DoD 5220.22-M

2025-10-29 21:20
bga68comp: (Default)

DoD 5220.22-M — це стандарт Міністерства оборони США (Department of Defense), який визначає метод безпечного знищення (перезапису) даних на цифрових носіях, щоб запобігти їх відновленню.
Повна назва документа:
"National Industrial Security Program Operating Manual (NISPOM)" — DoD 5220.22-M

🔹 Що описує стандарт

У цьому документі наведено вимоги до того, як безпечно видаляти дані з носіїв (жорстких дисків, SSD, стрічок, тощо), щоб їх неможливо було відновити навіть спеціальними засобами.

🔹 Класичний метод DoD 5220.22-M (3-pass wipe)

Згідно з ним, дані мають бути перезаписані кілька разів:
  1. Перший прохід: записує випадкові або фіксовані символи (наприклад, 00000000);
  2. Другий прохід: записує протилежні біти (наприклад, 11111111);
  3. Третій прохід: записує випадкові символи та верифікує, що дані знищено.
Іноді використовують 7-pass або 35-pass (Gutmann) варіанти, але класичний 3-pass DoD 5220.22-M вважається достатнім для більшості випадків.

🔹 Навіщо це потрібно в політиках ІБ

У політиках PCI DSS, ISO 27001 або внутрішніх політиках ІБ цей стандарт згадується як приклад безпечного способу видалення даних, зокрема PAN або резервних копій, щоб унеможливити їх відновлення після закінчення терміну зберігання.

🔹 Приклад формулювання

“Видалення даних держателів платіжних карток здійснюється із застосуванням методів безпечного знищення, що відповідають вимогам стандарту DoD 5220.22-M або еквівалентним сучасним методам (наприклад, NIST SP 800-88 Rev.2 ‘Guidelines for Media Sanitization’).”
NIST SP 800-88 Rev. 2 Guidelines for Media Sanitization
NISP Operating Manual (DoD 5220.22-M)


Tags:
  • Add Memory
  • Share This Entry

Пропозиції Microsoft щодо відповідності вимогам

2025-09-16 23:27
bga68comp: (Default)

У Майкрософт є цікавий ресурс для тих, хто займається побудовою процесів інформаційної безпеки.
Він знаходиться за адресою:
Microsoft compliance offerings:

Пропозиції Microsoft щодо відповідності вимогам


Screenshot 2025-09-16 234034
Read more... )
Наприклад, можна офіційно і без обмежень багато інформації про ШІ отримати тут:

https://learn.microsoft.com/uk-ua/compliance/regulatory/offering-iso-42001

Огляд ISO/IEC 42001:2023


Read more... )


Tags:
  • Add Memory
  • Share This Entry

PCI DSS. Вимоги до DLP

2025-02-10 15:15
bga68comp: (Default)

Requirements and Testing Procedures. Guidelines

Вимоги та процедури тестуванняНастанови
Визначені процедури тестування підходу Визначені вимоги підходу Мета
Переміщення PAN на несанкціоновані носії є поширеним способом отримання цих даних і їх шахрайського використання.
Методи, що гарантують, що лише особи з явним авторизованим правом і законною діловою необхідністю можуть копіювати або переміщувати PAN, знижують ризик доступу до PAN сторонніх осіб.

Найкраща практика
Копіювання та переміщення PAN повинно виконуватися лише на дозволені носії, які дозволені та санкціоновані для використання цією особою.

Визначення
Віртуальний робочий стіл є прикладом технології віддаленого доступу. Такі технології часто містять інструменти для блокування можливості копіювання та/або переміщення даних.
Пристрої для збереження даних включають, але не обмежуються:
- локальні жорсткі диски,
- віртуальні диски,
- знімні електронні носії,
- мережеві накопичувачі та хмарне сховище.

Додаткова інформація
Документація постачальника для технологій віддаленого доступу може містити інформацію про налаштування системи, необхідні для виконання цієї вимоги.
3.4.2 При використанні технологій віддаленого доступу технічні засоби контролю повинні запобігати копіюванню та/або переміщенню PAN для всього персоналу, за винятком тих, хто має документоване, явне авторизоване право і законну, визначену ділову необхідність. 3.4.2.a Перевірити документовані політики та процедури та отримати докази наявності технічних засобів контролю, що запобігають копіюванню та/або переміщенню PAN за допомогою технологій віддаленого доступу на локальні жорсткі диски або знімні електронні носії, щоб підтвердити наступне:
  • Технічні засоби контролю запобігають копіюванню та/або переміщенню PAN усім особам, які не мають спеціально наданого дозволу.
  • Ведеться список персоналу, якому дозволено копіювати та/або переміщувати PAN, разом із документованим, явним дозволом і законною, визначеною діловою необхідністю.
Ціль налаштованого підходу
PAN не може бути скопійований або переміщений неавторизованими особами за допомогою технологій віддаленого доступу.
Примітки щодо застосування 3.4.2.b Перевірити конфігурацію налаштувань для технологій віддаленого доступу, щоб підтвердити наявність технічних засобів контролю, які блокують можливість копіювання та/або переміщення PAN для всього персоналу, крім тих, хто має дозвіл.

