Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 12.3.4
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 8":
РОН.5
РОН.5 Обеспечение возможности сопровождения аппаратных, программных, аппаратно-программных средств и (или) систем, реализующих технические меры обеспечения операционной надежности в течение всего срока их использования.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений":
ЖЦ.18
ЖЦ.18 Обеспечение возможности сопровождения технических мер системы защиты информации АС в течение всего срока их использования
3-Н 2-О 1-О
3-Н 2-О 1-О
ЖЦ.10
ЖЦ.10 Проведение модернизации АС при изменении требований к составу и содержанию мер системы защиты информации АС (функционально-технические требований к системе защиты информации АС)
3-О 2-О 1-О
3-О 2-О 1-О
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
РЗИ.10
РЗИ.10 Обеспечение возможности сопровождения технических мер защиты информации в течение всего срока их использования
3-Н 2-О 1-О
3-Н 2-О 1-О
РЗИ.6
РЗИ.6 Реализация эксплуатации, использования по назначению технических мер защиты информации
3-О 2-О 1-О
3-О 2-О 1-О
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 3 п.п. 6
7.3.6. Эксплуатируемые АБС и (или) их компоненты должны быть снабжены документацией, содержащей описание реализованных в АБС защитных мер, в том числе описание состава и требований к реализации организационных защитных мер, состава и требований к эксплуатации технических защитных мер.
Организации БС РФ следует проводить анализ принятия разработчиком АБС защитных мер, направленных на обеспечение безопасности разработки АБС и безопасности ее поставки.
Организации БС РФ следует проводить анализ принятия разработчиком АБС защитных мер, направленных на обеспечение безопасности разработки АБС и безопасности ее поставки.
Guideline for a healthy information system v.2.0 (EN):
35 STANDARD
/STANDARD
The use of an obsolete system or software package significantly increases the possibilities of a cyberattack. Systems become vulnerable when corrective measures are no longer proposed. Malicious tools exploiting these vulnerabilities can be spread quickly online while the publisher is not offering a security corrective measure.
To anticipate obsolescence, a certain number of precautions exist:
The use of an obsolete system or software package significantly increases the possibilities of a cyberattack. Systems become vulnerable when corrective measures are no longer proposed. Malicious tools exploiting these vulnerabilities can be spread quickly online while the publisher is not offering a security corrective measure.
To anticipate obsolescence, a certain number of precautions exist:
- establish an inventory of the information system applications and systems and keep it up to date;
- choose solutions with support that is ensured for a time period corresponding to their use;
- ensure monitoring of updates and end of support dates for software;
- keep an homogeneous software stock (the co-existence of different versions of the same product increases the risks and makes monitoring more complicated);
- reduce software reliance, in other words, dependency on the operating of a software package compared to another, in particular when its support comes to an end;
- include in contracts with service providers and suppliers clauses guaranteeing the monitoring of corrective security measures and the management of obsolescence;
- identify the time periods and resources necessary (material, human, budgetary) for the migration of each software package at the end of its life (non-regression tests, backup procedure, data migration procedure, etc.).
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.3.4
12.3.4
Определенные Требования к Подходу:
Используемые аппаратные и программные технологии пересматриваются не реже одного раза в 12 месяцев, включая, по крайней мере, следующие:
Определенные Требования к Подходу:
Используемые аппаратные и программные технологии пересматриваются не реже одного раза в 12 месяцев, включая, по крайней мере, следующие:
- Убедитесь, что технологии продолжают оперативно получать исправления безопасности от поставщиков.
- Анализ того, что технологии продолжают поддерживать (и не препятствуют) соответствие организации стандарту PCI DSS.
- Документирование любых отраслевых объявлений или тенденций, связанных с технологией, например, когда поставщик объявил о планах “окончания срока службы” технологии.
- Документация плана, утвержденного высшим руководством, по исправлению устаревших технологий, в том числе тех, для которых поставщики объявили о планах “окончания срока службы”.
Цель Индивидуального подхода:
Аппаратные и программные технологии предприятия обновлены и поддерживаются поставщиком. Планы по удалению или замене всех неподдерживаемых компонентов системы периодически пересматриваются.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
Аппаратные и программные технологии предприятия обновлены и поддерживаются поставщиком. Планы по удалению или замене всех неподдерживаемых компонентов системы периодически пересматриваются.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 12.3.4 Изучите документацию для проверки используемых аппаратных и программных технологий и опросите персонал, чтобы убедиться, что проверка соответствует всем элементам, указанным в этом требовании.
Цель:
Аппаратные и программные технологии постоянно развиваются, и организации должны быть осведомлены об изменениях в используемых ими технологиях, а также о возникающих угрозах для этих технологий, чтобы гарантировать, что они могут подготовиться к уязвимостям в аппаратном и программном обеспечении и управлять ими, которые не будут устранены поставщиком или разработчиком.
Надлежащая практика:
Организациям следует проверять версии встроенного ПО, чтобы убедиться, что они остаются актуальными и поддерживаются поставщиками. Организациям также необходимо знать об изменениях, вносимых поставщиками технологий в их продукты или процессы, чтобы понять, как такие изменения могут повлиять на использование технологии организацией.
Регулярные обзоры технологий, которые влияют или влияют на средства контроля PCI DSS, могут помочь в разработке стратегий приобретения, использования и развертывания и гарантировать, что средства контроля, основанные на этих технологиях, остаются эффективными. Эти проверки включают, но не ограничиваются ими, анализ технологий, которые больше не поддерживаются поставщиком и/или больше не отвечают потребностям организации в области безопасности.
Аппаратные и программные технологии постоянно развиваются, и организации должны быть осведомлены об изменениях в используемых ими технологиях, а также о возникающих угрозах для этих технологий, чтобы гарантировать, что они могут подготовиться к уязвимостям в аппаратном и программном обеспечении и управлять ими, которые не будут устранены поставщиком или разработчиком.
Надлежащая практика:
Организациям следует проверять версии встроенного ПО, чтобы убедиться, что они остаются актуальными и поддерживаются поставщиками. Организациям также необходимо знать об изменениях, вносимых поставщиками технологий в их продукты или процессы, чтобы понять, как такие изменения могут повлиять на использование технологии организацией.
Регулярные обзоры технологий, которые влияют или влияют на средства контроля PCI DSS, могут помочь в разработке стратегий приобретения, использования и развертывания и гарантировать, что средства контроля, основанные на этих технологиях, остаются эффективными. Эти проверки включают, но не ограничиваются ими, анализ технологий, которые больше не поддерживаются поставщиком и/или больше не отвечают потребностям организации в области безопасности.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.