Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014

Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения

Р. 7 п. 3 п.п. 5

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 6.5.6
6.5.6
Defined Approach Requirements: 
Test data and test accounts are removed from system components before the system goes into production. 

Customized Approach Objective:
Test data and test accounts cannot exist in production environments. 

Defined Approach Testing Procedures:
  • 6.5.6.a Examine policies and procedures to verify that processes are defined for removal of test data and test accounts from system components before the system goes into production. 
  • 6.5.6.b Observe testing processes for both off-theshelf software and in-house applications, and interview personnel to verify test data and test accounts are removed before a system goes into production. 
  • 6.5.6.c Examine data and accounts for recently installed or updated off-the-shelf software and inhouse applications to verify there is no test data or test accounts on systems in production. 
Purpose:
This data may give away information about the functioning of an application or system and is an easy target for unauthorized individuals to exploit to gain access to systems. Possession of such information could facilitate compromise of the system and related account data. 
Requirement 6.5.5
6.5.5
Defined Approach Requirements: 
Live PANs are not used in pre-production environments, except where those environments are included in the CDE and protected in accordance with all applicable PCI DSS requirements. 

Customized Approach Objective:
Live PANs cannot be present in pre-production environments outside the CDE. 

Defined Approach Testing Procedures:
  • 6.5.5.a Examine policies and procedures to verify that processes are defined for not using live PANs in pre-production environments, except where those environments are in a CDE and protected in accordance with all applicable PCI DSS requirements. 
  • 6.5.5.b Observe testing processes and interview personnel to verify procedures are in place to ensure live PANs are not used in pre-production environments, except where those environments are in a CDE and protected in accordance with all applicable PCI DSS requirements. 
  • 6.5.5.c Examine pre-production test data to verify live PANs are not used in pre-production environments, except where those environments are in a CDE and protected in accordance with all applicable PCI DSS requirements. 
Purpose:
Use of live PANs outside of protected CDEs provides malicious individuals with the opportunity to gain unauthorized access to cardholder data. 

Good Practice:
Entities can minimize their storage of live PANs by only storing them in pre-production when strictly necessary for a specific and defined testing purpose and securely deleting that data after use. 
If an entity requires PANs specifically designed for test purposes, these can be obtained from acquirers. 

Definitions:
Live PANs refer to valid PANs (not test PANs) that have the potential to be used to conduct payment transactions. Additionally, when payment cards expire, the same PAN is often reused with a different expiry date. All PANs must be verified as being unable to conduct payment transactions before they are excluded from PCI DSS scope. It is the responsibility of the entity to confirm that PANs are not live. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.14.2.8
A.14.2.8 Тестирование безопасности систем 
Мера обеспечения информационной безопасности: Тестирование функциональных возможностей безопасности должно осуществляться в процессе разработки 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 6.5.6
6.5.6
Определенные Требования к Подходу:
Тестовые данные и тестовые учетные записи удаляются из компонентов системы перед запуском системы в эксплуатацию.

Цель Индивидуального подхода:
Тестовые данные и тестовые учетные записи не могут существовать в производственных средах.

Определенные Процедуры Тестирования Подхода:
  • 6.5.6.a Изучите политики и процедуры, чтобы убедиться, что определены процессы для удаления тестовых данных и тестовых учетных записей из компонентов системы до запуска системы в производство.
  • 6.5.6.b Наблюдать за процессами тестирования как готового программного обеспечения, так и собственных приложений, а также проводить собеседования с персоналом для проверки того, что тестовые данные и тестовые учетные записи удаляются до запуска системы в производство.
  • 6.5.6.c Изучите данные и учетные записи для недавно установленного или обновленного готового программного обеспечения и собственных приложений, чтобы убедиться в отсутствии тестовых данных или тестовых учетных записей в производственных системах.
Цель:
Эти данные могут выдавать информацию о функционировании приложения или системы и являются легкой мишенью для использования неавторизованными лицами для получения доступа к системам. Обладание такой информацией может способствовать компрометации системы и связанных с ней данных учетной записи.
Requirement 6.5.5
6.5.5
Определенные Требования к Подходу:
Текущие PANs не используются в предпроизводственных средах, за исключением случаев, когда эти среды включены в CDE и защищены в соответствии со всеми применимыми требованиями PCI DSS.

Цель Индивидуального подхода:
Текущие PANs не могут присутствовать в среде предварительного производства за пределами CDE.

Определенные Процедуры Тестирования Подхода:
  • 6.5.5.a Изучите политики и процедуры, чтобы убедиться, что процессы определены для отказа от использования live PANs в предпроизводственных средах, за исключением случаев, когда эти среды находятся в CDE и защищены в соответствии со всеми применимыми требованиями PCI DSS.
  • 6.5.5.b Наблюдайте за процессами тестирования и опрашивайте персонал, чтобы убедиться в наличии процедур, гарантирующих, что live PANs не используются в предпроизводственных средах, за исключением случаев, когда эти среды находятся в CDE и защищены в соответствии со всеми применимыми требованиями PCI DSS.
  • 6.5.5.c Изучите данные предпроизводственных тестов, чтобы убедиться, что live PANs не используются в предпроизводственных средах, за исключением случаев, когда эти среды находятся в CDE и защищены в соответствии со всеми применимыми требованиями PCI DSS.
Цель:
Использование текущих PANs за пределами защищенных CDE предоставляет злоумышленникам возможность получить несанкционированный доступ к данным о держателях карт.

Надлежащая практика:
Организации могут свести к минимуму хранение данных в режиме реального времени, сохраняя их только в стадии подготовки к производству, когда это строго необходимо для конкретной и определенной цели тестирования, и безопасно удаляя эти данные после использования.
Если предприятию требуются PAN, специально разработанные для целей тестирования, их можно получить у покупателей.

Определения:
Текущие PANs относятся к действительным PANs (не тестовым PANs), которые потенциально могут быть использованы для проведения платежных транзакций. Кроме того, когда срок действия платежных карт истекает, один и тот же PAN часто используется повторно с другой датой истечения срока действия. Все PANS должны быть проверены как неспособные проводить платежные транзакции, прежде чем они будут исключены из сферы действия PCI DSS. Организация несет ответственность за подтверждение того, что кастрюли не находятся в режиме реального времени.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.29
А.8.29 Тестирование безопасности в разработке и приемке
В жизненном цикле разработки должны быть определены и внедрены процессы тестирования безопасности разрабатываемого продукта.
А.8.33
А.8.33 Тестовая информация
Данные для тестирования должны быть соответствующим образом отобраны, защищены. Процесс подбора данных должен быть управляемым.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.33
А.8.33 Test information
Test information shall be appropriately selected, protected and managed.
А.8.29
А.8.29 Security testing in development and acceptance
Security testing processes shall be defined and implemented in the development life cycle.

Связанные защитные меры

Ничего не найдено