3.4.2.c Спостерігати за діями персоналу та перевірити, чи вони відповідають документованим політикам і вимогам, щоб підтвердити, що лише особи з дозволом мають можливість копіювати та/або переміщувати PAN за допомогою технологій віддаленого доступу.
Збереження або переміщення PAN на локальні жорсткі диски, знімні електронні носії та інші пристрої виводить ці пристрої в сферу дії PCI DSS.

Ця вимога є найкращою практикою до 31 березня 2025 року, після чого вона стане обов’язковою і повинна бути повністю врахована під час оцінки PCI DSS.


Tags:
  • Add Memory
  • Share This Entry

Лист опитування під час інвентаризації ІА

2024-08-28 19:42
bga68comp: (Default)
Яку інформацію треба зібрати під час інвентаризації інформаційних активів (ІА) згідно з рекомендаціями стандарту ISO 27001:2022

Під час підготовки листа опитування завжди постає питання: що треба відобразити у листі опитування для визначення переліку інформаційних активів?

Для визначення переліку інформаційних активів за допомогою опитування, варто включити такі питання, щоб отримати повну інформацію про активи, які є в розпорядженні підрозділів або окремих співробітників:

  1. Основні дані про актив
    • Назва активу: Яке найменування чи ідентифікатор використовується для цього активу?
    • Тип активу: До якого типу належить актив (апаратне забезпечення, програмне забезпечення, дані, документи, люди, мережеві ресурси тощо)?
    • Короткий опис активу: Яка основна функція або призначення цього активу?
    • Місцезнаходження активу: Де фізично або віртуально розташований цей актив?
  2. Власність та відповідальність
    • Власник активу: Хто відповідальний за управління цим активом?
    • Користувачі активу: Хто має доступ або використовує цей актив?
  3. Цінність та критичність
    • Важливість активу: Наскільки критичним є цей актив для виконання бізнес-процесів або підтримки операцій організації?
    • Інформаційна класифікація: До якої категорії конфіденційності або важливості належить інформація, що міститься в цьому активі (конфіденційна, внутрішня, публічна)?
  4. Безпека та захист
    • Існуючі заходи захисту: Які заходи безпеки використовуються для захисту цього активу?
    • Потенційні загрози: Які основні ризики чи загрози можуть вплинути на безпеку цього активу?
  5. Життєвий цикл активу
    • Дата придбання чи створення: Коли було придбано або створено цей актив?
    • Строк служби: Який очікуваний період використання цього активу?
  6. Законодавчі та регуляторні вимоги
    • Вимоги до зберігання та обробки: Чи підлягає цей актив спеціальним законодавчим або регуляторним вимогам?
  7. Вартість та витрати
    • Оцінка вартості активу: Яка приблизна вартість цього активу?
    • Витрати на утримання: Які основні витрати пов'язані з підтримкою чи експлуатацією цього активу?
  8. Залежності
    • Залежності від інших активів: Чи залежить цей актив від інших активів для функціонування?

Ці питання допоможуть зібрати детальну інформацію про інформаційні активи, що є необхідною для їхнього подальшого управління та захисту відповідно до стандарту ISO 27001:2022.

