Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 3.7.5
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
NIST Cybersecurity Framework (RU):
PR.IP-6
PR.IP-6: Уничтожение данных производиться в соответствии с политикой
Приказ ФАПСИ № 152 от 13.06.2001 "Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну":
Глава III п. 47
47. Криптоключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптоключи необходимо немедленно вывести из действия, если иной порядок не оговорен в эксплуатационной и технической документации к СКЗИ. О выводе криптоключей из действия сообщают в соответствующий орган криптографической защиты. В чрезвычайных случаях, когда отсутствуют криптоключи для замены скомпрометированных, допускается, по решению лицензиата ФАПСИ, использование скомпрометированных криптоключей. В этом случае период использования скомпрометированных криптоключей должен быть максимально коротким, а передаваемая информация как можно менее ценной.
Глава III п. 45
45. Ключевые документы должны быть уничтожены в сроки, указанные в эксплуатационной и технической документации к соответствующим СКЗИ. Если срок уничтожения эксплуатационной и технической документацией не установлен, то ключевые документы должны быть уничтожены не позднее 10 суток после вывода их из действия (окончания срока действия). Факт уничтожения оформляется в соответствующих журналах поэкземплярного учета. В эти же сроки с отметкой в техническом (аппаратном) журнале подлежат уничтожению разовые ключевые носители и ранее введенная и хранящаяся в СКЗИ или иных дополнительных устройствах ключевая информация, соответствующая выведенным из действия криптоключам; хранящиеся в криптографически защищенном виде данные следует перешифровать на новых криптоключах.
Глава III п. 46
46. Разовые ключевые носители, а также электронные записи ключевой информации, соответствующей выведенным из действия криптоключам, непосредственно в СКЗИ или иных дополнительных устройствах уничтожаются пользователями этих СКЗИ самостоятельно под расписку в техническом (аппаратном) журнале.
Ключевые документы уничтожаются либо пользователями СКЗИ, либо сотрудниками органа криптографической защиты под расписку в соответствующих журналах поэкземплярного учета, а уничтожение большого объема ключевых документов может быть оформлено актом. При этом пользователям СКЗИ разрешается уничтожать только использованные непосредственно ими (предназначенные для них) криптоключи. После уничтожения пользователи СКЗИ должны уведомить об этом (телефонограммой, устным сообщением по телефону и т.п.) соответствующий орган криптографической защиты для списания уничтоженных документов с их лицевых счетов. Не реже одного раза в год пользователи СКЗИ должны направлять в орган криптографической защиты письменные отчеты об уничтоженных ключевых документах. Орган криптографической защиты вправе устанавливать периодичность представления указанных отчетов чаще одного раза в год.
Уничтожение по акту производит комиссия в составе не менее двух человек из числа сотрудников органа криптографической защиты. В акте указывается, что уничтожается и в каком количестве. В конце акта делается итоговая запись (цифрами и прописью) о количестве наименований и экземпляров уничтожаемых ключевых документов, инсталлирующих СКЗИ носителей, эксплуатационной и технической документации. Исправления в тексте акта должны быть оговорены и заверены подписями всех членов комиссии, принимавших участие в уничтожении. О проведенном уничтожении делаются отметки в соответствующих журналах поэкземплярного учета.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 3.7.5
3.7.5
Определенные Требования к Подходу:
Применяются процедуры политики управления ключами, включающие удаление, замену или уничтожение ключей, используемых для защиты сохраненных данных учетной записи, по мере необходимости, когда:
Определенные Требования к Подходу:
Применяются процедуры политики управления ключами, включающие удаление, замену или уничтожение ключей, используемых для защиты сохраненных данных учетной записи, по мере необходимости, когда:
- Ключ достиг конца своего определенного криптопериода.
- Целостность ключа была ослаблена, в том числе, когда персонал, знающий о ключевом компоненте открытого текста, покидает компанию или роль, для которой был известен ключевой компонент.
- Подозревается или известно, что ключ скомпрометирован. Удаленные или замененные ключи не используются для операций шифрования.
Цель Индивидуального подхода:
Ключи удаляются из активного использования, когда есть подозрение или известно, что целостность ключа ослаблена.
Примечания по применению:
Если необходимо сохранить удаленные или замененные криптографические ключи, эти ключи должны быть надежно заархивированы (например, с помощью ключа шифрования).
Определенные Процедуры Тестирования Подхода:
Ключи удаляются из активного использования, когда есть подозрение или известно, что целостность ключа ослаблена.
Примечания по применению:
Если необходимо сохранить удаленные или замененные криптографические ключи, эти ключи должны быть надежно заархивированы (например, с помощью ключа шифрования).
Определенные Процедуры Тестирования Подхода:
- 3.7.5.a Изучите документированные политики и процедуры управления ключами для ключей, используемых для защиты сохраненных данных учетной записи, и убедитесь, что они определяют удаление, замену или уничтожение ключей в соответствии со всеми элементами, указанными в этом требовании.
- 3.7.5.b Провести собеседование с персоналом, чтобы убедиться, что процессы выполняются в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Ключи, которые больше не требуются, ключи с ослабленной целостностью и ключи, которые, как известно, или предположительно скомпрометированы, должны быть заархивированы, отозваны и / или уничтожены, чтобы гарантировать, что ключи больше нельзя будет использовать.
Если такие ключи необходимо хранить (например, для поддержки архивированных зашифрованных данных), они должны быть надежно защищены.
Надлежащая практика:
Архивированные криптографические ключи следует использовать только для целей дешифрования/проверки.
Решение для шифрования должно предусматривать и облегчать процесс замены ключей, которые подлежат замене или которые, как известно, или предположительно скомпрометированы. Кроме того, управление любыми ключами, которые, как известно, или предположительно скомпрометированы, должно осуществляться в соответствии с планом реагирования организации на инциденты в соответствии с требованием 12.10.1.
Дополнительная информация:
Отраслевые рекомендации по архивированию устаревших ключей изложены в NIST SP 800-57, Часть 1, редакция 5, раздел 8.3.1, и включают ведение архива доверенной третьей стороной и хранение архивной ключевой информации отдельно от оперативных данных.
Ключи, которые больше не требуются, ключи с ослабленной целостностью и ключи, которые, как известно, или предположительно скомпрометированы, должны быть заархивированы, отозваны и / или уничтожены, чтобы гарантировать, что ключи больше нельзя будет использовать.
Если такие ключи необходимо хранить (например, для поддержки архивированных зашифрованных данных), они должны быть надежно защищены.
Надлежащая практика:
Архивированные криптографические ключи следует использовать только для целей дешифрования/проверки.
Решение для шифрования должно предусматривать и облегчать процесс замены ключей, которые подлежат замене или которые, как известно, или предположительно скомпрометированы. Кроме того, управление любыми ключами, которые, как известно, или предположительно скомпрометированы, должно осуществляться в соответствии с планом реагирования организации на инциденты в соответствии с требованием 12.10.1.
Дополнительная информация:
Отраслевые рекомендации по архивированию устаревших ключей изложены в NIST SP 800-57, Часть 1, редакция 5, раздел 8.3.1, и включают ведение архива доверенной третьей стороной и хранение архивной ключевой информации отдельно от оперативных данных.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗНИ.8
ЗНИ.8 Уничтожение (стирание) информации на машинных носителях информации
NIST Cybersecurity Framework (EN):
PR.IP-6
PR.IP-6: Data is destroyed according to policy
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗНИ.8
ЗНИ.8 Уничтожение (стирание) информации на машинных носителях информации
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.