Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 6.5.6
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 3 п.п. 5
7.3.5. На стадии создания и тестирования АБС и (или) их компонентов организация БС РФ обеспечивает реализацию запрета использования защищаемой информации в качестве тестовых данных, анонимность данных и контроль адекватности предоставления и разграничения доступа.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.14.3.1
A.14.3.1 Защита тестовых данных
Мера обеспечения информационной безопасности: Тестовые данные следует тщательно выбирать, защищать и контролировать
Мера обеспечения информационной безопасности: Тестовые данные следует тщательно выбирать, защищать и контролировать
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 6.5.6
6.5.6
Определенные Требования к Подходу:
Тестовые данные и тестовые учетные записи удаляются из компонентов системы перед запуском системы в эксплуатацию.
Цель Индивидуального подхода:
Тестовые данные и тестовые учетные записи не могут существовать в производственных средах.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Тестовые данные и тестовые учетные записи удаляются из компонентов системы перед запуском системы в эксплуатацию.
Цель Индивидуального подхода:
Тестовые данные и тестовые учетные записи не могут существовать в производственных средах.
Определенные Процедуры Тестирования Подхода:
- 6.5.6.a Изучите политики и процедуры, чтобы убедиться, что определены процессы для удаления тестовых данных и тестовых учетных записей из компонентов системы до запуска системы в производство.
- 6.5.6.b Наблюдать за процессами тестирования как готового программного обеспечения, так и собственных приложений, а также проводить собеседования с персоналом для проверки того, что тестовые данные и тестовые учетные записи удаляются до запуска системы в производство.
- 6.5.6.c Изучите данные и учетные записи для недавно установленного или обновленного готового программного обеспечения и собственных приложений, чтобы убедиться в отсутствии тестовых данных или тестовых учетных записей в производственных системах.
Цель:
Эти данные могут выдавать информацию о функционировании приложения или системы и являются легкой мишенью для использования неавторизованными лицами для получения доступа к системам. Обладание такой информацией может способствовать компрометации системы и связанных с ней данных учетной записи.
Эти данные могут выдавать информацию о функционировании приложения или системы и являются легкой мишенью для использования неавторизованными лицами для получения доступа к системам. Обладание такой информацией может способствовать компрометации системы и связанных с ней данных учетной записи.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.33
А.8.33 Тестовая информация
Данные для тестирования должны быть соответствующим образом отобраны, защищены. Процесс подбора данных должен быть управляемым.
Данные для тестирования должны быть соответствующим образом отобраны, защищены. Процесс подбора данных должен быть управляемым.
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
14.3.1
14.3.1 Защита тестовых данных
Мера обеспечения ИБ
Тестовые данные следует тщательно выбирать, защищать и контролировать.
Руководство по применению
Следует избегать использования данных из эксплуатируемой среды, содержащих персональные данные или любую другую конфиденциальную информацию, в целях тестирования. Если для целей тестирования используется такая информация, все конфиденциальные данные и содержимое должно быть защищено путем удаления или модификации (см. ИСО/МЭК 29101 [26]).
Для защиты эксплуатационных данных, используемых в целях тестирования, должны применяться следующие рекомендации:
- a) процедуры контроля доступа, которые применяются к эксплуатируемым прикладным системам, должны также применяться к тестовым прикладным системам;
- b) необходимо запрашивать разрешение каждый раз, когда эксплуатируемые данные копируются в тестовую среду;
- c) информация из эксплуатируемой среды должна быть удалена из тестовой среды сразу после завершения тестирования;
- d) копирование и использование информации из эксплуатируемой среды должно регистрироваться для обеспечения аудита.
Дополнительная информация
Системные и приемочные испытания обычно требуют значительных объемов тестовых данных, максимально приближенных к эксплуатационным.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.33
А.8.33 Test information
Test information shall be appropriately selected, protected and managed.
Test information shall be appropriately selected, protected and managed.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.