Таблиця з питаннями для листа опитування з метою визначення переліку інформаційних активів

КатегоріяПитання
1Основні дані про актив1.1Назва активу: Яке найменування чи ідентифікатор використовується для цього активу?
1.2Тип активу: До якого типу належить актив (апаратне забезпечення, програмне забезпечення тощо)?
1.3Короткий опис активу: Яка основна функція або призначення цього активу?
1.4Місцезнаходження активу: Де фізично або віртуально розташований цей актив?
2Власність та відповідальність2.1Власник активу: Хто відповідальний за управління цим активом?
2.2Користувачі активу: Хто має доступ або використовує цей актив?
3Цінність та критичність3.1Важливість активу: Наскільки критичним є цей актив для бізнес-процесів або операцій?
3.2Інформаційна класифікація: До якої категорії конфіденційності або важливості належить інформація?
4Безпека та захист4.1Існуючі заходи захисту: Які заходи безпеки використовуються для захисту цього активу?
4.2Потенційні загрози: Які основні ризики чи загрози можуть вплинути на безпеку цього активу?
5Життєвий цикл активу5.1Дата придбання чи створення: Коли було придбано або створено цей актив?
5.2Строк служби: Який очікуваний період використання цього активу?
6Законодавчі та регуляторні вимоги6.1Вимоги до зберігання та обробки: Чи підлягає цей актив спеціальним законодавчим або регуляторним вимогам?
7Вартість та витрати7.1Оцінка вартості активу: Яка приблизна вартість цього активу?
7.2Витрати на утримання: Які основні витрати пов'язані з підтримкою чи експлуатацією цього активу?
8Залежності8.1Залежності від інших активів: Чи залежить цей актив від інших активів для функціонування?


Tags:
  • Add Memory
  • Share This Entry

Інвентаризація інформаційних активів (ISO 27001:2022)

2024-08-28 19:25
bga68comp: (Default)

Які кроки треба виконати, щоб згідно з ISO 27001:2022 виконати інвентарізацію інформаційних активів

Для виконання інвентаризації інформаційних активів згідно зі стандартом ISO 27001:2022 необхідно виконати наступні кроки:

  1. Визначення переліку інформаційних активів:
    • Ідентифікуйте всі інформаційні активи організації, які потрібно захистити. До них можуть належати апаратне забезпечення, програмне забезпечення, дані, мережі, інтелектуальна власність, документи та люди.
    • Посилання на документ: ISO 27001:2022, A.8.1.1 Inventory of assets.
  2. Категоризація та класифікація активів:
    • Визначте категорії активів (наприклад, конфіденційні дані, публічні дані) та їхній рівень важливості для організації.
    • Посилання на документ: ISO 27001:2022, A.8.2.1 Classification of information.
  3. Призначення власників активів:
    • Призначте відповідальних осіб за кожний актив, які будуть відповідати за управління та захист активів.
    • Посилання на документ: ISO 27001:2022, A.8.1.2 Ownership of assets.
  4. Реєстрація активів:
    • Створіть централізований реєстр активів, в якому будуть зберігатися всі дані про інформаційні активи, їхні власники, місце розташування, статус та інші характеристики.
    • Посилання на документ: ISO 27001:2022, A.8.1.3 Acceptable use of assets.
  5. Оцінка ризиків, пов'язаних з активами:
    • Проведіть оцінку ризиків для кожного активу, щоб визначити можливі загрози, вразливості та потенційні наслідки для організації.
    • Посилання на документ: ISO 27001:2022, A.8.2 Information security risk assessment.
  6. Моніторинг та ревізія активів:
    • Регулярно перевіряйте та оновлюйте інформацію про активи для забезпечення їх актуальності та відповідності політикам безпеки.
    • Посилання на документ: ISO 27001:2022, A.8.1.4 Return of assets.
  7. Розробка політик захисту активів:
    • Розробіть та впровадьте політики та процедури для захисту активів відповідно до їхньої класифікації та ризиків, які їм загрожують.
    • Посилання на документ: ISO 27001:2022, A.5.1 Policies for information security.

Ці кроки допоможуть забезпечити систематичний підхід до управління інформаційними активами та підвищити рівень інформаційної безпеки в організації.

Таблиця з кроками для виконання інвентаризації інформаційних активів згідно зі стандартом ISO 27001:2022

КрокОписПосилання на документ
1. Визначення переліку інформаційних активівІдентифікація всіх інформаційних активів організації, які потрібно захистити.ISO 27001:2022, A.8.1.1 Inventory of assets
2. Категоризація та класифікація активівВизначення категорій активів та їхній рівень важливості для організації.ISO 27001:2022, A.8.2.1 Classification of information
3. Призначення власників активівПризначення відповідальних осіб за управління та захист кожного активу.ISO 27001:2022, A.8.1.2 Ownership of assets
4. Реєстрація активівСтворення централізованого реєстру активів, де зберігаються всі дані про активи.ISO 27001:2022, A.8.1.3 Acceptable use of assets
5. Оцінка ризиків, пов'язаних з активамиОцінка ризиків для кожного активу з метою виявлення можливих загроз та вразливостей.ISO 27001:2022, A.8.2 Information security risk assessment
6. Моніторинг та ревізія активівРегулярна перевірка та оновлення інформації про активи для забезпечення їх актуальності.ISO 27001:2022, A.8.1.4 Return of assets
7. Розробка політик захисту активівРозробка та впровадження політик та процедур для захисту активів.ISO 27001:2022, A.5.1 Policies for information security

Ця таблиця допоможе систематизувати процес інвентаризації інформаційних активів відповідно до стандарту ISO 27001:2022.


