Куда я попал?
Strategies to Mitigate Cyber Security Incidents (EN)
Framework
2.10.
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
CIS Critical Security Controls v8 (The 18 CIS CSC):
3.13
3.13 Deploy a Data Loss Prevention Solution
Implement an automated tool, such as a host-based Data Loss Prevention (DLP) tool to identify all sensitive data stored, processed, or transmitted through enterprise assets, including those located onsite or at a remote service provider, and update the enterprise’s sensitive data inventory
Implement an automated tool, such as a host-based Data Loss Prevention (DLP) tool to identify all sensitive data stored, processed, or transmitted through enterprise assets, including those located onsite or at a remote service provider, and update the enterprise’s sensitive data inventory
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ПУИ.1
ПУИ.1 Блокирование неразрешенной и контроль (анализ) разрешенной передачи информации конфиденциального характера на внешние адреса электронной почты
3-Н 2-Т 1-Т
3-Н 2-Т 1-Т
NIST Cybersecurity Framework (RU):
PR.DS-5
PR.DS-5: Реализована защита от утечки данных
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
3.13
3.13 Развернуты решения для предотвращения утечки данных (например, DLP)
Развернуть DLP-решение
Развернуть DLP-решение
Стандарт Банка России № РС БР ИББС-2.9-2016 от 01.05.2016 "Предотвращение утечек информации":
Р. 8 п. 2
8.2. Организации БС РФ рекомендуется рассматривать следующие потенциальные каналы утечки информации:
– передача информации за пределы контролируемой информационной инфраструктуры организации БС РФ с применением электронной почты;
– передача информации за пределы контролируемой информационной инфраструктуры организации БС РФ с применением сервисов сети Интернет и беспроводных сетей, в том числе социальных сетей и форумов;
– размещение информации конфиденциального характера на объекте информационной инфраструктуры организации БС РФ, не предназначенном для ее хранения;
– удаленный доступ к информационной инфраструктуре организации БС РФ с использованием сети Интернет; – копирование информации на переносные носители информации;
– передача информации за пределы объектов организации БС РФ с использованием факсимильной, телефонной и (или) телетайпной связи;
– печать и (или) копирование информации на бумажные носители, в том числе с последующим их выносом за пределы организации БС РФ и (или) передачей информации за пределы объектов организации БС РФ с использованием факсимильной связи;
– использование и (или) утеря переносных носителей информации за пределами информационной инфраструктуры организации БС РФ;
– использование и (или) утеря переносных (портативных) средств вычислительной техники за пределами информационной инфраструктуры организации БС РФ;
– передача (вынос) средств вычислительной техники за пределы организации БС РФ, в том числе для технического обслуживания, ремонта и (или) утилизации;
– визуальное (включая фотографирование и видеосъемку) и слуховое (без использования специализированных технических средств) ознакомление с информацией.
– передача информации за пределы контролируемой информационной инфраструктуры организации БС РФ с применением электронной почты;
– передача информации за пределы контролируемой информационной инфраструктуры организации БС РФ с применением сервисов сети Интернет и беспроводных сетей, в том числе социальных сетей и форумов;
– размещение информации конфиденциального характера на объекте информационной инфраструктуры организации БС РФ, не предназначенном для ее хранения;
– удаленный доступ к информационной инфраструктуре организации БС РФ с использованием сети Интернет; – копирование информации на переносные носители информации;
– передача информации за пределы объектов организации БС РФ с использованием факсимильной, телефонной и (или) телетайпной связи;
– печать и (или) копирование информации на бумажные носители, в том числе с последующим их выносом за пределы организации БС РФ и (или) передачей информации за пределы объектов организации БС РФ с использованием факсимильной связи;
– использование и (или) утеря переносных носителей информации за пределами информационной инфраструктуры организации БС РФ;
– использование и (или) утеря переносных (портативных) средств вычислительной техники за пределами информационной инфраструктуры организации БС РФ;
– передача (вынос) средств вычислительной техники за пределы организации БС РФ, в том числе для технического обслуживания, ремонта и (или) утилизации;
– визуальное (включая фотографирование и видеосъемку) и слуховое (без использования специализированных технических средств) ознакомление с информацией.
