Куда я попал?
Стандарт Банка России № СТО БР ИББС-1.4-2018 от 01.07.2018
Управление риском нарушения информационной безопасности при аутсорсинге
Р. 9 п. 1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.4.2
12.4.2
Defined Approach Requirements:
Additional requirement for service providers only: Reviews are performed at least once every three months to confirm that personnel are performing their tasks in accordance with all security policies and operational procedures. Reviews are performed by personnel other than those responsible for performing the given task and include, but are not limited to, the following tasks:
Defined Approach Requirements:
Additional requirement for service providers only: Reviews are performed at least once every three months to confirm that personnel are performing their tasks in accordance with all security policies and operational procedures. Reviews are performed by personnel other than those responsible for performing the given task and include, but are not limited to, the following tasks:
- Daily log reviews.
- Configuration reviews for network security controls.
- Applying configuration standards to new systems.
- Responding to security alerts.
- Change-management processes.
Customized Approach Objective:
The operational effectiveness of critical PCI DSS controls is verified periodically by manual inspection of records.
Applicability Notes:
This requirement applies only when the entity being assessed is a service provider.
Defined Approach Testing Procedures:
The operational effectiveness of critical PCI DSS controls is verified periodically by manual inspection of records.
Applicability Notes:
This requirement applies only when the entity being assessed is a service provider.
Defined Approach Testing Procedures:
- 12.4.2.a Additional testing procedure for service provider assessments only: Examine policies and procedures to verify that processes are defined for conducting reviews to confirm that personnel are performing their tasks in accordance with all security policies and all operational procedures, including but not limited to the tasks specified in this requirement.
- 12.4.2.b Additional testing procedure for service provider assessments only: Interview responsible personnel and examine records of reviews to verify that reviews are performed:
- At least once every three months.
- By personnel other than those responsible for performing the given task.
Purpose:
Regularly confirming that security policies and procedures are being followed provides assurance that the expected controls are active and working as intended. This requirement is distinct from other requirements that specify a task to be performed. The objective of these reviews is not to reperform other PCI DSS requirements, but to confirm that security activities are being performed on an ongoing basis.
Good Practice:
These reviews can also be used to verify that appropriate evidence is being maintained—for example, audit logs, vulnerability scan reports, reviews of network security control rulesets—to assist in the entity’s preparation for its next PCI DSS assessment.
Examples:
Looking at Requirement 1.2.7 as one example, Requirement 12.4.2 is met by confirming, at least once every three months, that reviews of configurations of network security controls have occurred at the required frequency. On the other hand, Requirement 1.2.7 is met by reviewing those configurations as specified in the requirement.
Regularly confirming that security policies and procedures are being followed provides assurance that the expected controls are active and working as intended. This requirement is distinct from other requirements that specify a task to be performed. The objective of these reviews is not to reperform other PCI DSS requirements, but to confirm that security activities are being performed on an ongoing basis.
Good Practice:
These reviews can also be used to verify that appropriate evidence is being maintained—for example, audit logs, vulnerability scan reports, reviews of network security control rulesets—to assist in the entity’s preparation for its next PCI DSS assessment.
Examples:
Looking at Requirement 1.2.7 as one example, Requirement 12.4.2 is met by confirming, at least once every three months, that reviews of configurations of network security controls have occurred at the required frequency. On the other hand, Requirement 1.2.7 is met by reviewing those configurations as specified in the requirement.
Requirement 12.8.1
12.8.1
Defined Approach Requirements:
A list of all third-party service providers (TPSPs) with which account data is shared or that could affect the security of account data is maintained, including a description for each of the services provided.
Customized Approach Objective:
Records are maintained of TPSPs and the services provided.
Applicability Notes:
The use of a PCI DSS compliant TPSP does not make an entity PCI DSS compliant, nor does it remove the entity’s responsibility for its own PCI DSS compliance.
