Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard (RU)
Requirement 6.5.6
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 3 п.п. 5
7.3.5. На стадии создания и тестирования АБС и (или) их компонентов организация БС РФ обеспечивает реализацию запрета использования защищаемой информации в качестве тестовых данных, анонимность данных и контроль адекватности предоставления и разграничения доступа.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 6.5.6
6.5.6
Defined Approach Requirements:
Test data and test accounts are removed from system components before the system goes into production.
Customized Approach Objective:
Test data and test accounts cannot exist in production environments.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Test data and test accounts are removed from system components before the system goes into production.
Customized Approach Objective:
Test data and test accounts cannot exist in production environments.
Defined Approach Testing Procedures:
- 6.5.6.a Examine policies and procedures to verify that processes are defined for removal of test data and test accounts from system components before the system goes into production.
- 6.5.6.b Observe testing processes for both off-theshelf software and in-house applications, and interview personnel to verify test data and test accounts are removed before a system goes into production.
- 6.5.6.c Examine data and accounts for recently installed or updated off-the-shelf software and inhouse applications to verify there is no test data or test accounts on systems in production.
Purpose:
This data may give away information about the functioning of an application or system and is an easy target for unauthorized individuals to exploit to gain access to systems. Possession of such information could facilitate compromise of the system and related account data.
This data may give away information about the functioning of an application or system and is an easy target for unauthorized individuals to exploit to gain access to systems. Possession of such information could facilitate compromise of the system and related account data.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.14.3.1
A.14.3.1 Защита тестовых данных
Мера обеспечения информационной безопасности: Тестовые данные следует тщательно выбирать, защищать и контролировать
Мера обеспечения информационной безопасности: Тестовые данные следует тщательно выбирать, защищать и контролировать
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.33
А.8.33 Тестовая информация
Данные для тестирования должны быть соответствующим образом отобраны, защищены. Процесс подбора данных должен быть управляемым.
Данные для тестирования должны быть соответствующим образом отобраны, защищены. Процесс подбора данных должен быть управляемым.
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
14.3.1
14.3.1 Защита тестовых данных
Мера обеспечения ИБ
Тестовые данные следует тщательно выбирать, защищать и контролировать.
Руководство по применению
Следует избегать использования данных из эксплуатируемой среды, содержащих персональные данные или любую другую конфиденциальную информацию, в целях тестирования. Если для целей тестирования используется такая информация, все конфиденциальные данные и содержимое должно быть защищено путем удаления или модификации (см. ИСО/МЭК 29101 [26]).
Для защиты эксплуатационных данных, используемых в целях тестирования, должны применяться следующие рекомендации:
- a) процедуры контроля доступа, которые применяются к эксплуатируемым прикладным системам, должны также применяться к тестовым прикладным системам;
- b) необходимо запрашивать разрешение каждый раз, когда эксплуатируемые данные копируются в тестовую среду;
- c) информация из эксплуатируемой среды должна быть удалена из тестовой среды сразу после завершения тестирования;
- d) копирование и использование информации из эксплуатируемой среды должно регистрироваться для обеспечения аудита.
Дополнительная информация
Системные и приемочные испытания обычно требуют значительных объемов тестовых данных, максимально приближенных к эксплуатационным.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.33
А.8.33 Test information
Test information shall be appropriately selected, protected and managed.
Test information shall be appropriately selected, protected and managed.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.