Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard (RU)
Requirement 9.4.7
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений":
ЖЦ.28
ЖЦ.28 Реализация контроля уничтожения защищаемой информации в случаях, когда указанная информация больше не используется, в том числе содержащейся в архивах, с применением мер ПУИ.23-ПУИ.26
3-Н 2-О 1-О
3-Н 2-О 1-О
NIST Cybersecurity Framework (RU):
PR.IP-6
PR.IP-6: Уничтожение данных производиться в соответствии с политикой
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ИАФ.3
ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.4.7
9.4.7
Defined Approach Requirements:
Electronic media with cardholder data is destroyed when no longer needed for business or legal reasons via one of the following:
Defined Approach Requirements:
Electronic media with cardholder data is destroyed when no longer needed for business or legal reasons via one of the following:
- The electronic media is destroyed.
- The cardholder data is rendered unrecoverable so that it cannot be reconstructed.
Customized Approach Objective:
Cardholder data cannot be recovered from media that has been erased or destroyed.
Applicability Notes:
These requirements for media destruction when that media is no longer needed for business or legal reasons are separate and distinct from PCI DSS Requirement 3.2.1, which is for
securely deleting cardholder data when no longer needed per the entity’s cardholder data retention policies.
Defined Approach Testing Procedures:
Cardholder data cannot be recovered from media that has been erased or destroyed.
Applicability Notes:
These requirements for media destruction when that media is no longer needed for business or legal reasons are separate and distinct from PCI DSS Requirement 3.2.1, which is for
securely deleting cardholder data when no longer needed per the entity’s cardholder data retention policies.
Defined Approach Testing Procedures:
- 9.4.7.a Examine the periodic media destruction policy to verify that procedures are defined to destroy electronic media when no longer needed for business or legal reasons in accordance with all elements specified in this requirement.
- 9.4.7.b Observe the media destruction process and interview responsible personnel to verify that electronic media with cardholder data is destroyed via one of the methods specified in this requirement.
Purpose:
If steps are not taken to destroy information contained on electronic media when no longer needed, malicious individuals may retrieve information from the disposed media, leading to a data compromise. For example, malicious individuals may use a technique known as “dumpster diving,” where they search through trashcans and recycle bins looking for information they can use to launch an attack.
Good Practice:
The deletion function in most operating systems allows deleted data to be recovered, so instead, a dedicated secure deletion function or application should be used to make data unrecoverable.
Examples:
Methods for securely destroying electronic media include secure wiping in accordance with industry-accepted standards for secure deletion, degaussing, or physical destruction (such as grinding or shredding hard disks).
Further Information:
See NIST Special Publication 800-88, Revision 1: Guidelines for Media Sanitization
If steps are not taken to destroy information contained on electronic media when no longer needed, malicious individuals may retrieve information from the disposed media, leading to a data compromise. For example, malicious individuals may use a technique known as “dumpster diving,” where they search through trashcans and recycle bins looking for information they can use to launch an attack.
Good Practice:
The deletion function in most operating systems allows deleted data to be recovered, so instead, a dedicated secure deletion function or application should be used to make data unrecoverable.
Examples:
Methods for securely destroying electronic media include secure wiping in accordance with industry-accepted standards for secure deletion, degaussing, or physical destruction (such as grinding or shredding hard disks).
Further Information:
See NIST Special Publication 800-88, Revision 1: Guidelines for Media Sanitization
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.8.3.2
A.8.3.2 Утилизация носителей информации
Мера обеспечения информационной безопасности: При выводе из эксплуатации носителей информации требуется их надежно и безопасно утилизировать, используя формализованные процедуры
Мера обеспечения информационной безопасности: При выводе из эксплуатации носителей информации требуется их надежно и безопасно утилизировать, используя формализованные процедуры
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ИАФ.3
ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.10
А.8.10 Уничтожение информации
Информация, хранящаяся в информационных системах, устройствах или на любых иных носителях информации, подлежит удалению, если она не требуется более.
Информация, хранящаяся в информационных системах, устройствах или на любых иных носителях информации, подлежит удалению, если она не требуется более.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗНИ.8
ЗНИ.8 Уничтожение (стирание) информации на машинных носителях информации
NIST Cybersecurity Framework (EN):
PR.IP-6
PR.IP-6: Data is destroyed according to policy
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗНИ.8
ЗНИ.8 Уничтожение (стирание) информации на машинных носителях информации
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.10
А.8.10 Information deletion
Information stored in information systems, devices or in any other storage media shall be deleted when no longer required.
Information stored in information systems, devices or in any other storage media shall be deleted when no longer required.
Связанные защитные меры
| Название | Дата | Влияние | ||
|---|---|---|---|---|
|
Community
4
22 / 52
|
Проведение периодического уничтожения персональных данных
Вручную
Организационная
04.12.2022
|
04.12.2022 | 4 22 / 52 |
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.