Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard (RU)
Requirement 9.4.6
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений":
ЖЦ.28
ЖЦ.28 Реализация контроля уничтожения защищаемой информации в случаях, когда указанная информация больше не используется, в том числе содержащейся в архивах, с применением мер ПУИ.23-ПУИ.26
3-Н 2-О 1-О
3-Н 2-О 1-О
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 10 п.п. 4 п.п.п. 3
7.10.4.3. В случае отсутствия возможности уничтожения ПДн либо обезличивания ПДн в течение срока, установленного Федеральным законом "О персональных данных", организация БС РФ обеспечивает их блокирование с последующим обеспечением уничтожения ПДн. Уничтожение ПДн производится не позднее шести месяцев со дня их блокирования.
NIST Cybersecurity Framework (RU):
PR.IP-6
PR.IP-6: Уничтожение данных производиться в соответствии с политикой
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ИАФ.3
ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.4.6
9.4.6
Defined Approach Requirements:
Hard-copy materials with cardholder data are destroyed when no longer needed for business or legal reasons, as follows:
Defined Approach Requirements:
Hard-copy materials with cardholder data are destroyed when no longer needed for business or legal reasons, as follows:
- Materials are cross-cut shredded, incinerated, or pulped so that cardholder data cannot be reconstructed.
- Materials are stored in secure storage containers prior to destruction.
Customized Approach Objective:
Cardholder data cannot be recovered from media that has been destroyed or which is pending destruction.
Applicability Notes:
These requirements for media destruction when that media is no longer needed for business or legal reasons are separate and distinct from PCI DSS Requirement 3.2.1, which is for securely deleting cardholder data when no longer needed per the entity’s cardholder data retention policies.
Defined Approach Testing Procedures:
Cardholder data cannot be recovered from media that has been destroyed or which is pending destruction.
Applicability Notes:
These requirements for media destruction when that media is no longer needed for business or legal reasons are separate and distinct from PCI DSS Requirement 3.2.1, which is for securely deleting cardholder data when no longer needed per the entity’s cardholder data retention policies.
Defined Approach Testing Procedures:
- 9.4.6.a Examine the periodic media destruction policy to verify that procedures are defined to destroy hard-copy media with cardholder data when no longer needed for business or legal reasons in accordance with all elements specified in this requirement.
- 9.4.6.b Observe processes and interview personnel to verify that hard-copy materials are cross-cut shredded, incinerated, or pulped such that cardholder data cannot be reconstructed.
- 9.4.6.c Observe storage containers used for materials that contain information to be destroyed to verify that the containers are secure.
Purpose:
If steps are not taken to destroy information contained on hard-copy media before disposal, malicious individuals may retrieve information from the disposed media, leading to a data compromise. For example, malicious individuals may use a technique known as “dumpster diving,” where they search through trashcans and recycle bins looking for hard-copy materials with information they can use to launch an attack.
Securing storage containers used for materials that are going to be destroyed prevents sensitive information from being captured while the materials are being collected.
Good Practice:
Consider “to-be-shredded” containers with a lock that prevents access to its contents or that physically prevent access to the inside of the container.
Further Information:
See NIST Special Publication 800-88, Revision 1: Guidelines for Media Sanitization.
If steps are not taken to destroy information contained on hard-copy media before disposal, malicious individuals may retrieve information from the disposed media, leading to a data compromise. For example, malicious individuals may use a technique known as “dumpster diving,” where they search through trashcans and recycle bins looking for hard-copy materials with information they can use to launch an attack.
Securing storage containers used for materials that are going to be destroyed prevents sensitive information from being captured while the materials are being collected.
Good Practice:
Consider “to-be-shredded” containers with a lock that prevents access to its contents or that physically prevent access to the inside of the container.
Further Information:
See NIST Special Publication 800-88, Revision 1: Guidelines for Media Sanitization.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.8.3.2
A.8.3.2 Утилизация носителей информации
Мера обеспечения информационной безопасности: При выводе из эксплуатации носителей информации требуется их надежно и безопасно утилизировать, используя формализованные процедуры
Мера обеспечения информационной безопасности: При выводе из эксплуатации носителей информации требуется их надежно и безопасно утилизировать, используя формализованные процедуры
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ИАФ.3
ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.10
А.8.10 Уничтожение информации
Информация, хранящаяся в информационных системах, устройствах или на любых иных носителях информации, подлежит удалению, если она не требуется более.
Информация, хранящаяся в информационных системах, устройствах или на любых иных носителях информации, подлежит удалению, если она не требуется более.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗНИ.8
ЗНИ.8 Уничтожение (стирание) информации на машинных носителях информации
NIST Cybersecurity Framework (EN):
PR.IP-6
PR.IP-6: Data is destroyed according to policy
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗНИ.8
ЗНИ.8 Уничтожение (стирание) информации на машинных носителях информации
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
8.3.2
8.3.2 Утилизация носителей информации
Мера обеспечения ИБ
При выводе из эксплуатации носителей информации требуется их надежно и безопасно утилизировать, используя формализованные процедуры.
Руководство по применению
Должны быть установлены формализованные процедуры для надежной утилизации носителей для уменьшения риска утечки конфиденциальной информации неавторизованным лицам. Процедуры надежной утилизации носителей, содержащих конфиденциальную информацию, должны соответствовать степени доступности к ограниченной информации. Необходимо рассмотреть следующие вопросы:
- a) носители, содержащие конфиденциальную информацию, следует хранить и надежно утилизировать, например посредством сжигания или измельчения, или же стирания информации, если носители планируют использовать для другого приложения в пределах организации;
- b) должны существовать процедуры по выявлению элементов, для которых может потребоваться надежная утилизация;
- c) может оказаться проще организовать сбор и надежную утилизацию в отношении всех носителей информации, чем пытаться выделить носители с информацией ограниченного доступа;
- d) многие организации предлагают услуги по сбору и утилизации носителей; следует уделять особое внимание выбору подходящего подрядчика с учетом имеющегося у него опыта и применяемых адекватных мер обеспечения безопасности;
- e) утилизацию носителей, содержащих информацию ограниченного доступа, следует фиксировать как контрольную запись для аудита.
При накоплении носителей, подлежащих утилизации, следует учитывать "эффект накопления", который может стать причиной того, что большое количество информации неограниченного доступа становится доступной.
Дополнительная информация
Для поврежденных устройств, содержащих информацию ограниченного доступа, может потребоваться оценка рисков на предмет того, должны ли эти устройства быть физически уничтожены, а не отправлены в ремонт или выброшены (см. 11.2.7).
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.10
А.8.10 Information deletion
Information stored in information systems, devices or in any other storage media shall be deleted when no longer required.
Information stored in information systems, devices or in any other storage media shall be deleted when no longer required.
Связанные защитные меры
| Название | Дата | Влияние | ||
|---|---|---|---|---|
|
Community
4
22 / 57
|
Проведение периодического уничтожения персональных данных
Вручную
Организационная
04.12.2022
|
04.12.2022 | 4 22 / 57 |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.