Куда я попал?
NIST Cybersecurity Framework (RU)
Framework
PR.PT-2
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
CIS Critical Security Controls v8 (The 18 CIS CSC):
10.3
10.3 Disable Autorun and Autoplay for Removable Media
Disable autorun and autoplay auto-execute functionality for removable media.
Disable autorun and autoplay auto-execute functionality for removable media.
3.9
3.9 Encrypt Data on Removable Media
Encrypt data on removable media.
Encrypt data on removable media.
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 7 п. 5 пп. 3 ппп. 1
7.5.3.1 Организация должна управлять документированной информацией, соответствующей требованиям СМНД и настоящему стандарту для обеспечения:
- а) доступности и пригодности ее использования, где и когда это необходимо;
- b) надлежащей защиты (например, от потери конфиденциальности, ненадлежащего использования или утраты целостности).
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗНИ.7
ЗНИ.7 Контроль подключения машинных носителей персональных данных
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
10.3
10.3 Реализован запрет автоматического запуска для съемных носителей информации
Запретить автозапуск для съемных носителей.
Запретить автозапуск для съемных носителей.
3.9
3.9 Реализовано шифрование данных на съемных носителях
Шифровать данные на съемных носителях
Шифровать данные на съемных носителях
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.4.3
9.4.3
Defined Approach Requirements:
Media with cardholder data sent outside the facility is secured as follows:
Defined Approach Requirements:
Media with cardholder data sent outside the facility is secured as follows:
- Media sent outside the facility is logged.
- Media is sent by secured courier or other delivery method that can be accurately tracked.
- Offsite tracking logs include details about media location.
Customized Approach Objective:
Media is secured and tracked when transported outside the facility.
Defined Approach Testing Procedures:
Media is secured and tracked when transported outside the facility.
Defined Approach Testing Procedures:
- 9.4.3.a Examine documentation to verify that procedures are defined for securing media sent outside the facility in accordance with all elements specified in this requirement.
- 9.4.3.b Interview personnel and examine records to verify that all media sent outside the facility is logged and sent via secured courier or other delivery method that can be tracked.
- 9.4.3.c Examine offsite tracking logs for all media to verify tracking details are documented.
Purpose:
Media may be lost or stolen if sent via a nontrackable method such as regular postal mail. The use of secure couriers to deliver any media that contains cardholder data allows organizations to use their tracking systems to maintain inventory and location of shipments.
Media may be lost or stolen if sent via a nontrackable method such as regular postal mail. The use of secure couriers to deliver any media that contains cardholder data allows organizations to use their tracking systems to maintain inventory and location of shipments.
Guideline for a healthy information system v.2.0 (EN):
15 STANDARD
/STANDARD
Removable media can be used to spread viruses, steal sensitive and strategic information or even compromise the organization’s network. Such attacks can have disastrous consequences for the activity of the organisation targeted.
Although it is not a matter of completely prohibiting the use of removable media within the organization, it is nevertheless necessary to deal with these risks by identifying adequate measures and by raising users’ awareness to the risks that these media can carry.
It is advisable to prohibit the connection of unknown USB sticks (collected in a public area for example) and to reduce, as much as possible, the use of uncontrolled sticks (the origin of which is known but not the integrity) on the information system, or at least have their content examined by the workstation’s anti-virus.
Removable media can be used to spread viruses, steal sensitive and strategic information or even compromise the organization’s network. Such attacks can have disastrous consequences for the activity of the organisation targeted.
Although it is not a matter of completely prohibiting the use of removable media within the organization, it is nevertheless necessary to deal with these risks by identifying adequate measures and by raising users’ awareness to the risks that these media can carry.
