Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям Framework № PCI DSS 4.0 от 01.... Requirement 1.2.4
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Framework № PCI DSS 4.0 от 01.03.2022

Payment Card Industry Data Security Standard (RU)

Requirement 1.2.4

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

NIST Cybersecurity Framework (RU):
ID.AM-3
ID.AM-3: В организации отображены коммуникации и потоки данных  
DE.AE-1
DE.AE-1: Для пользователей и систем устанавливается и управляется базовый уровень сетевых операций и ожидаемых потоков данных  
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗСВ.4 ЗСВ.4 Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры
УПД.3 УПД.3 Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ИКА.1.8
ИКА.1.8 Каналов передачи (информационных потоков) защищаемой информации***, обрабатываемой и передаваемой в рамках бизнес- и технологических процессов.
ИКА.13
ИКА.13 Организация и выполнение деятельности по описанию актуальной топологии вычислительных сетей финансовой организации*****.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 1.2.4
1.2.4
Defined Approach Requirements: 
An accurate data-flow diagram(s) is maintained that meets the following: 
  • Shows all account data flows across systems and networks.
  • Updated as needed upon changes to the environment. 
Customized Approach Objective:
A representation of all transmissions of account data between system components and across network segments is maintained and available. 

Applicability Notes:
A data-flow diagram(s) or other technical or topological solution that identifies flows of account data across systems and networks can be used to meet this requirement. 

Defined Approach Testing Procedures:
  • 1.2.4.a Examine data-flow diagram(s) and interview personnel to verify the diagram(s) show all account data flows in accordance with all elements specified in this requirement. 1.2.4.b Examine documentation and interview responsible personnel to verify that the data-flow diagram(s) is accurate and updated when there are changes to the environment. 
Purpose:
An up-to-date, readily available data-flow diagram helps an organization understand and keep track of the scope of its environment by showing how account data flows across networks and between individual systems and devices. 
Maintaining an up-to-date data-flow diagram(s) prevents account data from being overlooked and unknowingly left unsecured. 

Good Practice:
The data-flow diagram should include all connection points where account data is received into and sent out of the network, including connections to open, public networks, application processing flows, storage, transmissions between systems and networks, and file backups. 
The data-flow diagram is meant to be in addition to the network diagram and should reconcile with and augment the network diagram. As a best practice, entities can consider including the following in their data-flow diagrams:
  • All processing flows of account data, including authorization, capture, settlement, chargeback, and refunds.
  • All distinct acceptance channels, including card-present, card-not-present, and ecommerce. • All types of data receipt or transmission, including any involving hard copy/paper media.
  • The flow of account data from the point where it enters the environment, to its final disposition.
  • Where account data is transmitted and processed, where it is stored, and whether storage is short term or long term. 
  • The source of all account data received (for example, customers, third party, etc.), and any entities with which account data is shared.
  • Date of last update, and names of people that made and approved the updates. 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 11.2 CSC 11.2 Document Traffic Configuration Rules
All configuration rules that allow traffic to flow through network devices should be documented in a configuration management system with a specific business reason for each rule, a specific individual’s name responsible for that business need, and an expected duration of the need.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
УПД.3 УПД.3 Управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами
ЗСВ.4 ЗСВ.4 Управление (фильтрация, маршрутизация, контроль соединения, однонаправленная передача) потоками информации между компонентами виртуальной инфраструктуры, а также по периметру виртуальной инфраструктуры
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗИС.6 ЗИС.6 Управление сетевыми потоками
NIST Cybersecurity Framework (EN):
ID.AM-3 ID.AM-3: Organizational communication and data flows are mapped
DE.AE-1 DE.AE-1: A baseline of network operations and expected data flows for users and systems is established and managed
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗИС.6 ЗИС.6 Управление сетевыми потоками

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.