Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 12.8.5
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
NIST Cybersecurity Framework (RU):
ID.SC-4
ID.SC-4: Производиться контроль поставщиков и партнеров, чтобы подтвердить, что они выполнили свои обязательства в соответствии с требованиями. Проводятся обзоры аудитов, сводки результатов тестов или другие эквивалентные оценки поставщиков
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.15.2.1
A.15.2.1 Мониторинг и анализ услуг поставщика
Мера обеспечения информационной безопасности: Организация должна регулярно проводить мониторинг, проверку и аудит деятельности поставщика по предоставлению услу
Мера обеспечения информационной безопасности: Организация должна регулярно проводить мониторинг, проверку и аудит деятельности поставщика по предоставлению услу
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.8.5
12.8.5
Определенные Требования к Подходу:
Сохраняется информация о том, какие требования PCI DSS выполняются каждым TPSP, которые управляются организацией, и о любых требованиях, которые совместно используются между TPSP и организацией.
Цель Индивидуального подхода:
Записи с подробным описанием требований PCI DSS и связанных с ними системных компонентов, за которые каждый TPSP несет единоличную или совместную ответственность, ведутся и периодически пересматриваются.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Сохраняется информация о том, какие требования PCI DSS выполняются каждым TPSP, которые управляются организацией, и о любых требованиях, которые совместно используются между TPSP и организацией.
Цель Индивидуального подхода:
Записи с подробным описанием требований PCI DSS и связанных с ними системных компонентов, за которые каждый TPSP несет единоличную или совместную ответственность, ведутся и периодически пересматриваются.
Определенные Процедуры Тестирования Подхода:
- 12.8.5.a Изучите политики и процедуры, чтобы убедиться, что процессы определены для поддержания информации о том, какие требования PCI DSS управляются каждым TPSP, которые управляются организацией, и любые, которые являются общими как для TPSP, так и для организации.
- 12.8.5.b Изучите документацию и опросите персонал, чтобы убедиться, что организация хранит информацию о том, какие требования PCI DSS выполняются каждым TPSP, которые управляются организацией, и любые, которые являются общими для обеих организаций.
Цель:
Важно, чтобы организация понимала, какие требования и подзаконные требования PCI DSS согласились выполнять ее TPSP, какие требования являются общими для TPSP и организации, а для тех, которые являются общими, конкретные сведения о том, как распределяются требования и какая организация отвечает за выполнение каждого подзаконного требования.
Без этого общего понимания неизбежно, что организация и TPSP будут считать, что данное дополнительное требование PCI DSS является обязанностью другой стороны, и, следовательно, это дополнительное требование может вообще не выполняться.
Конкретная информация, которую хранит организация, будет зависеть от конкретного соглашения с ее поставщиками, типа услуги и т.д. TPSP могут определять свои обязанности по PCI DSS как одинаковые для всех своих клиентов; в противном случае эта ответственность должна быть согласована как организацией, так и TPSP.
Надлежащая практика:
Организации могут документировать эти обязанности с помощью матрицы, которая идентифицирует все применимые требования PCI DSS и указывает для каждого требования, несет ли организация или TPSP ответственность за выполнение этого требования или это общая ответственность. Этот тип документа часто называют матрицей ответственности.
Для организаций также важно понимать, имеют ли какие-либо TPSP “вложенные” отношения с другими TPSP, что означает, что первичный TPSP заключает контракты с другим TPSP(ами) в целях предоставления услуги. Важно понимать, полагается ли первичный TPSP на вторичный TPSP(ы) для достижения общего соответствия сервиса, и как первичный TPSP отслеживает производительность сервиса и статус соответствия PCI DSS вторичного TPSP(ов). Обратите внимание, что ответственность за управление и мониторинг любых вторичных TPSP лежит на первичном TPSP.
Дополнительная информация:
Образец шаблона матрицы ответственности приведен в Информационном дополнении: Обеспечение безопасности третьей стороной.
Важно, чтобы организация понимала, какие требования и подзаконные требования PCI DSS согласились выполнять ее TPSP, какие требования являются общими для TPSP и организации, а для тех, которые являются общими, конкретные сведения о том, как распределяются требования и какая организация отвечает за выполнение каждого подзаконного требования.
Без этого общего понимания неизбежно, что организация и TPSP будут считать, что данное дополнительное требование PCI DSS является обязанностью другой стороны, и, следовательно, это дополнительное требование может вообще не выполняться.
Конкретная информация, которую хранит организация, будет зависеть от конкретного соглашения с ее поставщиками, типа услуги и т.д. TPSP могут определять свои обязанности по PCI DSS как одинаковые для всех своих клиентов; в противном случае эта ответственность должна быть согласована как организацией, так и TPSP.