Defined Approach Testing Procedures:
Defined Approach Requirements:
A list of all third-party service providers (TPSPs) with which account data is shared or that could affect the security of account data is maintained, including a description for each of the services provided.
Customized Approach Objective:
Records are maintained of TPSPs and the services provided.
Applicability Notes:
The use of a PCI DSS compliant TPSP does not make an entity PCI DSS compliant, nor does it remove the entity’s responsibility for its own PCI DSS compliance.
Defined Approach Testing Procedures:
- 12.8.1.a Examine policies and procedures to verify that processes are defined to maintain a list of TPSPs, including a description for each of the services provided, for all TPSPs with whom account data is shared or that could affect the security of account data.
- 12.8.1.b Examine documentation to verify that a list of all TPSPs is maintained that includes a description of the services provided.
Purpose:
Maintaining a list of all TPSPs identifies where potential risk extends outside the organization and defines the organization’s extended attack surface.
Examples:
Different types of TPSPs include those that:
Maintaining a list of all TPSPs identifies where potential risk extends outside the organization and defines the organization’s extended attack surface.
Examples:
Different types of TPSPs include those that:
- Store, process, or transmit account data on the entity’s behalf (such as payment gateways, payment processors, payment service providers (PSPs), and off-site storage providers).
- Manage system components included in the entity’s PCI DSS assessment (such as providers of network security control services, anti-malware services, and security incident and event management (SIEM); contact and call centers; web-hosting companies; and IaaS, PaaS, SaaS, and FaaS cloud providers).
- Could impact the security of the entity’s CDE (such as vendors providing support via remote access, and bespoke software developers).
Guideline for a healthy information system v.2.0 (EN):
3 STANDARD
/STANDARD
When an organization wants to outsource its information system or data, it must assess, in advance, the risks specific to outsourced services (controlling the information system, remote actions, shared hosting, etc.) in order to take into account the needs ans suitable security measures when creating the requirements applicable to the future service provider. The information security system risks inherent in this type of approach may be linked to the context of the outsourcing operation, but also deficient or incomplete contractual specifications.
Therefore, in order to run smoothly the operations, it is important to:
When an organization wants to outsource its information system or data, it must assess, in advance, the risks specific to outsourced services (controlling the information system, remote actions, shared hosting, etc.) in order to take into account the needs ans suitable security measures when creating the requirements applicable to the future service provider. The information security system risks inherent in this type of approach may be linked to the context of the outsourcing operation, but also deficient or incomplete contractual specifications.
Therefore, in order to run smoothly the operations, it is important to:
- carefully study the offers’ conditions, the option of adapting them to the specific needs and the limits of the service provider’s responsibility;
- impose a list of specific requirements on the service provider: contract reversibility, the carrying out of audits, backup and data recovery in a
- standardised open format, security maintenance over time, etc.
To formalise these commitments, the service provider will provide the customer with a security insurance plan detailed in the bid. This is a contractual document describing all of the specific measures that the applicants commit to implementing in order to guarantee the security requirements specified by the organization are met.
The use of digital solutions or tools (hosted in the Cloud for example) is not considered here as it comes under the area of managed services and, moreover, is not advisable when processing sensitive data.
The use of digital solutions or tools (hosted in the Cloud for example) is not considered here as it comes under the area of managed services and, moreover, is not advisable when processing sensitive data.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.15.2.2
A.15.2.2 Управление изменениями услуг поставщика
Мера обеспечения информационной безопасности: Требуется управлять изменениями в предоставляемых поставщиками услугах, включая поддержку и улучшение существующих политик, процедур, а также мер и средств информационной безопасности, с учетом категории информации бизнеса, задействованных систем и процессов, а также результатов переоценки рисков информационной безопасности
Мера обеспечения информационной безопасности: Требуется управлять изменениями в предоставляемых поставщиками услугах, включая поддержку и улучшение существующих политик, процедур, а также мер и средств информационной безопасности, с учетом категории информации бизнеса, задействованных систем и процессов, а также результатов переоценки рисков информационной безопасности
A.15.2.1
A.15.2.1 Мониторинг и анализ услуг поставщика
Мера обеспечения информационной безопасности: Организация должна регулярно проводить мониторинг, проверку и аудит деятельности поставщика по предоставлению услу
Мера обеспечения информационной безопасности: Организация должна регулярно проводить мониторинг, проверку и аудит деятельности поставщика по предоставлению услу
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.8.1
12.8.1
Определенные Требования к Подходу:
Ведется список всех сторонних поставщиков услуг (TPSP), с которыми передаются данные учетной записи или которые могут повлиять на безопасность данных учетной записи, включая описание каждой из предоставляемых услуг.
