Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 9.4.7
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений":
ЖЦ.28
ЖЦ.28 Реализация контроля уничтожения защищаемой информации в случаях, когда указанная информация больше не используется, в том числе содержащейся в архивах, с применением мер ПУИ.23-ПУИ.26
3-Н 2-О 1-О
3-Н 2-О 1-О
NIST Cybersecurity Framework (RU):
PR.IP-6
PR.IP-6: Уничтожение данных производиться в соответствии с политикой
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ИАФ.3
ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.8.3.2
A.8.3.2 Утилизация носителей информации
Мера обеспечения информационной безопасности: При выводе из эксплуатации носителей информации требуется их надежно и безопасно утилизировать, используя формализованные процедуры
Мера обеспечения информационной безопасности: При выводе из эксплуатации носителей информации требуется их надежно и безопасно утилизировать, используя формализованные процедуры
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.4.7
Примечания по применению:
Эти требования к уничтожению носителей, когда они больше не нужны по деловым или юридическим причинам, являются отдельными и отличными от требования PCI DSS 3.2.1, которое предназначено для
безопасного удаления данных о держателях карт, когда они больше не нужны, в соответствии с политикой хранения данных о держателях карт организации.
Определенные Процедуры Тестирования Подхода:
9.4.7
Определенные Требования к Подходу:
Электронный носитель с данными о держателе карты уничтожается, когда он больше не нужен по деловым или юридическим причинам, одним из следующих способов:
Определенные Требования к Подходу:
Электронный носитель с данными о держателе карты уничтожается, когда он больше не нужен по деловым или юридическим причинам, одним из следующих способов:
- Электронные носители информации уничтожены.
- Данные о владельце карты становятся невосстановимыми, так что их невозможно восстановить.
Цель Индивидуального подхода:
Данные о владельце карты не могут быть восстановлены с носителя, который был стерт или уничтожен.
Данные о владельце карты не могут быть восстановлены с носителя, который был стерт или уничтожен.
Примечания по применению:
Эти требования к уничтожению носителей, когда они больше не нужны по деловым или юридическим причинам, являются отдельными и отличными от требования PCI DSS 3.2.1, которое предназначено для
безопасного удаления данных о держателях карт, когда они больше не нужны, в соответствии с политикой хранения данных о держателях карт организации.
Определенные Процедуры Тестирования Подхода:
- 9.4.7.a Изучите политику периодического уничтожения носителей, чтобы убедиться, что определены процедуры уничтожения электронных носителей, когда они больше не нужны по деловым или юридическим причинам, в соответствии со всеми элементами, указанными в этом требовании.
- 9.4.7.b Наблюдайте за процессом уничтожения носителей и опросите ответственный персонал, чтобы убедиться, что электронные носители с данными о держателях карт уничтожены одним из способов, указанных в этом требовании.
Цель:
Если не будут приняты меры для уничтожения информации, содержащейся на электронных носителях, когда она больше не нужна, злоумышленники могут извлечь информацию с утилизированных носителей, что приведет к компрометации данных. Например, злоумышленники могут использовать технику, известную как “погружение в мусорный контейнер”, когда они просматривают мусорные баки и мусорные баки в поисках информации, которую они могут использовать для запуска атаки.
Надлежащая практика:
Функция удаления в большинстве операционных систем позволяет восстановить удаленные данные, поэтому вместо этого следует использовать специальную функцию безопасного удаления или приложение, чтобы сделать данные невосстановимыми.
Примеры:
Способы безопасного уничтожения электронных носителей включают безопасную очистку в соответствии с принятыми в отрасли стандартами для безопасного удаления, размагничивания или физического уничтожения (например, измельчения или измельчения жестких дисков).
Дополнительная информация:
См. Специальную публикацию NIST 800-88, Редакция 1: Руководство по санитарной обработке носителей
Если не будут приняты меры для уничтожения информации, содержащейся на электронных носителях, когда она больше не нужна, злоумышленники могут извлечь информацию с утилизированных носителей, что приведет к компрометации данных. Например, злоумышленники могут использовать технику, известную как “погружение в мусорный контейнер”, когда они просматривают мусорные баки и мусорные баки в поисках информации, которую они могут использовать для запуска атаки.
Надлежащая практика:
Функция удаления в большинстве операционных систем позволяет восстановить удаленные данные, поэтому вместо этого следует использовать специальную функцию безопасного удаления или приложение, чтобы сделать данные невосстановимыми.
Примеры:
Способы безопасного уничтожения электронных носителей включают безопасную очистку в соответствии с принятыми в отрасли стандартами для безопасного удаления, размагничивания или физического уничтожения (например, измельчения или измельчения жестких дисков).
Дополнительная информация:
См. Специальную публикацию NIST 800-88, Редакция 1: Руководство по санитарной обработке носителей
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ИАФ.3
ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.10
А.8.10 Уничтожение информации
Информация, хранящаяся в информационных системах, устройствах или на любых иных носителях информации, подлежит удалению, если она не требуется более.
Информация, хранящаяся в информационных системах, устройствах или на любых иных носителях информации, подлежит удалению, если она не требуется более.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗНИ.8
ЗНИ.8 Уничтожение (стирание) информации на машинных носителях информации
NIST Cybersecurity Framework (EN):
PR.IP-6
PR.IP-6: Data is destroyed according to policy
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗНИ.8
ЗНИ.8 Уничтожение (стирание) информации на машинных носителях информации
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
8.3.2
8.3.2 Утилизация носителей информации
Мера обеспечения ИБ
При выводе из эксплуатации носителей информации требуется их надежно и безопасно утилизировать, используя формализованные процедуры.
Руководство по применению
Должны быть установлены формализованные процедуры для надежной утилизации носителей для уменьшения риска утечки конфиденциальной информации неавторизованным лицам. Процедуры надежной утилизации носителей, содержащих конфиденциальную информацию, должны соответствовать степени доступности к ограниченной информации. Необходимо рассмотреть следующие вопросы:
- a) носители, содержащие конфиденциальную информацию, следует хранить и надежно утилизировать, например посредством сжигания или измельчения, или же стирания информации, если носители планируют использовать для другого приложения в пределах организации;
- b) должны существовать процедуры по выявлению элементов, для которых может потребоваться надежная утилизация;
- c) может оказаться проще организовать сбор и надежную утилизацию в отношении всех носителей информации, чем пытаться выделить носители с информацией ограниченного доступа;
- d) многие организации предлагают услуги по сбору и утилизации носителей; следует уделять особое внимание выбору подходящего подрядчика с учетом имеющегося у него опыта и применяемых адекватных мер обеспечения безопасности;
- e) утилизацию носителей, содержащих информацию ограниченного доступа, следует фиксировать как контрольную запись для аудита.
При накоплении носителей, подлежащих утилизации, следует учитывать "эффект накопления", который может стать причиной того, что большое количество информации неограниченного доступа становится доступной.
Дополнительная информация
Для поврежденных устройств, содержащих информацию ограниченного доступа, может потребоваться оценка рисков на предмет того, должны ли эти устройства быть физически уничтожены, а не отправлены в ремонт или выброшены (см. 11.2.7).
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.10
А.8.10 Information deletion
Information stored in information systems, devices or in any other storage media shall be deleted when no longer required.
Information stored in information systems, devices or in any other storage media shall be deleted when no longer required.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.