Куда я попал?
Стандарт Банка России № РС БР ИББС-2.5-2014 от 01.06.2014
Менеджмент инцидентов информационной безопасности
Р. 8 п. 3
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 1.2.6
1.2.6
Defined Approach Requirements:
Security features are defined and implemented for all services, protocols, and ports that are in use and considered to be insecure, such that the risk is mitigated.
Customized Approach Objective:
The specific risks associated with the use of insecure services, protocols, and ports are understood, assessed, and appropriately mitigated.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Security features are defined and implemented for all services, protocols, and ports that are in use and considered to be insecure, such that the risk is mitigated.
Customized Approach Objective:
The specific risks associated with the use of insecure services, protocols, and ports are understood, assessed, and appropriately mitigated.
Defined Approach Testing Procedures:
- 1.2.6.a Examine documentation that identifies all insecure services, protocols, and ports in use to verify that for each, security features are defined to mitigate the risk.
- 1.2.6.b Examine configuration settings for NSCs to verify that the defined security features are implemented for each identified insecure service, protocol, and port.
Purpose:
Compromises take advantage of insecure network configurations.
Good Practice:
If insecure services, protocols, or ports are necessary for business, the risk posed by these services, protocols, and ports should be clearly understood and accepted by the organization, the use of the service, protocol, or port should be justified, and the security features that mitigate the risk of using these services, protocols, and ports should be defined and implemented by the entity.
Further Information:
For guidance on services, protocols, or ports considered to be insecure, refer to industry standards and guidance (for example, from NIST, ENISA, OWASP).
Compromises take advantage of insecure network configurations.
Good Practice:
If insecure services, protocols, or ports are necessary for business, the risk posed by these services, protocols, and ports should be clearly understood and accepted by the organization, the use of the service, protocol, or port should be justified, and the security features that mitigate the risk of using these services, protocols, and ports should be defined and implemented by the entity.
Further Information:
For guidance on services, protocols, or ports considered to be insecure, refer to industry standards and guidance (for example, from NIST, ENISA, OWASP).
Requirement 11.4.4
11.4.4
Defined Approach Requirements:
Exploitable vulnerabilities and security weaknesses found during penetration testing are corrected as follows:
Defined Approach Requirements:
Exploitable vulnerabilities and security weaknesses found during penetration testing are corrected as follows:
- In accordance with the entity’s assessment of the risk posed by the security issue as defined in Requirement 6.3.1.
- Penetration testing is repeated to verify the corrections.
Customized Approach Objective:
Vulnerabilities and security weaknesses found while verifying system defenses are mitigated.
Defined Approach Testing Procedures:
Vulnerabilities and security weaknesses found while verifying system defenses are mitigated.
Defined Approach Testing Procedures:
- 11.4.4 Examine penetration testing results to verify that noted exploitable vulnerabilities and security weaknesses were corrected in accordance with all elements specified in this requirement.
Purpose:
The results of a penetration test are usually a prioritized list of vulnerabilities discovered by the exercise. Often a tester will have chained a number of vulnerabilities together to compromise a system component. Remediating the vulnerabilities found by a penetration test significantly reduces the probability that the same vulnerabilities will be exploited by a malicious attacker.
Using the entity’s own vulnerability risk assessment process (see requirement 6.3.1) ensures that the vulnerabilities that pose the highest risk to the entity will be remediated more quickly.
Good Practice:
As part of the entity’s assessment of risk, entities should consider how likely the vulnerability is to be exploited and whether there are other controls present in the environment to reduce the risk.
Any weaknesses that point to PCI DSS requirements not being met should be addressed.
The results of a penetration test are usually a prioritized list of vulnerabilities discovered by the exercise. Often a tester will have chained a number of vulnerabilities together to compromise a system component. Remediating the vulnerabilities found by a penetration test significantly reduces the probability that the same vulnerabilities will be exploited by a malicious attacker.
Using the entity’s own vulnerability risk assessment process (see requirement 6.3.1) ensures that the vulnerabilities that pose the highest risk to the entity will be remediated more quickly.
