Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 11.4.7
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
NIST Cybersecurity Framework (RU):
ID.SC-5
ID.SC-5: С критичными поставщиками проводится планирование, тестирование реагирования и восстановления
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ВПУ.3.6
ВПУ.3.6 Предварительную оценку (испытание, тестирование) объектов информатизации перед их использованием в качестве элементов критичной архитектуры (на этапах подбора или принятия в эксплуатацию, а также при их модернизации).
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.15.1.1
A.15.1.1 Политика информационной безопасности во взаимоотношениях с поставщиками
Мера обеспечения информационной безопасности: Требования информационной безопасности, направленные на снижение рисков, связанных с доступом поставщиков к активам организации, должны быть согласованы с поставщиком и документированы
Мера обеспечения информационной безопасности: Требования информационной безопасности, направленные на снижение рисков, связанных с доступом поставщиков к активам организации, должны быть согласованы с поставщиком и документированы
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 11.4.7
11.4.7
Определенные Требования к Подходу:
Дополнительное требование только для поставщиков услуг с несколькими арендаторами: Поставщики услуг с несколькими арендаторами поддерживают своих клиентов для внешнего тестирования на проникновение в соответствии с требованиями 11.4.3 и 11.4.4.
Цель Индивидуального подхода:
Поставщики услуг с несколькими арендаторами поддерживают потребность своих клиентов в техническом тестировании либо путем предоставления доступа, либо путем подтверждения того, что было проведено сопоставимое техническое тестирование.
Примечания по применению:
Это требование применяется только в том случае, если оцениваемый объект является поставщиком услуг с несколькими арендаторами.
Для выполнения этого требования поставщик услуг с несколькими арендаторами может либо:
Определенные Требования к Подходу:
Дополнительное требование только для поставщиков услуг с несколькими арендаторами: Поставщики услуг с несколькими арендаторами поддерживают своих клиентов для внешнего тестирования на проникновение в соответствии с требованиями 11.4.3 и 11.4.4.
Цель Индивидуального подхода:
Поставщики услуг с несколькими арендаторами поддерживают потребность своих клиентов в техническом тестировании либо путем предоставления доступа, либо путем подтверждения того, что было проведено сопоставимое техническое тестирование.
Примечания по применению:
Это требование применяется только в том случае, если оцениваемый объект является поставщиком услуг с несколькими арендаторами.
Для выполнения этого требования поставщик услуг с несколькими арендаторами может либо:
- Предоставить своим клиентам доказательства того, что тестирование на проникновение было выполнено в соответствии с требованиями 11.4.3 и 11.4.4 в инфраструктуре, на которую подписаны клиенты, или
- предоставить оперативный доступ к каждому из своих клиентов, чтобы клиенты могли проводить собственное тестирование на проникновение.
Доказательства, предоставляемые клиентам, могут включать отредактированные результаты тестирования на проникновение, но должны содержать достаточную информацию, чтобы доказать, что все элементы требований 11.4.3 и 11.4.4 были выполнены от имени клиента.
См. также Приложение A1: Дополнительные требования PCI DSS для поставщиков услуг с несколькими арендаторами.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
См. также Приложение A1: Дополнительные требования PCI DSS для поставщиков услуг с несколькими арендаторами.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 11.4.7 Дополнительная процедура тестирования только для поставщиков услуг с несколькими арендаторами: Изучите доказательства, чтобы убедиться, что поставщикиуслуг с несколькими арендаторами поддерживают своих клиентов для внешнего тестирования на проникновение в Требования 11.4.3 и 11.4.4.
Цель:
Организациям необходимо проводить тесты на проникновение в соответствии с PCI DSS, чтобы имитировать поведение злоумышленника и обнаруживать уязвимости в своей среде. В общих и облачных средах поставщик услуг с несколькими арендаторами может быть обеспокоен действиями тестировщика на проникновения, влияющими на системы других клиентов.
Поставщики услуг с несколькими арендаторами не могут запретить тестирование на проникновение, поскольку это оставило бы системы их клиентов открытыми для эксплуатации. Поэтому поставщики услуг с несколькими арендаторами должны поддерживать запросы клиентов на проведение тестирования на проникновение или на получение результатов тестирования на проникновение.
Организациям необходимо проводить тесты на проникновение в соответствии с PCI DSS, чтобы имитировать поведение злоумышленника и обнаруживать уязвимости в своей среде. В общих и облачных средах поставщик услуг с несколькими арендаторами может быть обеспокоен действиями тестировщика на проникновения, влияющими на системы других клиентов.
Поставщики услуг с несколькими арендаторами не могут запретить тестирование на проникновение, поскольку это оставило бы системы их клиентов открытыми для эксплуатации. Поэтому поставщики услуг с несколькими арендаторами должны поддерживать запросы клиентов на проведение тестирования на проникновение или на получение результатов тестирования на проникновение.
Стандарт Банка России № СТО БР ИББС-1.4-2018 от 01.07.2018 "Управление риском нарушения информационной безопасности при аутсорсинге":
Р. 11 п. 5
11.5. Важной частью мониторинга и контроля риска нарушения ИБ при аутсорсинге существенных функций является прохождение поставщиком услуг регулярного аудита.