Цель Индивидуального подхода:
Ведется учет TPPS и предоставляемых услуг.
Примечания по применению:
Использование TPSP, совместимого с PCI DSS, не делает организацию совместимой с PCI DSS и не снимает с организации ответственности за ее собственное соответствие требованиям PCI DSS.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Ведется список всех сторонних поставщиков услуг (TPSP), с которыми передаются данные учетной записи или которые могут повлиять на безопасность данных учетной записи, включая описание каждой из предоставляемых услуг.
Цель Индивидуального подхода:
Ведется учет TPPS и предоставляемых услуг.
Примечания по применению:
Использование TPSP, совместимого с PCI DSS, не делает организацию совместимой с PCI DSS и не снимает с организации ответственности за ее собственное соответствие требованиям PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 12.8.1.a Изучить политики и процедуры, чтобы убедиться, что определены процессы для ведения списка TPPS, включая описание для каждой из предоставляемых услуг, для всех TPPS, с которыми передаются данные учетной записи или которые могут повлиять на безопасность данных учетной записи.
- 12.8.1.b Изучите документацию, чтобы убедиться, что ведется список всех TPSP, который включает описание предоставляемых услуг.
Цель:
Ведение списка всех TPSP определяет, где потенциальный риск распространяется за пределы организации, и определяет расширенную зону атаки организации.
Примеры:
Различные типы TPSP включают те, которые:
Ведение списка всех TPSP определяет, где потенциальный риск распространяется за пределы организации, и определяет расширенную зону атаки организации.
Примеры:
Различные типы TPSP включают те, которые:
- Хранить, обрабатывать или передавать данные учетной записи от имени организации (например, платежные шлюзы, платежные процессоры, поставщики платежных услуг (PSP) и сторонние поставщики хранилища).
- Управляйте системными компонентами, включенными в оценку PCI DSS организации (например, поставщиками услуг контроля сетевой безопасности, услуг защиты от вредоносных программ и управления инцидентами и событиями безопасности (SIEM); контактными и колл-центрами; веб-хостинговыми компаниями; и облачными провайдерами IaaS, PaaS, SaaS и FaaS).
- Может повлиять на безопасность CDE организации (например, поставщики, предоставляющие поддержку через удаленный доступ, и разработчики программного обеспечения на заказ).
Requirement 12.4.2
12.4.2
Определенные Требования к Подходу:
Дополнительное требование только для поставщиков услуг: Проверки проводятся не реже одного раза в три месяца, чтобы подтвердить, что персонал выполняет свои задачи в соответствии со всеми политиками безопасности и операционными процедурами. Проверки выполняются персоналом, не являющимся ответственным за выполнение данной задачи, и включают, но не ограничиваются следующими задачами:
Определенные Требования к Подходу:
Дополнительное требование только для поставщиков услуг: Проверки проводятся не реже одного раза в три месяца, чтобы подтвердить, что персонал выполняет свои задачи в соответствии со всеми политиками безопасности и операционными процедурами. Проверки выполняются персоналом, не являющимся ответственным за выполнение данной задачи, и включают, но не ограничиваются следующими задачами:
- Ежедневные обзоры журналов.
- Проверка конфигурации для средств управления сетевой безопасностью.
- Применение стандартов конфигурации к новым системам.
