Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Payment Card Industry Data Security Standard

Framework № PCI DSS 4.0 от 01.03.2022

Requirement 3.5.1.2

Для проведения оценки соответствия по документу войдите в систему.
3.5.1.2
Defined Approach Requirements: 
 If disk-level or partition-level encryption (rather than file-, column-, or field-level database encryption) is used to render PAN unreadable, it is implemented only as follows: 
  • On removable electronic media 
OR 
  • If used for non-removable electronic media, PAN is also rendered unreadable via another mechanism that meets Requirement 3.5.1. 
Customized Approach Objective:
This requirement is not eligible for the customized approach. 

Applicability Notes:
While disk encryption may still be present on these types of devices, it cannot be the only mechanism used to protect PAN stored on those systems. Any stored PAN must also be rendered unreadable per Requirement 3.5.1—for example, through truncation or a data-level encryption mechanism. Full disk encryption helps to protect data in the event of physical loss of a disk and therefore its use is appropriate only for removable electronic media storage devices. 
Media that is part of a data center architecture (for example, hot-swappable drives, bulk tape-backups) is considered non-removable electronic media to which Requirement 3.5.1 applies 
Disk or partition encryption implementations must also meet all other PCI DSS encryption and keymanagement requirements 

Defined Approach Testing Procedures:
  • 3.5.1.2.a Examine encryption processes to verify that, if disk-level or partition-level encryption is used to render PAN unreadable, it is implemented only as follows: 
    • On removable electronic media, OR
    • If used for non-removable electronic media, examine encryption processes used to verify that PAN is also rendered unreadable via another method that meets Requirement 3.5.1. 
  • 3.5.1.2.b Examine configurations and/or vendor documentation and observe encryption processes to verify the system is configured according to vendor documentation the result is that the disk or the partition is rendered unreadable. 
Purpose:
Disk-level and partition-level encryption typically encrypts the entire disk or partition using the same key, with all data automatically decrypted when the system runs or when an authorized user requests it. For this reason, disk-level encryption is not appropriate to protect stored PAN on computers, laptops, servers, storage arrays, or any other system that provides transparent decryption upon user authentication. 

Further Information:
Where available, following vendors’ hardening and industry best practice guidelines can assist in securing PAN on these devices. 

Похожие требования

CIS Critical Security Controls v8 (The 18 CIS CSC):
3.9
3.9 Encrypt Data on Removable Media 
Encrypt data on removable media. 
3.6
3.6 Encrypt Data on End-User Devices 
Encrypt data on end-user devices containing sensitive data. Example implementations can include: Windows BitLocker®, Apple FileVault®, Linux® dm-crypt. 
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ПУИ.27
ПУИ.27 Шифрование информации конфиденциального характера при ее хранении на МНИ, выносимых за пределы финансовой организации
NIST Cybersecurity Framework (RU):
PR.DS-1
PR.DS-1: Защищены данные находящиеся в состоянии покоя 
Guideline for a healthy information system v.2.0 (EN):
31 STANDARD
/STANDARD
Frequent journeys in a professional context and the miniaturisation of IT hardware often lead to their loss or theft in a public space. This may put the sensitive data of the organization which is stored on it at risk. 

Therefore, on all mobile hardware (laptops, smartphones, USB keys, external hard drives, etc.), only data that has already been encrypted must be stored, in order to maintain its confidentiality. Only confidential information (password, smart card, PIN code, etc.) will allow the person who has it to access this data. 

A partition, archive or file encryption solution may be considered depending on the needs. Here, once again, it is essential to ensure the uniqueness and robustness of the decryption method used. 

As far as possible, it is advisable to start by a complete disk encryption before considering archive and file encryption. These last two respond to different needs and can potentially leave the data storage medium unencrypted (backup files from office suites for example). 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 13.9 CSC 13.9 Encrypt Data on USB Storage Devices
If USB storage devices are required, all data stored on such devices must be encrypted while at rest.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 3.5.1.2
3.5.1.2
Определенные Требования к Подходу:
Если шифрование на уровне диска или раздела (а не шифрование базы данных на уровне файлов, столбцов или полей) используется для того, чтобы сделать PAN нечитаемым, оно реализуется только следующим образом:
  • На съемных электронных носителях
ИЛИ
  • При использовании для несъемных электронных носителей PAN также становится нечитаемым с помощью другого механизма, который соответствует требованию 3.5.1.
Цель Индивидуального подхода:
Это требование не подходит для индивидуального подхода.

Примечания по применению:
Хотя шифрование диска все еще может присутствовать на устройствах такого типа, оно не может быть единственным механизмом, используемым для защиты данных, хранящихся в этих системах. Любой сохраненный PAN также должен быть сделан нечитаемым в соответствии с требованием 3.5.1 — например, с помощью усечения или механизма шифрования на уровне данных. Полное шифрование диска помогает защитить данные в случае физической потери диска, и поэтому его использование подходит только для съемных устройств хранения электронных носителей.
Носители, являющиеся частью архитектуры центра обработки данных (например, диски с возможностью горячей замены, массовые резервные копии на магнитной ленте), считаются несъемными электронными носителями, к которым применяется требование 3.5.1
Реализации шифрования диска или раздела также должны соответствовать всем другим требованиям к шифрованию PCI DSS и управлению ключами

Определенные Процедуры Тестирования Подхода:
  • 3.5.1.2.a Изучите процессы шифрования, чтобы убедиться, что, если шифрование на уровне диска или раздела используется для того, чтобы сделать PAN нечитаемым, оно реализуется только следующим образом:
    • На съемных электронных носителях ИЛИ
    • Если используется для несъемных электронных носителей, изучите процессы шифрования, используемые для проверки того, что PAN также становится нечитаемым с помощью другого метода, который соответствует требованию 3.5.1.
  • 3.5.1.2.b Изучите конфигурации и/или документацию поставщика и соблюдайте процессы шифрования, чтобы убедиться, что система настроена в соответствии с документацией поставщика. Результатом является то, что диск или раздел становятся нечитаемыми.
Цель:
Шифрование на уровне диска и раздела обычно шифрует весь диск или раздел с использованием одного и того же ключа, при этом все данные автоматически расшифровываются при запуске системы или по запросу авторизованного пользователя. По этой причине шифрование на уровне диска не подходит для защиты сохраненных данных на компьютерах, ноутбуках, серверах, массивах хранения или в любой другой системе, которая обеспечивает прозрачное дешифрование при аутентификации пользователя.

Дополнительная информация:
Там, где это возможно, соблюдение рекомендаций поставщиков по усилению и наилучшей отраслевой практике может помочь в обеспечении безопасности PAN на этих устройствах.
NIST Cybersecurity Framework (EN):
PR.DS-1 PR.DS-1: Data-at-rest is protected

Связанные защитные меры

Ничего не найдено