Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014

Р. 7 п. 10 п.п. 4 п.п.п. 3

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.4.6
9.4.6
Defined Approach Requirements: 
Hard-copy materials with cardholder data are destroyed when no longer needed for business or legal reasons, as follows:
  • Materials are cross-cut shredded, incinerated, or pulped so that cardholder data cannot be reconstructed.
  • Materials are stored in secure storage containers prior to destruction. 
Customized Approach Objective:
Cardholder data cannot be recovered from media that has been destroyed or which is pending destruction. 

Applicability Notes:
These requirements for media destruction when that media is no longer needed for business or legal reasons are separate and distinct from PCI DSS Requirement 3.2.1, which is for securely deleting cardholder data when no longer needed per the entity’s cardholder data retention policies. 

Defined Approach Testing Procedures:
  • 9.4.6.a Examine the periodic media destruction policy to verify that procedures are defined to destroy hard-copy media with cardholder data when no longer needed for business or legal reasons in accordance with all elements specified in this requirement. 
  • 9.4.6.b Observe processes and interview personnel to verify that hard-copy materials are cross-cut shredded, incinerated, or pulped such that cardholder data cannot be reconstructed. 
  • 9.4.6.c Observe storage containers used for materials that contain information to be destroyed to verify that the containers are secure. 
Purpose:
If steps are not taken to destroy information contained on hard-copy media before disposal, malicious individuals may retrieve information from the disposed media, leading to a data compromise. For example, malicious individuals may use a technique known as “dumpster diving,” where they search through trashcans and recycle bins looking for hard-copy materials with information they can use to launch an attack. 
Securing storage containers used for materials that are going to be destroyed prevents sensitive information from being captured while the materials are being collected. 

Good Practice:
Consider “to-be-shredded” containers with a lock that prevents access to its contents or that physically prevent access to the inside of the container. 

Further Information:
See NIST Special Publication 800-88, Revision 1: Guidelines for Media Sanitization. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.4.6
9.4.6
Определенные Требования к Подходу:
Печатные материалы с данными о держателях карт уничтожаются, когда они больше не нужны по деловым или юридическим причинам, следующим образом:
  • Материалы разрезаются поперек, измельчаются, сжигаются или измельчаются в порошок, так что данные о владельцах карт не могут быть восстановлены.
  • Материалы хранятся в безопасных контейнерах для хранения перед уничтожением.
Цель Индивидуального подхода:
Данные о владельце карты не могут быть восстановлены с носителя, который был уничтожен или который ожидает уничтожения.

Примечания по применению:
Эти требования к уничтожению носителей, когда они больше не нужны по деловым или юридическим причинам, являются отдельными и отличными от требования PCI DSS 3.2.1, которое предназначено для безопасного удаления данных о держателях карт, когда они больше не нужны, в соответствии с политикой хранения данных о держателях карт организации.

Определенные Процедуры Тестирования Подхода:
  • 9.4.6.a Изучите политику периодического уничтожения носителей, чтобы убедиться, что определены процедуры уничтожения печатных носителей с данными о держателях карт, когда они больше не нужны по деловым или юридическим причинам, в соответствии со всеми элементами, указанными в этом требовании.
  • 9.4.6.b Наблюдайте за процессами и опрашивайте персонал, чтобы убедиться, что печатные материалы разрезаны поперек, измельчены, сожжены или измельчены таким образом, что данные о держателях карт не могут быть восстановлены.
  • 9.4.6.c Наблюдайте за контейнерами для хранения, используемыми для материалов, содержащих информацию, подлежащую уничтожению, чтобы убедиться в безопасности контейнеров.
Цель:
Если перед утилизацией не будут приняты меры для уничтожения информации, содержащейся на бумажных носителях, злоумышленники могут извлечь информацию с утилизированных носителей, что приведет к компрометации данных. Например, злоумышленники могут использовать технику, известную как “погружение в мусорный контейнер”, когда они просматривают мусорные баки и мусорные баки в поисках печатных материалов с информацией, которую они могут использовать для запуска атаки.
Защита контейнеров для хранения, используемых для материалов, которые будут уничтожены, предотвращает захват конфиденциальной информации во время сбора материалов.

Надлежащая практика:
Рассмотрите контейнеры ”для измельчения" с замком, который предотвращает доступ к его содержимому, или которые физически препятствуют доступу к внутренней части контейнера.

Дополнительная информация:
См. В Специальной публикации NIST 800-88, Редакция 1: Руководство по санитарной обработке носителей.