Надлежащая практика:
Организации могут документировать эти обязанности с помощью матрицы, которая идентифицирует все применимые требования PCI DSS и указывает для каждого требования, несет ли организация или TPSP ответственность за выполнение этого требования или это общая ответственность. Этот тип документа часто называют матрицей ответственности.
Для организаций также важно понимать, имеют ли какие-либо TPSP “вложенные” отношения с другими TPSP, что означает, что первичный TPSP заключает контракты с другим TPSP(ами) в целях предоставления услуги. Важно понимать, полагается ли первичный TPSP на вторичный TPSP(ы) для достижения общего соответствия сервиса, и как первичный TPSP отслеживает производительность сервиса и статус соответствия PCI DSS вторичного TPSP(ов). Обратите внимание, что ответственность за управление и мониторинг любых вторичных TPSP лежит на первичном TPSP.
Дополнительная информация:
Образец шаблона матрицы ответственности приведен в Информационном дополнении: Обеспечение безопасности третьей стороной.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.22
А.5.22 Мониторинг, проверка и управление изменениями предоставляемых сервисов
Организация должна мониторить, регулярно, анализировать, проверять и управлять изменениями в практиках ИБ в отношении поставщиков и предоставлении ими сервисов.
Организация должна мониторить, регулярно, анализировать, проверять и управлять изменениями в практиках ИБ в отношении поставщиков и предоставлении ими сервисов.
SWIFT Customer Security Controls Framework v2022:
2 - 2.8A Critical Activity Outsourcing
2.8A Critical Activity Outsourcing
NIST Cybersecurity Framework (EN):
ID.SC-4
ID.SC-4: Suppliers and third-party partners are routinely assessed using audits, test results, or other forms of evaluations to confirm they are meeting their contractual obligations.
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
15.2.1
15.2.1 Мониторинг и анализ услуг поставщика
Мера обеспечения ИБ
Организации должны регулярно проводить мониторинг, проверку и аудит деятельности поставщика по предоставлению услуг.
Руководство по применению
Мониторинг и анализ услуг, предоставляемых поставщиком, должны обеспечивать уверенность в том, что положения и условия, касающиеся ИБ, отраженные в соглашениях, выполняются и что инциденты и проблемы в области ИБ решаются должным образом.
Это должно реализовываться при управлении услугами через процесс взаимодействия между организацией и поставщиком, чтобы:
- a) осуществлять мониторинг уровней предоставления услуг с целью проверки соблюдения условий соглашений;
- b) анализировать отчеты об услугах, подготовленные поставщиком, и организовывать регулярные рабочие встречи, как это определено соглашениями;
- c) проводить аудиты поставщиков вместе с анализом отчетов независимых аудиторов, если они есть, и осуществлять последующие действия по выявленным проблемам;
- d) предоставлять информацию об инцидентах ИБ и анализировать эту информацию в соответствии с требованиями соглашений и любых вспомогательных методических рекомендаций и процедур;
- e) анализировать контрольные записи поставщиков и записи о событиях безопасности, эксплуатационных проблемах, сбоях, обнаруженных ошибках и нарушениях, связанных с поставляемой услугой;
- f) решать любые выявленные проблемы и управлять ими;
- g) анализировать в разрезе аспектов ИБ отношения поставщика с его подрядчиками;
- h) гарантировать, что поставщик сохраняет достаточную способность обслуживания согласно работоспособным планам, разработанным для обеспечения согласованных уровней непрерывности обслуживания при значительных сбоях и аварийных ситуациях (раздел 17).
Ответственность за управление отношениями с поставщиками следует возлагать на специально назначенное лицо или группу по управлению услугами. Кроме того, организация должна обеспечить, чтобы поставщики установили обязанности по анализу соответствия и обеспечению выполнения требований соглашения. Должны быть выделены достаточные ресурсы с необходимыми техническими навыками для мониторинга того, что требования соглашения, в частности требования ИБ, выполняются. Необходимо предпринимать соответствующие действия при обнаружении недостатков в оказании услуг.
Организация должна поддерживать достаточный общий контроль и прозрачность всех аспектов безопасности в отношении информации ограниченного доступа или устройств обработки информации, к которым поставщик имеет доступ, использует их или управляет ими. Организация должна поддерживать прозрачность действий, связанных с безопасностью, таких как управление изменениями, выявление уязвимостей, а также составление отчетов об инцидентах ИБ и реагирование на них с помощью установленного процесса оповещения.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.22
А.5.22 Monitoring, review and change management of supplier services
The organization shall regularly monitor, review, evaluate and manage change in supplier information security practices and service delivery.
The organization shall regularly monitor, review, evaluate and manage change in supplier information security practices and service delivery.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.