Tags:
  • Add Memory
  • Share This Entry

COBIT про антивірусний захист

2024-08-19 12:34
bga68comp: (Default)

Якщо розглядати Політику антивірусного захисту з урахуванням COBIT, то маємо на увазі наступне:

COBIT (Control Objectives for Information and Related Technology) — це фреймворк управління ІТ, розроблений для забезпечення зв’язку між ІТ-цілями та бізнес-цілями. COBIT охоплює безліч аспектів ІТ-управління, включаючи управління ризиками, безпеку, контроль і відповідність вимогам.
Антивірусний захист у контексті COBIT може розглядатися в рамках доменів, пов’язаних з управлінням ризиками та забезпеченням інформаційної безпеки. Ось ключові розділи та процеси COBIT, які стосуються антивірусного захисту:
  1. APO12 - Управління ризиками (Risk Management)
    • У цьому процесі COBIT описується необхідність ідентифікації, оцінки та управління ІТ-ризиками, що включає загрози безпеки, такі як віруси та шкідливе ПЗ. Антивірусний захист розглядається як одна з заходів для зменшення ризиків.
  2. DSS05 - Управління безпекою (Manage Security Services)
    • Цей процес включає забезпечення інформаційної безпеки шляхом реалізації та підтримання заходів захисту, таких як антивірусні рішення, брандмауери та інші механізми захисту.
  3. DSS01 - Управління операційними ІТ-послугами (Manage Operations)
    • Операційні процеси управління ІТ можуть включати моніторинг і управління антивірусним захистом як частину загальних ІТ-послуг.
  4. BAI09 - Управління конфігурацією (Manage Configuration)
    • Антивірусні програми повинні бути правильно сконфігуровані та оновлені, що також стосується управління конфігурацією ІТ-інфраструктури.

Ці розділи COBIT допомагають організаціям розробляти, впроваджувати та підтримувати ефективні заходи антивірусного захисту, а також управляти відповідними ризиками, пов’язаними з шкідливим програмним забезпеченням.


Tags:
  • Add Memory
  • Share This Entry

НБУ про дотримання вимог для фін.установ. Варіант 2

2024-08-16 18:46
bga68comp: (Default)

Які накази і рішення НБУ стосуються дотримання вимог в контексті захисту платіжних систем та фінансових даних?

Національний банк України (НБУ) видав ряд нормативних актів, які регулюють питання захисту платіжних систем і фінансових даних. Ці акти встановлюють вимоги до інформаційної безпеки, включаючи дотримання міжнародних стандартів, таких як PCI DSS. Нижче наведено основні накази і рішення НБУ, що стосуються цього питання:

1. Постанова НБУ №95 "Про затвердження Положення про здійснення захисту інформації та кібербезпеки в банківській системі України"

  • Дата прийняття: 28 вересня 2022 року
  • Опис: Ця постанова встановлює вимоги до забезпечення інформаційної безпеки та кібербезпеки в банківській системі України. Вона регулює порядок захисту інформації, яка обробляється в банках і фінансових установах, включаючи захист платіжних даних. Постанова зобов'язує банки впроваджувати системи управління інформаційною безпекою, відповідати міжнародним стандартам (включаючи PCI DSS), а також забезпечувати кіберзахист своїх інформаційних систем.

2. Постанова НБУ №75 "Про затвердження Положення про захист інформації та кібербезпеки в платіжних системах"

  • Дата прийняття: 21 червня 2019 року
  • Опис: Ця постанова регламентує вимоги до захисту інформації в платіжних системах, а також визначає правила захисту фінансових даних, які обробляються в цих системах. Положення зобов’язує операторів платіжних систем, платіжних інфраструктурних сервісів, а також їхніх учасників дотримуватися вимог до безпеки даних, включаючи стандарти PCI DSS.