Р. 10 п. 6
10.6. В части обеспечения контроля выполнения процессов мониторинга и контроля потенциальных каналов утечки информации службе ИБ организации БС РФ рекомендуется:
– осуществлять автоматизированный контроль включения в область действия процессов мониторинга и контроля потенциальных каналов утечки информации всех учтенных объектов среды информационных активов информации конфиденциального характера;
– участвовать в разработке и согласовывать внутренние документы, регламентирующие выполнение процессов мониторинга и контроля потенциальных каналов утечки информации, разрабатываемые в соответствии с рекомендациями пункта 10.3 настоящих рекомендаций;
– осуществлять периодический контроль реализации организационных мер предотвращения утечек информации, применяемых в соответствии с внутренними документами, разрабатываемыми в соответствии с рекомендациями пункта 10.3 настоящих рекомендаций;
– осуществлять регулярный автоматизированный контроль эксплуатации и использования средств автоматизации, применяемых в соответствии с рекомендациями пункта 10.4 настоящих рекомендаций;
– осуществлять непрерывный мониторинг информационных потоков, реализуемый с использованием средств автоматизации, реализующих контентный анализ, применяемых в соответствии с рекомендациями пункта 10.4 настоящих рекомендаций;
– осуществлять мониторинг общедоступных ресурсов сети Интернет с целью выявления публикаций информации конфиденциального характера.
– осуществлять автоматизированный контроль включения в область действия процессов мониторинга и контроля потенциальных каналов утечки информации всех учтенных объектов среды информационных активов информации конфиденциального характера;
– участвовать в разработке и согласовывать внутренние документы, регламентирующие выполнение процессов мониторинга и контроля потенциальных каналов утечки информации, разрабатываемые в соответствии с рекомендациями пункта 10.3 настоящих рекомендаций;
– осуществлять периодический контроль реализации организационных мер предотвращения утечек информации, применяемых в соответствии с внутренними документами, разрабатываемыми в соответствии с рекомендациями пункта 10.3 настоящих рекомендаций;
– осуществлять регулярный автоматизированный контроль эксплуатации и использования средств автоматизации, применяемых в соответствии с рекомендациями пункта 10.4 настоящих рекомендаций;
– осуществлять непрерывный мониторинг информационных потоков, реализуемый с использованием средств автоматизации, реализующих контентный анализ, применяемых в соответствии с рекомендациями пункта 10.4 настоящих рекомендаций;
– осуществлять мониторинг общедоступных ресурсов сети Интернет с целью выявления публикаций информации конфиденциального характера.
Р. 9 п. 4
9.4. Организации БС РФ с учетом результатов оценки рисков рекомендуется обеспечить реализацию:
– контроля и (или) запрета размещения на средствах вычислительной техники, используемых для обработки информации конфиденциального характера, и блокирования возможности использования программного обеспечения сервисов мгновенных сообщений (например: ICQ, WhatsUp, Viber, Skype);
– контроля и (или) запрета обработки личной информации с использованием информационной инфраструктуры и средств связи организации БС РФ;
– контроля и (или) запрета самостоятельного использования работниками публичных облачных технологий хранения и обработки информации конфиденциального характера.
– контроля и (или) запрета размещения на средствах вычислительной техники, используемых для обработки информации конфиденциального характера, и блокирования возможности использования программного обеспечения сервисов мгновенных сообщений (например: ICQ, WhatsUp, Viber, Skype);
– контроля и (или) запрета обработки личной информации с использованием информационной инфраструктуры и средств связи организации БС РФ;
– контроля и (или) запрета самостоятельного использования работниками публичных облачных технологий хранения и обработки информации конфиденциального характера.
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 14.7
CSC 14.7 Enforce Access Control to Data Through Automated Tools
Use an automated tool, such as host-based Data Loss Prevention, to enforce access controls to data even when data is copied off a system.
Use an automated tool, such as host-based Data Loss Prevention, to enforce access controls to data even when data is copied off a system.
NIST Cybersecurity Framework (EN):
PR.DS-5
PR.DS-5: Protections against data leaks are implemented
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.