Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям Framework № PCI DSS 4.0 от 01.... Requirement 2.2.5
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Framework № PCI DSS 4.0 от 01.03.2022

Payment Card Industry Data Security Standard (RU)

Requirement 2.2.5

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 2.2.5
2.2.5
Defined Approach Requirements: 
If any insecure services, protocols, or daemons are present: 
  • Business justification is documented. 
  • Additional security features are documented and implemented that reduce the risk of using insecure services, protocols, or daemons. 
Customized Approach Objective:
 System components cannot be compromised by exploiting insecure services, protocols, or daemons. 

Defined Approach Testing Procedures:
  • 2.2.5.a If any insecure services, protocols, or daemons are present, examine system configuration standards and interview personnel to verify they are managed and implemented in accordance with all elements specified in this requirement. 
  • 2.2.5.b If any insecure services, protocols, or daemons, are present, examine configuration settings to verify that additional security features are implemented to reduce the risk of using insecure services, daemons, and protocols. 
Purpose:
Ensuring that all insecure services, protocols, and daemons are adequately secured with appropriate security features makes it more difficult for malicious individuals to exploit common points of compromise within a network. 

Good Practice:
Enabling security features before new system components are deployed will prevent insecure configurations from being introduced into the environment. Some vendor solutions may provide additional security functions to assist with securing an insecure process. 

Further Information:
For guidance on services, protocols, or daemons considered to be insecure, refer to industry standards and guidance (for example, as published by NIST, ENISA, and OWASP). 
Стандарт Банка России № РС БР ИББС-2.5-2014 от 01.06.2014 "Менеджмент инцидентов информационной безопасности":
Р. 6 п. 5 п.п. 3
 6.5.3. Требования к представлению информации о событиях ИБ со стороны компонент информационной инфраструктуры организации БС РФ для ее использования в рамках системы мониторинга ИБ и контроля защитных мер целесообразно формировать на стадии их создания и (или) модернизации.
Для случаев, когда приобретаемое организацией БС РФ прикладное программное обеспечение не обладает функциональными возможностями ведения регистрационных журналов событий ИБ и его доработка не предусмотрена поставщиком, рекомендуется рассмотреть возможность применения компенсирующих функций по формированию информации о событиях ИБ, реализуемых иными компонентами информационной инфраструктуры организации БС РФ, например операционными системами или системами управления базами данных.  

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.