Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям Framework № PCI DSS 4.0 от 01.... Requirement 11.2.1
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Framework № PCI DSS 4.0 от 01.03.2022

Payment Card Industry Data Security Standard (RU)

Requirement 11.2.1

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ЗБС.8
ЗБС.8 Блокирование попыток подключения к беспроводным точкам доступа с незарегистрированных устройств доступа, в том числе из-за пределов зданий и сооружений финансовой организации
3-Н 2-Н 1-Т
ЗБС.3
ЗБС.3 Размещение технических средств, реализующих функции беспроводного соединения, в выделенных сегментах вычислительных сетей финансовой организации
3-Н 2-Т 1-Т
ЗБС.2
ЗБС.2 Защита информации от раскрытия и модификации при ее передаче с использованием протоколов беспроводного доступа
3-Т 2-Т 1-Т
ЗБС.9
ЗБС.9 Регистрация попыток подключения к беспроводным точкам доступа с незарегистрированных устройств доступа, в том числе из-за пределов финансовой организации
3-Н 2-Н 1-Т
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
УПД.14 УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа
ЗИС.20 ЗИС.20 Защита беспроводных соединений, применяемых в информационной системе
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 11.2.1
11.2.1
Defined Approach Requirements: 
 Authorized and unauthorized wireless access points are managed as follows:
  • The presence of wireless (Wi-Fi) access points is tested for,
  • All authorized and unauthorized wireless access points are detected and identified,
  • Testing, detection, and identification occurs at least once every three months.
  • If automated monitoring is used, personnel are notified via generated alerts. 
Customized Approach Objective:
Unauthorized wireless access points are identified and addressed periodically. 

Applicability Notes:
The requirement applies even when a policy exists that prohibits the use of wireless technology since attackers do not read and follow company policy. 
Methods used to meet this requirement must be sufficient to detect and identify both authorized and unauthorized devices, including unauthorized devices attached to devices that themselves are authorized. 

Defined Approach Testing Procedures:
  • 11.2.1.a Examine policies and procedures to verify processes are defined for managing both authorized and unauthorized wireless access points with all elements specified in this requirement. 
  • 11.2.1.b Examine the methodology(ies) in use and the resulting documentation, and interview personnel to verify processes are defined to detect and identify both authorized and unauthorized wireless access points in accordance with all elements specified in this requirement. 
  • 11.2.1.c Examine wireless assessment results and interview personnel to verify that wireless assessments were conducted in accordance with all elements specified in this requirement. 
  • 11.2.1.d If automated monitoring is used, examine configuration settings to verify the configuration will Customized Approach Objective generate alerts to notify personnel. 
Purpose:
Implementation and/or exploitation of wireless technology within a network are common paths for malicious users to gain unauthorized access to the network and cardholder data. Unauthorized wireless devices could be hidden within or attached to a computer or other system component. These devices could also be attached directly to a network port, to a network device such as a switch or router, or inserted as a wireless interface card inside a system component. 
If a wireless device or network is installed without a company’s knowledge, it can allow an attacker to enter the network easily and “invisibly.” Detecting and removing such unauthorized access points reduces the duration and likelihood of such devices being leveraged for an attack. 

Good Practice:
The size and complexity of an environment will dictate the appropriate tools and processes to be used to provide sufficient assurance that a rogue wireless access point has not been installed in the environment. 
For example, performing a detailed physical inspection of a single stand-alone retail kiosk in a shopping mall, where all communication components are contained within tamper-resistant and tamper-evident casings, may be sufficient to provide assurance that a rogue wireless access point has not been attached or installed. However, in an environment with multiple nodes (such as in a large retail store, call center, server room or data center), detailed physical inspection can be difficult. In this case, multiple methods may be combined, such as performing physical system inspections in conjunction with the results of a wireless analyzer. 

Definitions:
This is also referred to as rogue access point detection. 

Examples:
Methods that may be used include but are not limited to wireless network scans, physical/logical inspections of system components and infrastructure, network access control (NAC), or wireless IDS/IPS. NAC and wireless IDS/IPS are examples of automated monitoring tools. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.8.1.1
A.8.1.1  Инвентаризация активов 
Мера обеспечения информационной безопасности: Информация, средства обработки информации и другие активы, связанные с информацией, должны быть идентифицированы, а также должен быть составлен и поддерживаться в актуальном состоянии перечень этих активов (Пункт А.8.1.1 приведен с учетом технической правки 1 к ISO/IEC 27001:2013) 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 15.1 CSC 15.1 Maintain an Inventory of Authorized Wireless Access Points
Maintain an inventory of authorized wireless access points connected to the wired network.
CSC 15.2 CSC 15.2 Detect Wireless Access Points Connected to the Wired Network
Configure network vulnerability scanning tools to detect and alert on unauthorized wireless access points connected to the wired network.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
УПД.14 УПД.14 Регламентация и контроль использования в информационной системе технологий беспроводного доступа
ЗИС.20 ЗИС.20 Защита беспроводных соединений, применяемых в информационной системе
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.9
А.5.9 Инвентаризации информационных и иных связанных с ними активов
Должен быть разработан и поддерживаться реестр информационных и иных, связанных с ними активов,  а также их владельцев.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗИС.32 ЗИС.32 Защита беспроводных соединений
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗИС.32 ЗИС.32 Защита беспроводных соединений
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
8.1.1
8.1.1 Инвентаризация активов

Мера обеспечения ИБ
Информация, средства обработки информации и другие активы, связанные с информацией, должны быть идентифицированы, а также должен быть составлен и поддерживаться в актуальном состоянии перечень этих активов. (Внесена техническая поправка Cor.1:2014).

Руководство по применению
Организация должна идентифицировать активы, относящиеся к жизненному циклу информации, и задокументировать их значимость. Жизненный цикл информации должен включать в себя создание, обработку, хранение, передачу, удаление и уничтожение. Документация должна храниться в специально созданных или уже существующих перечнях, в зависимости от ситуации.
Перечень активов должен быть точным, актуальным, полным и согласованным с другими инвентаризационными перечнями.
Для каждого актива, включенного в перечень, должен быть определен его владелец (см. 8.1.2) и проведено категорирование (см. 8.2).

Дополнительная информация
Инвентаризация активов помогает обеспечить эффективную защиту и может также потребоваться для других целей, таких как здоровье и безопасность, страхование или финансы (управление активами).
ИСО/МЭК 27005 [11] предоставляет примеры активов, которые могут быть приняты во внимание организацией в процессе идентификации активов. Процесс составления перечня активов является важной предпосылкой управления рисками (см. также ИСО/МЭК 27001 [10] и ИСО/МЭК 27005 [11]).
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.9
А.5.9 Inventory of information and other associated assets
An inventory of information and other associated assets, including owners, shall be developed and maintained

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.