- Реагирование на предупреждения системы безопасности.
- Процессы управления изменениями.
Цель Индивидуального подхода:
Оперативная эффективность критических средств контроля PCI DSS периодически проверяется путем ручной проверки записей.
Примечания по применению:
Это требование применяется только в том случае, если оцениваемый субъект является поставщиком услуг.
Определенные Процедуры Тестирования Подхода:
Оперативная эффективность критических средств контроля PCI DSS периодически проверяется путем ручной проверки записей.
Примечания по применению:
Это требование применяется только в том случае, если оцениваемый субъект является поставщиком услуг.
Определенные Процедуры Тестирования Подхода:
- 12.4.2.дополнительная процедура тестирования только для оценки поставщика услуг: Изучите политики и процедуры, чтобы убедиться, что определены процессы для проведения проверок, чтобы подтвердить, что персонал выполняет свои задачи в соответствии со всеми политиками безопасности и всеми операционными процедурами, включая, но не ограничиваясь задачами, указанными в этом требовании.
- 12.4.2.b Дополнительная процедура тестирования только для оценки поставщика услуг: Опросите ответственный персонал и изучите записи проверок, чтобы убедиться, что проверки проводятся:
- По крайней мере, раз в три месяца.
- Персоналом, отличным от тех, кто отвечает за выполнение данной задачи.
Цель:
Регулярное подтверждение соблюдения политик и процедур безопасности обеспечивает уверенность в том, что ожидаемые средства контроля активны и работают должным образом. Это требование отличается от других требований, которые определяют задачу, подлежащую выполнению. Целью этих проверок является не повторное выполнение других требований PCI DSS, а подтверждение того, что действия по обеспечению безопасности выполняются на постоянной основе.
Надлежащая практика:
Эти проверки также могут быть использованы для проверки наличия надлежащих доказательств — например, журналов аудита, отчетов о проверке уязвимостей, обзоров наборов правил контроля сетевой безопасности — чтобы помочь организации подготовиться к следующей оценке PCI DSS.
Примеры:
Рассматривая требование 1.2.7 в качестве одного из примеров, Требование 12.4.2 выполняется путем подтверждения, по крайней мере, один раз в три месяца, что проверки конфигураций средств управления сетевой безопасностью проводились с требуемой периодичностью. С другой стороны, требование 1.2.7 выполняется путем проверки этих конфигураций, как указано в требовании.
Регулярное подтверждение соблюдения политик и процедур безопасности обеспечивает уверенность в том, что ожидаемые средства контроля активны и работают должным образом. Это требование отличается от других требований, которые определяют задачу, подлежащую выполнению. Целью этих проверок является не повторное выполнение других требований PCI DSS, а подтверждение того, что действия по обеспечению безопасности выполняются на постоянной основе.
Надлежащая практика:
Эти проверки также могут быть использованы для проверки наличия надлежащих доказательств — например, журналов аудита, отчетов о проверке уязвимостей, обзоров наборов правил контроля сетевой безопасности — чтобы помочь организации подготовиться к следующей оценке PCI DSS.
Примеры:
Рассматривая требование 1.2.7 в качестве одного из примеров, Требование 12.4.2 выполняется путем подтверждения, по крайней мере, один раз в три месяца, что проверки конфигураций средств управления сетевой безопасностью проводились с требуемой периодичностью. С другой стороны, требование 1.2.7 выполняется путем проверки этих конфигураций, как указано в требовании.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.22
А.5.22 Мониторинг, проверка и управление изменениями предоставляемых сервисов
Организация должна мониторить, регулярно, анализировать, проверять и управлять изменениями в практиках ИБ в отношении поставщиков и предоставлении ими сервисов.
Организация должна мониторить, регулярно, анализировать, проверять и управлять изменениями в практиках ИБ в отношении поставщиков и предоставлении ими сервисов.
