Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 11.3.1.3
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ЦЗИ.15
ЦЗИ.15 Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей защиты информации после выполнения обновлений ПО, предусмотренного мерой ЦЗИ.12 настоящей таблицы
3-О 2-Т 1-Т
3-О 2-Т 1-Т
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 11.3.1.3
11.3.1.3
Определенные Требования к Подходу:
Внутреннее сканирование уязвимостей выполняется после любого существенного изменения следующим образом:
Определенные Требования к Подходу:
Внутреннее сканирование уязвимостей выполняется после любого существенного изменения следующим образом:
- Устраняются уязвимости высокого риска и критические уязвимости (в соответствии с ранжированием рисков уязвимости организации, определенным в требовании 6.3.1).
- Повторные сканирования проводятся по мере необходимости.
- Сканирование выполняется квалифицированным персоналом, и существует организационная независимость тестировщика (не обязательно быть QSA или ASV).
Цель Индивидуального подхода:
Состояние безопасности всех компонентов системы проверяется после значительных изменений в сети или системах с помощью автоматизированных инструментов, предназначенных для обнаружения уязвимостей, действующих внутри сети. Обнаруженные уязвимости оцениваются и устраняются на основе формальной системы оценки рисков.
Примечания по применению:
Проверка внутренних уязвимостей с проверкой подлинности в соответствии с требованием 11.3.1.2 не требуется для проверок, выполняемых после значительных изменений.
Определенные Процедуры Тестирования Подхода:
Состояние безопасности всех компонентов системы проверяется после значительных изменений в сети или системах с помощью автоматизированных инструментов, предназначенных для обнаружения уязвимостей, действующих внутри сети. Обнаруженные уязвимости оцениваются и устраняются на основе формальной системы оценки рисков.
Примечания по применению:
Проверка внутренних уязвимостей с проверкой подлинности в соответствии с требованием 11.3.1.2 не требуется для проверок, выполняемых после значительных изменений.
Определенные Процедуры Тестирования Подхода:
- 11.3.1.3.a Изучите документацию по контролю изменений и отчеты о внутреннем сканировании, чтобы убедиться, что компоненты системы были проверены после любых существенных изменений.
- 11.3.1.3.b Опросите персонал и изучите отчеты о внутреннем сканировании и повторном сканировании, чтобы убедиться, что внутреннее сканирование было выполнено после значительных изменений и что были устранены уязвимости высокого риска и критические уязвимости, определенные в Требовании 6.3.1.
- 11.3.1.3.c Опросить персонал, чтобы убедиться, что внутреннее сканирование выполняется квалифицированным внутренним ресурсом (ресурсами) или квалифицированной внешней третьей стороной и что существует организационная независимость тестировщика.
Цель:
Сканирование среды после любых существенных изменений гарантирует, что изменения были выполнены надлежащим образом, чтобы безопасность среды не была нарушена из-за изменений.
Надлежащая практика:
Субъекты должны выполнять сканирование после существенных изменений как часть процесса изменения в соответствии с требованием 6.5.2 и до того, как считать изменение завершенным. Необходимо будет просканировать все системные компоненты, затронутые этим изменением.
Сканирование среды после любых существенных изменений гарантирует, что изменения были выполнены надлежащим образом, чтобы безопасность среды не была нарушена из-за изменений.
Надлежащая практика:
Субъекты должны выполнять сканирование после существенных изменений как часть процесса изменения в соответствии с требованием 6.5.2 и до того, как считать изменение завершенным. Необходимо будет просканировать все системные компоненты, затронутые этим изменением.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.8
А.8.8 Управление техническими уязвимостями
Должна своевременно получаться информация о технических уязвимостях используемых информационных систем, также должно оцениваться воздействие таких уязвимостей на организацию, и должны предприниматься соответствующие меры.
Должна своевременно получаться информация о технических уязвимостях используемых информационных систем, также должно оцениваться воздействие таких уязвимостей на организацию, и должны предприниматься соответствующие меры.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.8
А.8.8 Management of technical vulnerabilities
Information about technical vulnerabilities of information systems in use shall be obtained, the organization’s exposure to such vulnerabilities shall be evaluated and appropriate measures shall be taken.
Information about technical vulnerabilities of information systems in use shall be obtained, the organization’s exposure to such vulnerabilities shall be evaluated and appropriate measures shall be taken.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.