Good Practice:
As part of the entity’s assessment of risk, entities should consider how likely the vulnerability is to be exploited and whether there are other controls present in the environment to reduce the risk.
Any weaknesses that point to PCI DSS requirements not being met should be addressed.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.12.7.1
A.12.7.1 Меры обеспечения информационной безопасности в отношении аудита информационных систем
Мера обеспечения информационной безопасности: Требования к процессу регистрации событий (аудиту) и деятельности, связанной с контролем находящихся в эксплуатации систем, должны быть тщательно спланированы и согласованы для минимизации сбоев в бизнес-процессах
Мера обеспечения информационной безопасности: Требования к процессу регистрации событий (аудиту) и деятельности, связанной с контролем находящихся в эксплуатации систем, должны быть тщательно спланированы и согласованы для минимизации сбоев в бизнес-процессах
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 11.4.4
11.4.4
Определенные Требования к Подходу:
Уязвимые места и недостатки безопасности, обнаруженные в ходе тестирования на проникновение, исправляются следующим образом:
Определенные Требования к Подходу:
Уязвимые места и недостатки безопасности, обнаруженные в ходе тестирования на проникновение, исправляются следующим образом:
- В соответствии с оценкой субъектом риска, связанного с проблемой безопасности, как определено в Требовании 6.3.1.
- Тестирование на проникновение повторяется для проверки исправлений.
Цель Индивидуального подхода:
Уязвимости и слабые места в системе безопасности, обнаруженные при проверке системной защиты, устраняются.
Определенные Процедуры Тестирования Подхода:
Уязвимости и слабые места в системе безопасности, обнаруженные при проверке системной защиты, устраняются.
Определенные Процедуры Тестирования Подхода:
- 11.4.4 Изучите результаты тестирования на проникновение, чтобы убедиться, что отмеченные уязвимые места и недостатки безопасности были исправлены в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Результаты теста на проникновение обычно представляют собой приоритетный список уязвимостей, обнаруженных в ходе проверки. Часто тестировщик связывает несколько уязвимостей вместе, чтобы скомпрометировать системный компонент. Устранение уязвимостей, обнаруженных с помощью теста на проникновение, значительно снижает вероятность того, что те же уязвимости будут использованы злоумышленником.
Использование собственного процесса оценки риска уязвимости организации (см. требование 6.3.1) гарантирует, что уязвимости, представляющие наибольший риск для организации, будут устранены быстрее.
Надлежащая практика:
В рамках оценки риска субъектом субъекты должны учитывать, насколько вероятно использование уязвимости и существуют ли в среде другие средства контроля для снижения риска.
Любые недостатки, указывающие на несоблюдение требований PCI DSS, должны быть устранены.
Результаты теста на проникновение обычно представляют собой приоритетный список уязвимостей, обнаруженных в ходе проверки. Часто тестировщик связывает несколько уязвимостей вместе, чтобы скомпрометировать системный компонент. Устранение уязвимостей, обнаруженных с помощью теста на проникновение, значительно снижает вероятность того, что те же уязвимости будут использованы злоумышленником.
Использование собственного процесса оценки риска уязвимости организации (см. требование 6.3.1) гарантирует, что уязвимости, представляющие наибольший риск для организации, будут устранены быстрее.
Надлежащая практика:
В рамках оценки риска субъектом субъекты должны учитывать, насколько вероятно использование уязвимости и существуют ли в среде другие средства контроля для снижения риска.
Любые недостатки, указывающие на несоблюдение требований PCI DSS, должны быть устранены.
Requirement 1.2.6
1.2.6
Определенные Требования к Подходу:
Функции безопасности определяются и реализуются для всех служб, протоколов и портов, которые используются и считаются небезопасными, таким образом, чтобы снизить риск.