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
15.2.2
15.2.2 Управление изменениями услуг поставщика
Мера обеспечения ИБ
Требуется управлять изменениями в предоставляемых поставщиками услугах, включая поддержку и улучшение существующих политик, процедур, а также мер обеспечения ИБ, с учетом категории информации бизнеса, задействованных систем и процессов, а также результатов переоценки рисков ИБ.
Руководство по применению
Должны быть приняты во внимание следующие аспекты:
- a) изменения в соглашениях с поставщиками;
- b) изменения, проводимые организацией, для реализации:
- улучшения текущих предлагаемых услуг;
- разработки любых новых прикладных программ и систем;
- изменения или обновления политик и процедур организации;
- новых или измененных мер для устранения инцидентов ИБ и повышения безопасности;
- c) изменения в услугах поставщика для реализации:
- изменения и усовершенствования сетей;
- использования новых технологий;
- использования новых продуктов или новых версий/выпусков;
- использования новых инструментов и сред разработки;
- изменения физического расположения средств обслуживания;
- смены поставщиков;
- заключения контракта с другим субподрядчиком.
15.2.1
15.2.1 Мониторинг и анализ услуг поставщика
Мера обеспечения ИБ
Организации должны регулярно проводить мониторинг, проверку и аудит деятельности поставщика по предоставлению услуг.
Руководство по применению
Мониторинг и анализ услуг, предоставляемых поставщиком, должны обеспечивать уверенность в том, что положения и условия, касающиеся ИБ, отраженные в соглашениях, выполняются и что инциденты и проблемы в области ИБ решаются должным образом.
Это должно реализовываться при управлении услугами через процесс взаимодействия между организацией и поставщиком, чтобы:
- a) осуществлять мониторинг уровней предоставления услуг с целью проверки соблюдения условий соглашений;
- b) анализировать отчеты об услугах, подготовленные поставщиком, и организовывать регулярные рабочие встречи, как это определено соглашениями;
- c) проводить аудиты поставщиков вместе с анализом отчетов независимых аудиторов, если они есть, и осуществлять последующие действия по выявленным проблемам;
- d) предоставлять информацию об инцидентах ИБ и анализировать эту информацию в соответствии с требованиями соглашений и любых вспомогательных методических рекомендаций и процедур;
- e) анализировать контрольные записи поставщиков и записи о событиях безопасности, эксплуатационных проблемах, сбоях, обнаруженных ошибках и нарушениях, связанных с поставляемой услугой;
- f) решать любые выявленные проблемы и управлять ими;
- g) анализировать в разрезе аспектов ИБ отношения поставщика с его подрядчиками;
- h) гарантировать, что поставщик сохраняет достаточную способность обслуживания согласно работоспособным планам, разработанным для обеспечения согласованных уровней непрерывности обслуживания при значительных сбоях и аварийных ситуациях (раздел 17).
Ответственность за управление отношениями с поставщиками следует возлагать на специально назначенное лицо или группу по управлению услугами. Кроме того, организация должна обеспечить, чтобы поставщики установили обязанности по анализу соответствия и обеспечению выполнения требований соглашения. Должны быть выделены достаточные ресурсы с необходимыми техническими навыками для мониторинга того, что требования соглашения, в частности требования ИБ, выполняются. Необходимо предпринимать соответствующие действия при обнаружении недостатков в оказании услуг.
Организация должна поддерживать достаточный общий контроль и прозрачность всех аспектов безопасности в отношении информации ограниченного доступа или устройств обработки информации, к которым поставщик имеет доступ, использует их или управляет ими. Организация должна поддерживать прозрачность действий, связанных с безопасностью, таких как управление изменениями, выявление уязвимостей, а также составление отчетов об инцидентах ИБ и реагирование на них с помощью установленного процесса оповещения.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.22
А.5.22 Monitoring, review and change management of supplier services
The organization shall regularly monitor, review, evaluate and manage change in supplier information security practices and service delivery.
The organization shall regularly monitor, review, evaluate and manage change in supplier information security practices and service delivery.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.