It is advisable to prohibit the connection of unknown USB sticks (collected in a public area for example) and to reduce, as much as possible, the use of uncontrolled sticks (the origin of which is known but not the integrity) on the information system, or at least have their content examined by the workstation’s anti-virus.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.8.3.1
A.8.3.1 Управление сменными носителями информации
Мера обеспечения информационной безопасности: Должны быть реализованы процедуры по управлению сменными носителями информации в соответствии с принятой в организации системой категорирования информации
Мера обеспечения информационной безопасности: Должны быть реализованы процедуры по управлению сменными носителями информации в соответствии с принятой в организации системой категорирования информации
A.8.3.3
A.8.3.3 Перемещение физических носителей
Мера обеспечения информационной безопасности: Во время транспортирования носители информации, содержащие информацию, должны быть защищены от несанкционированного доступа, ненадлежащего использования или повреждения
Мера обеспечения информационной безопасности: Во время транспортирования носители информации, содержащие информацию, должны быть защищены от несанкционированного доступа, ненадлежащего использования или повреждения
A.8.2.3
A.8.2.3 Обращение с активами
Мера обеспечения информационной безопасности: Должны быть разработаны и реализованы процедуры обращения с активами в соответствии с принятой в организации системой категорирования информации.
Мера обеспечения информационной безопасности: Должны быть разработаны и реализованы процедуры обращения с активами в соответствии с принятой в организации системой категорирования информации.
A.11.2.9
A.11.2.9 Политика «чистого стола» и «чистого экрана»
Мера обеспечения информационной безопасности: Должна быть принята политика «чистого стола» в отношении бумажных документов и сменных носителей информации, а также политика «чистого экрана» для средств обработки информации
Мера обеспечения информационной безопасности: Должна быть принята политика «чистого стола» в отношении бумажных документов и сменных носителей информации, а также политика «чистого экрана» для средств обработки информации
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 13.7
CSC 13.7 Manage USB Devices
If USB storage devices are required, enterprise software should be used that can configure systems to allow the use of specific devices. An inventory of such devices should be maintained.
If USB storage devices are required, enterprise software should be used that can configure systems to allow the use of specific devices. An inventory of such devices should be maintained.
CSC 8.5
CSC 8.5 Configure Devices to Not Auto-Run Content
Configure devices to not auto-run content from removable media.
Configure devices to not auto-run content from removable media.
CSC 13.8
CSC 13.8 Manage System's External Removable Media's Read/Write Configurations
Configure systems not to write data to external removable media, if there is no business need for supporting such devices.
Configure systems not to write data to external removable media, if there is no business need for supporting such devices.
CSC 13.9
CSC 13.9 Encrypt Data on USB Storage Devices
If USB storage devices are required, all data stored on such devices must be encrypted while at rest.
If USB storage devices are required, all data stored on such devices must be encrypted while at rest.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.4.3
9.4.3
Определенные Требования к Подходу:
Носитель с данными о держателях карт, отправляемый за пределы учреждения, защищается следующим образом:
Определенные Требования к Подходу:
Носитель с данными о держателях карт, отправляемый за пределы учреждения, защищается следующим образом:
- Носители, отправленные за пределы объекта, регистрируются.
- Носитель отправляется защищенным курьером или другим способом доставки, который можно точно отследить.
- Журналы отслеживания за пределами сайта содержат подробную информацию о местоположении носителя.
Цель Индивидуального подхода:
Носитель защищен и отслеживается при транспортировке за пределы объекта.
Определенные Процедуры Тестирования Подхода:
Носитель защищен и отслеживается при транспортировке за пределы объекта.
Определенные Процедуры Тестирования Подхода:
- 9.4.3.a Изучите документацию, чтобы убедиться, что процедуры определены для обеспечения безопасности носителей, отправляемых за пределы объекта, в соответствии со всеми элементами, указанными в этом требовании.
- 9.4.3.b Опросите персонал и изучите записи, чтобы убедиться, что все материалы, отправленные за пределы объекта, регистрируются и отправляются через защищенного курьера или другим способом доставки, который можно отследить.
- 9.4.3.c Изучите журналы отслеживания за пределами сайта для всех носителей, чтобы убедиться, что детали отслеживания задокументированы.
Цель:
Носитель может быть утерян или украден, если он отправлен с помощью не отслеживаемого способа, такого как обычная почтовая почта. Использование надежных курьеров для доставки любых носителей, содержащих данные о держателях карт, позволяет организациям использовать свои системы отслеживания для ведения инвентаризации и определения местоположения отправлений.