Организация БС РФ должна обеспечить анализ результатов проведения периодического аудита с целью:
Организация БС РФ должна обеспечить анализ результатов проведения периодического аудита с целью:
- обновления (уточнения) перечня существенных функций, связанных с обработкой защищаемой инфор‑ мации или обеспечением ИБ, передаваемых на аутсорсинг поставщику услуг;
- контроля надлежащего и своевременного предоставления поставщиком услуг отчетности в части аутсорсинга существенных функций;
- оценки показателей качества деятельности поставщика услуг, определенных на основе показателей (метрик) управления риском нарушения ИБ;
- соблюдения поставщиком услуг установленных соглашением параметров уровня и качества предоставления услуг в части обеспечения ИБ и создания условий непрерывности предоставления финансовых услуг (требований к SLA).
Поставщик услуг должен проходить периодический аудит с целью подтверждения качества предостав‑ ления услуг в части:
- защиты информации в соответствии с требованием законодательства РФ;
- создания условий непрерывности предоставления финансовых услуг организации БС РФ.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.19
А.5.19 Информационная безопасность в отношениях с поставщиками
В целях управления рисками ИБ, связанными с использованием поставляемыми продуктами или услугами, должны быть определены и внедрены соответствующие процессы и процедуры.
В целях управления рисками ИБ, связанными с использованием поставляемыми продуктами или услугами, должны быть определены и внедрены соответствующие процессы и процедуры.
Положение Банка России № 719-П от 04.06.2020 "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств":
Глава 3 п.8
3.8. Банковские платежные агенты (субагенты), за исключением банковских платежных агентов, осуществляющих операции платежного агрегатора, должны на основе критериев, установленных операторами по переводу денежных средств, проводить тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры, оценку соответствия защиты информации, сертификацию или оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений.
Глава 3 п.9
3.9. Банковские платежные агенты (субагенты), осуществляющие операции платежного агрегатора, должны на основе критериев, установленных операторами по переводу денежных средств, проводить тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры, сертификацию или оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений.
SWIFT Customer Security Controls Framework v2022:
7 - 7.3A Penetration Testing
7.3A Penetration Testing
NIST Cybersecurity Framework (EN):
ID.SC-5
ID.SC-5: Response and recovery planning and testing are conducted with suppliers and third-party providers
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
15.1.1
15.1.1 Политика информационной безопасности во взаимоотношениях с поставщиками
Мера обеспечения ИБ
Требования ИБ, направленные на снижение рисков, связанных с доступом поставщиков к активам организации, должны быть согласованы с поставщиком и задокументированы.
Руководство по применению
В своей политике организация должна определить и назначить меры обеспечения ИБ, которые относятся к доступу поставщиков к информации организации. Эти меры должны учитывать процессы и процедуры, которые должны выполняться организацией, а также те процессы и процедуры, которые организация должна требовать выполнять от поставщика, включая:
- a) определение и документирование типов поставщиков, например ИТ-услуги, логистические услуги, финансовые услуги, компоненты ИТ-инфраструктуры, которым организация будет предоставлять доступ к своей информации;
- b) стандартизированный процесс и жизненный цикл для управления отношениями с поставщиками;
- c) определение типов доступа к информации, которые будут предоставлены различным типам поставщиков, а также мониторинг и контроль доступа;
- d) минимальные требования по ИБ для каждой категории информации и типа доступа, учитывающие деловые потребности и требования организации, а также ее профиль рисков, которые будут служить основой для соглашений уже с конкретным поставщиком;
- e) процессы и процедуры для контроля соблюдения установленных требований по ИБ для каждого типа поставщика и типа доступа, включая проверку третьей стороной и проверку продукта;
- f) правильность и полноту мер обеспечения ИБ для обеспечения целостности информации или обработки информации, проводимой любой из сторон;
- g) виды обязательств, применимых к поставщикам для защиты информации организации;
- h) обработку инцидентов и непредвиденных обстоятельств, связанных с доступом поставщиков, включая обязанности как организации, так и поставщиков;
- i) способность к восстановлению и, если необходимо, меры по восстановлению и устранению непредвиденных обстоятельств для обеспечения доступности информации или обработки информации, предпринимаемые любой из сторон;
- j) обучение персонала организации, участвующего в закупках, действующим политикам, процессам и процедурам;
- k) обучение персонала организации, взаимодействующего с персоналом поставщика, относительно соответствующих правил взаимодействия и поведения в зависимости от типа поставщика и уровня доступа поставщика к системам и информации организации;
- l) условия, при которых требования и меры обеспечения ИБ будут включены в соглашение, подписанное обеими сторонами;
- m) управление необходимой передачей информации, устройств обработки информации и чем-либо еще, нуждающимся в передаче, и гарантию того, что безопасность обеспечивается в течение всего периода передачи.
Дополнительная информация
При ненадлежащем управлении ИБ информация может подвергаться риску со стороны поставщиков. Должны быть определены и выполняться меры обеспечения ИБ для управления доступом поставщиков к средствам обработки информации. Например, если существует особая необходимость в сохранении конфиденциальности информации, может заключаться соглашение о неразглашении. Другой пример защиты данных от рисков - когда соглашение с поставщиками включает в себя вопросы передачи информации или доступа к информации из-за границы. Организация должна осознавать, что ответственность за соблюдение законодательства и контрактных обязательств по защите информации лежит на самой организации.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.19
А.5.19 Information security in supplier relationships
Processes and procedures shall be defined and implemented to manage the information security risks associated with the use of supplier’s products or services.
Processes and procedures shall be defined and implemented to manage the information security risks associated with the use of supplier’s products or services.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.