Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 12.10.7
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
РИ.1
РИ.1 Регистрация информации о событиях защиты информации, потенциально связанных с инцидентами защиты информации, в том числе НСД, выявленными в рамках мониторинга и анализа событий защиты информации
3-О 2-Т 1-Т
3-О 2-Т 1-Т
NIST Cybersecurity Framework (RU):
PR.DS-5
PR.DS-5: Реализована защита от утечки данных
Стандарт Банка России № РС БР ИББС-2.9-2016 от 01.05.2016 "Предотвращение утечек информации":
Р. 8 п. 5
8.5. Работы по защите информации от потенциальных каналов утечки рекомендуется проводить с учетом приоритетов их реализации по результатам оценки рисков. Пример рекомендаций по приоритизации выполнения работ по защите информации от потенциальных каналов утечек информации приведен в приложении Б к настоящему документу.
Р. 10 п. 6
10.6. В части обеспечения контроля выполнения процессов мониторинга и контроля потенциальных каналов утечки информации службе ИБ организации БС РФ рекомендуется:
– осуществлять автоматизированный контроль включения в область действия процессов мониторинга и контроля потенциальных каналов утечки информации всех учтенных объектов среды информационных активов информации конфиденциального характера;
– участвовать в разработке и согласовывать внутренние документы, регламентирующие выполнение процессов мониторинга и контроля потенциальных каналов утечки информации, разрабатываемые в соответствии с рекомендациями пункта 10.3 настоящих рекомендаций;
– осуществлять периодический контроль реализации организационных мер предотвращения утечек информации, применяемых в соответствии с внутренними документами, разрабатываемыми в соответствии с рекомендациями пункта 10.3 настоящих рекомендаций;
– осуществлять регулярный автоматизированный контроль эксплуатации и использования средств автоматизации, применяемых в соответствии с рекомендациями пункта 10.4 настоящих рекомендаций;
– осуществлять непрерывный мониторинг информационных потоков, реализуемый с использованием средств автоматизации, реализующих контентный анализ, применяемых в соответствии с рекомендациями пункта 10.4 настоящих рекомендаций;
– осуществлять мониторинг общедоступных ресурсов сети Интернет с целью выявления публикаций информации конфиденциального характера.
– осуществлять автоматизированный контроль включения в область действия процессов мониторинга и контроля потенциальных каналов утечки информации всех учтенных объектов среды информационных активов информации конфиденциального характера;
– участвовать в разработке и согласовывать внутренние документы, регламентирующие выполнение процессов мониторинга и контроля потенциальных каналов утечки информации, разрабатываемые в соответствии с рекомендациями пункта 10.3 настоящих рекомендаций;
– осуществлять периодический контроль реализации организационных мер предотвращения утечек информации, применяемых в соответствии с внутренними документами, разрабатываемыми в соответствии с рекомендациями пункта 10.3 настоящих рекомендаций;
– осуществлять регулярный автоматизированный контроль эксплуатации и использования средств автоматизации, применяемых в соответствии с рекомендациями пункта 10.4 настоящих рекомендаций;
– осуществлять непрерывный мониторинг информационных потоков, реализуемый с использованием средств автоматизации, реализующих контентный анализ, применяемых в соответствии с рекомендациями пункта 10.4 настоящих рекомендаций;
– осуществлять мониторинг общедоступных ресурсов сети Интернет с целью выявления публикаций информации конфиденциального характера.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.10.7
12.10.7
Определенные Требования к Подходу:
Существуют процедуры реагирования на инциденты, которые должны быть инициированы при обнаружении сохраненной информации в любом месте, где она не ожидается, и включают:
Определенные Требования к Подходу:
Существуют процедуры реагирования на инциденты, которые должны быть инициированы при обнаружении сохраненной информации в любом месте, где она не ожидается, и включают:
- Определение того, что делать, если PAN обнаружен за пределами CDE, включая его извлечение, безопасное удаление и/или перенос в текущий определенный CDE, в зависимости от обстоятельств.
- Определение того, хранятся ли конфиденциальные данные аутентификации с помощью PAN.
- Определение того, откуда взялись данные учетной записи и как они оказались там, где их не ожидали.
- Устранение утечек данных или пробелов в процессах, которые привели к тому, что данные учетной записи оказались там, где их не ожидали.
Цель Индивидуального подхода:
Существуют процессы для быстрого реагирования, анализа и устранения ситуаций в случае обнаружения открытого текстового сообщения там, где этого не ожидается.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
Существуют процессы для быстрого реагирования, анализа и устранения ситуаций в случае обнаружения открытого текстового сообщения там, где этого не ожидается.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 12.10.7.a Изучить документированные процедуры реагирования на инциденты, чтобы убедиться, что процедуры реагирования на обнаружение сохраненного PAN в любом месте, где его не ожидается, существуют, готовы к запуску и включают все элементы, указанные в этом требовании.
