Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014

Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения

Р. 7 п. 3 п.п. 6

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.3.4
12.3.4
Defined Approach Requirements: 
Hardware and software technologies in use are reviewed at least once every 12 months, including at least the following:
  • Analysis that the technologies continue to receive security fixes from vendors promptly. 
  • Analysis that the technologies continue to support (and do not preclude) the entity’s PCI DSS compliance.
  • Documentation of any industry announcements or trends related to a technology, such as when a vendor has announced “end of life” plans for a technology. 
  • Documentation of a plan, approved by senior management, to remediate outdated technologies, including those for which vendors have announced “end of life” plans. 
Customized Approach Objective:
The entity’s hardware and software technologies are up to date and supported by the vendor. Plans to remove or replace all unsupported system components are reviewed periodically. 

Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 

Defined Approach Testing Procedures:
  • 12.3.4 Examine documentation for the review of hardware and software technologies in use and interview personnel to verify that the review is in accordance with all elements specified in this requirement. 
Purpose:
Hardware and software technologies are constantly evolving, and organizations need to be aware of changes to the technologies they use, as well as the evolving threats to those technologies to ensure that they can prepare for, and manage, vulnerabilities in hardware and software that will not be remediated by the vendor or developer. 

Good Practice:
Organizations should review firmware versions to ensure they remain current and supported by the vendors. Organizations also need to be aware of changes made by technology vendors to their products or processes to understand how such changes may impact the organization’s use of the technology. 
Regular reviews of technologies that impact or influence PCI DSS controls can assist with purchasing, usage, and deployment strategies, and ensure controls that rely on those technologies remain effective. These reviews include, but are not limited to, reviewing technologies that are no longer supported by the vendor and/or no longer meet the security needs of the organization. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.3.4
12.3.4
Определенные Требования к Подходу:
Используемые аппаратные и программные технологии пересматриваются не реже одного раза в 12 месяцев, включая, по крайней мере, следующие:
  • Убедитесь, что технологии продолжают оперативно получать исправления безопасности от поставщиков.
  • Анализ того, что технологии продолжают поддерживать (и не препятствуют) соответствие организации стандарту PCI DSS.
  • Документирование любых отраслевых объявлений или тенденций, связанных с технологией, например, когда поставщик объявил о планах “окончания срока службы” технологии.
  • Документация плана, утвержденного высшим руководством, по исправлению устаревших технологий, в том числе тех, для которых поставщики объявили о планах “окончания срока службы”.
Цель Индивидуального подхода:
Аппаратные и программные технологии предприятия обновлены и поддерживаются поставщиком. Планы по удалению или замене всех неподдерживаемых компонентов системы периодически пересматриваются.

Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:
  • 12.3.4 Изучите документацию для проверки используемых аппаратных и программных технологий и опросите персонал, чтобы убедиться, что проверка соответствует всем элементам, указанным в этом требовании.
Цель:
Аппаратные и программные технологии постоянно развиваются, и организации должны быть осведомлены об изменениях в используемых ими технологиях, а также о возникающих угрозах для этих технологий, чтобы гарантировать, что они могут подготовиться к уязвимостям в аппаратном и программном обеспечении и управлять ими, которые не будут устранены поставщиком или разработчиком.

Надлежащая практика:
Организациям следует проверять версии встроенного ПО, чтобы убедиться, что они остаются актуальными и поддерживаются поставщиками. Организациям также необходимо знать об изменениях, вносимых поставщиками технологий в их продукты или процессы, чтобы понять, как такие изменения могут повлиять на использование технологии организацией.
Регулярные обзоры технологий, которые влияют или влияют на средства контроля PCI DSS, могут помочь в разработке стратегий приобретения, использования и развертывания и гарантировать, что средства контроля, основанные на этих технологиях, остаются эффективными. Эти проверки включают, но не ограничиваются ими, анализ технологий, которые больше не поддерживаются поставщиком и/или больше не отвечают потребностям организации в области безопасности.
Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":
Глава 8. Пункт 5.
8.5. Кредитная организация (головная кредитная организация банковской группы) описывает во внутренних документах архитектуру информационных систем и состав ее элементов, в том числе с учетом оценки влияния на них третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы):
  • информационных систем кредитной организации (головной кредитной организации банковской группы) с соотнесением их элементов с процессами в соответствии с подпунктом 4.1.1 пункта 4.1 настоящего Положения, выполнение которых они обеспечивают;
  • структуры информационного обмена между элементами информационных систем, используемых при обеспечении процессов кредитной организации (головной кредитной организации банковской группы);
  • информационных систем третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) и их элементов, обеспечивающих процессы кредитной организации (головной кредитной организации банковской группы), и структуры информационного обмена между их элементами и элементами других информационных систем кредитной организации (головной кредитной организации банковской группы). Кредитная организация (головная кредитная организация банковской группы) в случае отсутствия информации об информационных системах третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы) документирует причины и учитывает отсутствие указанной информации при оценке уровня риска информационных систем, в том числе в соответствии с абзацами седьмым и восьмым подпункта 8.7.2 пункта 8.7 настоящего Положения;
  • подразделений и работников подразделений кредитной организации (головной кредитной организации банковской группы) и (или) третьих лиц (внешних подрядчиков, контрагентов, участников банковской группы), являющихся пользователями и (или) обеспечивающих функционирование информационных систем. (Пункт в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)

Связанные защитные меры

Ничего не найдено