Носитель может быть утерян или украден, если он отправлен с помощью не отслеживаемого способа, такого как обычная почтовая почта. Использование надежных курьеров для доставки любых носителей, содержащих данные о держателях карт, позволяет организациям использовать свои системы отслеживания для ведения инвентаризации и определения местоположения отправлений.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ЗНИ.7
ЗНИ.7 Контроль подключения машинных носителей информации
Strategies to Mitigate Cyber Security Incidents (EN):
1.13.
Control removable storage media and connected devices. Block unapproved CD/DVD/USB storage media. Block connectivity with unapproved smartphones, tablets and Bluetooth/Wi-Fi/3G/4G/5G devices.
Relative Security Effectiveness: Very Good | Potential User Resistance: High | Upfront Cost: High | Ongoing Maintenance Cost: Medium
Relative Security Effectiveness: Very Good | Potential User Resistance: High | Upfront Cost: High | Ongoing Maintenance Cost: Medium
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.7.10
А.7.10 Носители информации
В соответствии со схемой категорирования организации и требованиями по обращению с носителями информации эти носители должны управляться на протяжении их жизненного цикла приобретения, использования, транспортировки и утилизации.
В соответствии со схемой категорирования организации и требованиями по обращению с носителями информации эти носители должны управляться на протяжении их жизненного цикла приобретения, использования, транспортировки и утилизации.
А.7.7
А.7.7 Политика чистого стола
Должны быть определены и должным образом обеспечиваться выполнение политики чистого рабочего стола для бумажных и съемных носителей информации, а также правил чистого монитора для средств обработки информации.
Должны быть определены и должным образом обеспечиваться выполнение политики чистого рабочего стола для бумажных и съемных носителей информации, а также правил чистого монитора для средств обработки информации.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗНИ.0
ЗНИ.0 Разработка политики защиты машинных носителей информации
ЗНИ.7
ЗНИ.7 Контроль подключения машинных носителей информации
Приказ ФСБ России № 378 от 10.07.2014 "Состав и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации":
Глава II п. 5
5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
- а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- б) обеспечение сохранности носителей персональных данных;
- в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Глава II п. 7
7. Для выполнения требования, указанного в подпункте "б" пункта 5 настоящего документа, необходимо:
- а) осуществлять хранение съемных машинных носителей персональных данных в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками. В случае если на съемном машинном носителе персональных данных хранятся только персональные данные в зашифрованном с использованием СКЗИ виде, допускается хранение таких носителей вне сейфов (металлических шкафов);
- б) осуществлять поэкземплярный учет машинных носителей персональных данных, который достигается путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров.
NIST Cybersecurity Framework (EN):
PR.PT-2
PR.PT-2: Removable media is protected and its use restricted according to policy
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗНИ.0
ЗНИ.0 Регламентация правил и процедур защиты машинных носителей информации
ЗНИ.7
ЗНИ.7 Контроль подключения съемных машинных носителей информации
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
11.2.9
11.2.9 Политика "чистого стола" и "чистого экрана"
Мера обеспечения ИБ
Должна быть принята политика "чистого стола" в отношении бумажных документов и сменных носителей информации, а также политика "чистого экрана" для средств обработки информации.
Руководство по применению
Политика "чистого стола" и "чистого экрана" должна учитывать категорирование информации (см. 8.2), законодательные и договорные требования (см. 18.1), а также соответствующие риски и корпоративную культуру организации. Следует учесть следующие рекомендации:
- a) информация ограниченного доступа для бизнеса, например информация на бумажных или электронных носителях, должна быть заперта (в идеале, в сейфе, шкафу или другой мебели, обеспечивающей безопасность), пока она не используется, особенно когда в офисе никого нет;
- b) компьютеры и терминалы, оставленные без присмотра, следует оставлять в состоянии выполненного выхода из системы или защиты механизмом блокировки экрана и клавиатуры, управляемым паролем, аппаратным ключом или подобным средством аутентификации пользователя, и они должны быть заперты на ключ, защищены паролем или иными мерами, когда не используются;
- c) следует предотвращать несанкционированное использование копировальных аппаратов и других воспроизводящих устройств (например, сканеров, цифровых камер);
- d) носители, содержащие информацию ограниченного доступа, следует забирать из принтеров немедленно.
