеспечения информационной безопасности: Распределение и использование привилегированных прав доступа следует ограничивать и контролировать 
A.14.1.2
A.14.1.2 Обеспечение безопасности прикладных сервисов, предоставляемых с использованием сетей общего пользования 
Мера обеспечения информационной безопасности: Информация, используемая в прикладных сервисах и передаваемая по сетям общего пользования, должна быть защищена от мошеннической деятельности, оспаривания договоров, а также несанкционированного раскрытия и модификации 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 13.3 CSC 13.3 Monitor and Block Unauthorized Network Traffic
Deploy an automated tool on network perimeters that monitors for unauthorized transfer of sensitive information and blocks such transfers while alerting information security professionals.
CSC 14.7 CSC 14.7 Enforce Access Control to Data Through Automated Tools
Use an automated tool, such as host-based Data Loss Prevention, to enforce access controls to data even when data is copied off a system.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.10.7
12.10.7
Определенные Требования к Подходу:
Существуют процедуры реагирования на инциденты, которые должны быть инициированы при обнаружении сохраненной информации в любом месте, где она не ожидается, и включают:
  • Определение того, что делать, если PAN обнаружен за пределами CDE, включая его извлечение, безопасное удаление и/или перенос в текущий определенный CDE, в зависимости от обстоятельств.
  • Определение того, хранятся ли конфиденциальные данные аутентификации с помощью PAN.
  • Определение того, откуда взялись данные учетной записи и как они оказались там, где их не ожидали.
  • Устранение утечек данных или пробелов в процессах, которые привели к тому, что данные учетной записи оказались там, где их не ожидали.
Цель Индивидуального подхода:
Существуют процессы для быстрого реагирования, анализа и устранения ситуаций в случае обнаружения открытого текстового сообщения там, где этого не ожидается.

Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:
  • 12.10.7.a Изучить документированные процедуры реагирования на инциденты, чтобы убедиться, что процедуры реагирования на обнаружение сохраненного PAN в любом месте, где его не ожидается, существуют, готовы к запуску и включают все элементы, указанные в этом требовании.
  • 12.10.7.b Опросите персонал и изучите записи о действиях реагирования, чтобы убедиться, что процедуры реагирования на инциденты выполняются при обнаружении сохраненного PAN в любом месте, где это не ожидается.
Цель:
Наличие документированных процедур реагирования на инциденты, которые выполняются в случае обнаружения сохраненного PAN там, где его не ожидается, помогает определить необходимые действия по устранению неполадок и предотвратить будущие утечки.

Надлежащая практика:
Если PAN был обнаружен за пределами CDE, следует выполнить анализ, чтобы 1) определить, был ли он сохранен независимо от других данных или с конфиденциальными данными аутентификации, 2) определить источник данных и 3) выявить пробелы в контроле, которые привели к тому, что данные оказались за пределами CDE.
Организации должны рассмотреть, существуют ли способствующие факторы, такие как бизнес-процессы, поведение пользователей, неправильные конфигурации системы и т.д., Которые привели к хранению PAN в неожиданном месте. Если такие способствующие факторы присутствуют, они должны быть устранены в соответствии с этим Требованием, чтобы предотвратить повторение.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ЗТС.1 ЗТС.1 Защита информации, обрабатываемой техническими средствами, от ее утечки по техническим каналам
ЗИС.16 ЗИС.16 Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов
ЗИС.8 ЗИС.8 Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи
ЗИС.9 ЗИС.9 Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации
Strategies to Mitigate Cyber Security Incidents (EN):
2.10.
Outbound web and email data loss prevention. Block unapproved cloud computing services. Log recipient, size and frequency of outbound emails. Block and log emails with sensitive words or data patterns.
Relative Security Effectiveness:  Very Good | Potential User Resistance:   Medium | Upfront Cost:  Medium | Ongoing Maintenance Cost:  Medium
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.4
А.8.4 Доступ к исходному коду
Должен управляться соответствующим  образом доступ к исходному коду, а также к средствам разработки и программным библиотекам.
А.8.12
А.8.12 Защита от утечки данных
В отношении систем, сетей и любых иных устройств, которые обрабатывают, хранят или передают критичную информацию должны применяться меры по предотвращению утечки данных.
А.6.6
А.6.6 Соглашения о конфиденциальности или неразглашении
Должны быть идентифицированы, задокументированы, регулярно пересматриваться и подписываться персоналом и иными соответствующими заинтересованными сторонами соглашения о конфиденциальности или неразглашении, отражающие потребности организации в защите информации.
А.5.3
А.5.3 Разделение обязанностей
Должны быть разделены противоречивые обязанности и области ответственности.
А.5.14
А.5.14 Передача информации
Для всех видов средств передачи информации внутри организации и между организацией и другими сторонами должны действовать правила, процедуры или соглашения по передаче информации.
А.8.3
А.8.3 Ограничение доступа к информации
Доступ к информационным и иным связанным с ними активам должен быть ограничен в соответствии с установленной специфической тематической политикой управления доступом.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗТС.1 ЗТС.1 Защита информации от утечки по техническим каналам
ЗИС.17 ЗИС.17 Защита информации от утечек
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗТС.1 ЗТС.1 Защита информации от утечки по техническим каналам
ЗИС.17 ЗИС.17 Защита информации от утечек
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.12
А.8.12 Data leakage prevention
Data leakage prevention measures shall be applied to systems, networks and any other devices that process, store or transmit sensitive information.
А.6.6
А.6.6 Confidentiality or non-disclosure agreements
Confidentiality or non-disclosure agreements reflecting the organization’s needs for the protection of information shall be identified, documented, regularly reviewed and signed by personnel and other relevant interested parties.
А.8.4
А.8.4 Access to source code
Read and write access to source code, development tools and software libraries shall be appropriately managed.
А.8.3
А.8.3 Information access restriction
Access to information and other associated assets shall be restricted in accordance with the established topic-specific policy on access control.
А.5.14
А.5.14 Information transfer
Information transfer rules, procedures, or agreements shall be in place for all types of transfer facilities within the organization and between the organization and other parties.
А.5.3
А.5.3 Segregation of duties
Conflicting duties and areas of responsibility shall be segregated.