- 12.10.7.b Опросите персонал и изучите записи о действиях реагирования, чтобы убедиться, что процедуры реагирования на инциденты выполняются при обнаружении сохраненного PAN в любом месте, где это не ожидается.
Цель:
Наличие документированных процедур реагирования на инциденты, которые выполняются в случае обнаружения сохраненного PAN там, где его не ожидается, помогает определить необходимые действия по устранению неполадок и предотвратить будущие утечки.
Надлежащая практика:
Если PAN был обнаружен за пределами CDE, следует выполнить анализ, чтобы 1) определить, был ли он сохранен независимо от других данных или с конфиденциальными данными аутентификации, 2) определить источник данных и 3) выявить пробелы в контроле, которые привели к тому, что данные оказались за пределами CDE.
Организации должны рассмотреть, существуют ли способствующие факторы, такие как бизнес-процессы, поведение пользователей, неправильные конфигурации системы и т.д., Которые привели к хранению PAN в неожиданном месте. Если такие способствующие факторы присутствуют, они должны быть устранены в соответствии с этим Требованием, чтобы предотвратить повторение.
Наличие документированных процедур реагирования на инциденты, которые выполняются в случае обнаружения сохраненного PAN там, где его не ожидается, помогает определить необходимые действия по устранению неполадок и предотвратить будущие утечки.
Надлежащая практика:
Если PAN был обнаружен за пределами CDE, следует выполнить анализ, чтобы 1) определить, был ли он сохранен независимо от других данных или с конфиденциальными данными аутентификации, 2) определить источник данных и 3) выявить пробелы в контроле, которые привели к тому, что данные оказались за пределами CDE.
Организации должны рассмотреть, существуют ли способствующие факторы, такие как бизнес-процессы, поведение пользователей, неправильные конфигурации системы и т.д., Которые привели к хранению PAN в неожиданном месте. Если такие способствующие факторы присутствуют, они должны быть устранены в соответствии с этим Требованием, чтобы предотвратить повторение.
Положение Банка России № 719-П от 04.06.2020 "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств":
Глава 5 п. 1
5.1. Оператор платежной системы в целях реализации пункта 11 части 3 статьи 28 Федерального закона № 161-ФЗ (Собрание законодательства Российской Федерации, 2011, № 27, ст. 3872) в рамках системы управления рисками в платежной системе определяет в правилах платежной системы и иных документах порядок обеспечения защиты информации в платежной системе для операторов по переводу денежных средств, являющихся участниками платежной системы, операторов услуг платежной инфраструктуры с учетом требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - требования к обеспечению защиты информации в платежной системе).
Оператор платежной системы должен определить требования к обеспечению защиты информации в платежной системе в отношении следующих мероприятий:
- управление риском информационной безопасности в платежной системе как одним из видов операционного риска в платежной системе, источниками реализации которого являются: недостатки процессов обеспечения защиты информации, в том числе недостатки применяемых технологических мер защиты информации, недостатки прикладного программного обеспечения автоматизированных систем и приложений, а также несоблюдение требований к указанным процессам деятельности операторами по переводу денежных средств, являющимися участниками платежной системы, операторами услуг платежной инфраструктуры (далее - риск информационной безопасности в платежной системе);
- установление состава показателей уровня риска информационной безопасности в платежной системе;
- реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры механизмов, направленных на соблюдение требований к обеспечению защиты информации при осуществлении переводов денежных средств, и контроль их соблюдения операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры;
- реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры процессов выявления и идентификации риска информационной безопасности в платежной системе в отношении объектов информационной инфраструктуры участников платежной системы, операторов услуг платежной инфраструктуры;
- выявление и анализ операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры риска информационной безопасности в платежной системе;
- реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры процессов реагирования на инциденты защиты информации и восстановления штатного функционирования объектов информационной инфраструктуры в случае реализации инцидентов защиты информации;
- реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры взаимодействия при обмене информацией об инцидентах защиты информации;
- реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента, определенных пунктами 2.2 и 2.4 Указания Банка России от 8 октября 2018 года № 4926-У «О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента», зарегистрированного Министерством юстиции Российской Федерации 12 декабря 2018 года № 52988;
- реализация операторами платежных систем процессов применения в отношении операторов по переводу денежных средств, являющихся участниками платежной системы, и операторов услуг платежной инфраструктуры ограничений по параметрам операций по осуществлению переводов денежных средств в случае выявления факта превышения значений показателей уровня риска информационной безопасности в платежной системе, в том числе условий снятия таких ограничений.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗИС.17
ЗИС.17 Защита информации от утечек
NIST Cybersecurity Framework (EN):
PR.DS-5
PR.DS-5: Protections against data leaks are implemented
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗИС.17
ЗИС.17 Защита информации от утечек
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.