Цель Индивидуального подхода:
Конкретные риски, связанные с использованием небезопасных служб, протоколов и портов, понимаются, оцениваются и соответствующим образом смягчаются.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Функции безопасности определяются и реализуются для всех служб, протоколов и портов, которые используются и считаются небезопасными, таким образом, чтобы снизить риск.
Цель Индивидуального подхода:
Конкретные риски, связанные с использованием небезопасных служб, протоколов и портов, понимаются, оцениваются и соответствующим образом смягчаются.
Определенные Процедуры Тестирования Подхода:
- 1.2.6.a Изучите документацию, в которой указаны все используемые небезопасные службы, протоколы и порты, чтобы убедиться, что для каждого из них определены функции безопасности для снижения риска.
- 1.2.6.b Изучите параметры конфигурации для NSCS, чтобы убедиться, что определенные функции безопасности реализованы для каждой идентифицированной небезопасной службы, протокола и порта.
Цель:
Компрометируются небезопасные сетевые конфигурации.
Надлежащая практика:
Если для бизнеса необходимы небезопасные службы, протоколы или порты, организация должна четко понимать и принимать риски, связанные с этими службами, протоколами и портами. Использование службы, протокола или порта должно быть оправдано, а функции безопасности, которые снижают риск использования этих служб, протоколов и портов должны быть определены и реализованы организацией.
Дополнительная информация:
Для получения рекомендаций по службам, протоколам или портам, которые считаются небезопасными, обратитесь к отраслевым стандартам и рекомендациям (например, от NIST, ENISA, OWASP).
Компрометируются небезопасные сетевые конфигурации.
Надлежащая практика:
Если для бизнеса необходимы небезопасные службы, протоколы или порты, организация должна четко понимать и принимать риски, связанные с этими службами, протоколами и портами. Использование службы, протокола или порта должно быть оправдано, а функции безопасности, которые снижают риск использования этих служб, протоколов и портов должны быть определены и реализованы организацией.
Дополнительная информация:
Для получения рекомендаций по службам, протоколам или портам, которые считаются небезопасными, обратитесь к отраслевым стандартам и рекомендациям (например, от NIST, ENISA, OWASP).
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.34
А.8.34 Защита информационных систем при аудиторском тестировании
Аудиторские тесты и иные действия по обеспечению уверенности, связанные с оценкой операционных систем, должны планироваться и согласовываться между тестировщиком и соответствующим руководством.
Аудиторские тесты и иные действия по обеспечению уверенности, связанные с оценкой операционных систем, должны планироваться и согласовываться между тестировщиком и соответствующим руководством.
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
12.7.1
12.7.1 Меры обеспечения информационной безопасности в отношении аудита информационных систем
Мера обеспечения ИБ
Требования к процессу регистрации событий [аудиту] и деятельности, связанной с контролем находящихся в эксплуатации систем, должны быть тщательно спланированы и согласованы для минимизации сбоев в бизнес-процессах.
Руководство по применению
Необходимо придерживаться следующих рекомендаций:
- a) требования доступа к системам и данным для проведения аудита должны быть согласованы с соответствующим руководством;
- b) область действия технического аудита должна быть согласована и проконтролирована;
- c) аудиторские тесты должны быть ограничены доступом уровня "только на чтение" в отношении программного обеспечения и данных;
- d) доступ, отличный от режима "только на чтение", должен быть разрешен только для изолированных копий системных файлов, которые должны быть уничтожены по завершении аудита или обеспечены соответствующей защитой, если существует необходимость сохранять такие файлы в соответствии с требованиями документации по аудиту;
- e) требования к специальной и дополнительной обработке должны быть идентифицированы и согласованы;
- f) аудиторские тесты, которые могут повлиять на доступность системы, следует проводить в нерабочее время;
- g) любой доступ должен контролироваться и регистрироваться для создания прослеживаемости.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.34
А.8.34 Protection of information systems during audit testing
Audit tests and other assurance activities involving assessment of operational systems shall be planned and agreed between the tester and appropriate management.
Audit tests and other assurance activities involving assessment of operational systems shall be planned and agreed between the tester and appropriate management.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.