Дополнительная информация
Политика "чистого стола" и "чистого экрана" снижает риски несанкционированного доступа, потери и повреждения информации в рабочее и внерабочее время. Сейфы или другие виды защищенных хранилищ могут также защищать хранящуюся в них информацию от таких угроз, как пожар, землетрясение, наводнение или взрыв.
Следует рассмотреть возможность использовании принтеров с функцией PIN-кода, чтобы только создатели документа могли получать его распечатки, находясь непосредственно у принтера.
8.3.3
8.3.3 Перемещение физических носителей
Мера обеспечения ИБ
Во время транспортировки носители информации, содержащие информацию, должны быть защищены от несанкционированного доступа, ненадлежащего использования или повреждения.
Руководство по применению
Для защиты носителей информации, подлежащих транспортировке, должны быть приняты во внимание следующие рекомендации:
- a) должен использоваться надежный транспорт или курьеры;
- b) перечень авторизованных курьеров должен быть согласован с руководством;
- c) должны быть разработаны процедуры для идентификации курьеров;
- d) упаковка должна обеспечивать защиту содержимого от любых физических повреждений, которые могут возникнуть в ходе транспортировки, и соответствовать требованиям производителей, например обеспечивать защиту от воздействия любых факторов окружающей среды, которые могут снизить возможность восстановления носителей, таких как тепло, влага или электромагнитные поля;
- e) должны регистрироваться записи о содержании носителей, применяемых мерах обеспечения ИБ, а также о времени передачи курьеру для транспортировки и времени получения в пункте назначения.
Дополнительная информация
Информация может быть уязвимой к несанкционированному доступу, нецелевому использованию или повреждению в ходе транспортировки, например при отправке носителя через почтовую службу или курьером. В этом случае носители включают в себя и бумажные документы.
В тех случаях, когда конфиденциальная информация на носителе не зашифрована, следует рассмотреть вопрос о дополнительной физической защите носителя.
8.3.1
8.3.1 Управление съемными носителями информации
Мера обеспечения ИБ
Должны быть реализованы процедуры по управлению сменными носителями информации в соответствии с принятой в организации системой категорирования информации.
Руководство по применению
Необходимо рассмотреть следующие рекомендации в отношении управления съемными носителями.
Для управления съемными носителями должны быть учтены следующие рекомендации:
- a) содержимое, в котором отпала необходимость, на любых перезаписываемых носителях, которые могут быть вынесены из организации, должно быть удалено без возможности восстановления;
- b) где это необходимо и целесообразно, должно требоваться разрешение на вынос носителей информации из организации, а записи о выносе следует хранить как контрольную запись для аудита;
- c) все носители следует хранить в безопасном, надежном месте в соответствии с инструкциями производителей;
- d) если конфиденциальность или целостность данных являются важными факторами, следует использовать криптографические методы для защиты данных на съемных носителях;
- e) для снижения риска деградации носителей, когда сохраняемые данные все еще необходимы, данные должны быть перенесены на новые носители, прежде чем прежние станут нечитаемыми;
- f) несколько копий ценных данных следует хранить на отдельных носителях для снижения риска случайного повреждения или потери данных;
- g) для уменьшения возможности потери данных должна быть предусмотрена регистрация съемных носителей информации;
- h) съемные диски разрешается использовать только в случаях, обусловленных потребностями бизнеса;
- i) в случае необходимости использования съемных носителей перенос информации на них необходимо контролировать.
Все процедуры и уровни авторизации должны быть задокументированы.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.7.10
А.7.10 Storage media
Storage media shall be managed through its life cycle of acquisition, use, transportation and disposal in accordance with the organization’s classification scheme and handling requirements.
Storage media shall be managed through its life cycle of acquisition, use, transportation and disposal in accordance with the organization’s classification scheme and handling requirements.
А.7.7
А.7.7 Clear desk and clear screen
Clear desk rules for papers and removable storage media and clear screen rules for information processing facilities shall be defined and appropriately enforced.
Clear desk rules for papers and removable storage media and clear screen rules for information processing facilities shall be defined and appropriately enforced.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.