3. Постанова НБУ №56 "Про організацію захисту інформації в банках України"

  • Дата прийняття: 14 липня 2006 року (з подальшими змінами)
  • Опис: Постанова регулює загальні питання організації захисту інформації в банках України. Вона включає вимоги до створення систем захисту інформації, управління ризиками, моніторингу та аудиту безпеки, а також захисту фінансових даних, що обробляються банками.

4. Постанова НБУ №391 "Про затвердження Положення про здійснення нагляду (оверсайта) за платіжними системами"

  • Дата прийняття: 30 жовтня 2018 року
  • Опис: Цей документ регламентує порядок нагляду за платіжними системами та їхніми учасниками з боку НБУ. Постанова встановлює вимоги до дотримання стандартів безпеки, зокрема щодо захисту інформації та забезпечення кібербезпеки в платіжних системах.

5. Рішення НБУ щодо підвищення стандартів кібербезпеки в банківській системі України

  • Опис: НБУ регулярно приймає рішення, спрямовані на підвищення рівня кібербезпеки в банківському секторі. В рамках цих рішень банки зобов'язані впроваджувати новітні технології захисту інформації, посилювати контроль за доступом до платіжних систем, а також регулярно проводити аудит безпеки.

6. Листи та роз'яснення НБУ щодо дотримання стандартів інформаційної безпеки

  • Опис: НБУ періодично надсилає листи та роз'яснення щодо необхідності дотримання стандартів інформаційної безпеки, включаючи PCI DSS. Ці документи можуть містити рекомендації щодо кращих практик у сфері захисту платіжних даних та кібербезпеки.

Ці нормативні акти та рішення регламентують захист платіжних систем і фінансових даних, забезпечуючи безпеку та надійність банківської системи України. Банки та фінансові установи зобов'язані дотримуватися цих вимог і забезпечувати відповідність міжнародним стандартам, включаючи PCI DSS.


Також дивись:
Про PCI DSS 4.0
Tags:
  • Add Memory
  • Share This Entry

НБУ про дотримання вимог для фін.установ

2024-08-16 18:43
bga68comp: (Default)


Які накази і рішення НБУ стосуються дотримання вимог в контексті захисту платіжних систем та фінансових даних?

НБУ видає низку нормативно-правових актів, які регулюють питання захисту платіжних систем та фінансових даних. Основні документи, що стосуються дотримання вимог інформаційної безпеки в контексті захисту платіжних систем, включають:

1. Постанова Правління НБУ № 243 від 4 липня 2007 року (зі змінами та доповненнями)

  • Назва: "Про затвердження Правил захисту інформації та кіберзахисту в платіжних системах України".
  • Опис: Ця постанова встановлює вимоги до захисту інформації в платіжних системах, зокрема до забезпечення конфіденційності, цілісності та доступності даних, що обробляються в рамках платіжних операцій.

2. Постанова Правління НБУ № 351 від 28 вересня 2021 року

  • Назва: "Про затвердження Положення про порядок організації захисту інформації та кіберзахисту в банківській системі України".
  • Опис: Ця постанова регулює питання організації інформаційної безпеки та кіберзахисту в банках України, включаючи вимоги до систем захисту платіжних даних, управління ризиками та дотримання міжнародних стандартів, таких як PCI DSS.

3. Постанова Правління НБУ № 95 від 3 грудня 2018 року

  • Назва: "Про затвердження Положення про захист інформації в платіжних системах і розрахункових операціях".
  • Опис: Ця постанова встановлює вимоги до захисту інформації в платіжних системах, включаючи вимоги щодо безпеки обробки, зберігання та передачі платіжних даних.

4. Постанова Правління НБУ № 518 від 28 вересня 2020 року

  • Назва: "Про затвердження Положення про організацію заходів з кіберзахисту в банківській системі України".
  • Опис: Документ регламентує заходи, які банки повинні впроваджувати для захисту від кіберзагроз, включаючи захист платіжних систем, моніторинг кіберінцидентів та управління ризиками інформаційної безпеки.

5. Рішення НБУ про захист даних під час дистанційного банківського обслуговування

  • Назва: "Про затвердження Положення про порядок надання банківських послуг із використанням інформаційно-телекомунікаційних систем".
  • Опис: Встановлює вимоги до захисту даних під час надання банківських послуг через дистанційні канали, включаючи інтернет-банкінг і мобільні додатки, що важливо для захисту даних клієнтів та платіжних систем.

6. Методичні рекомендації НБУ

  • Назва: "Методичні рекомендації щодо забезпечення захисту інформації в банківських установах України".
  • Опис: Ці рекомендації надають банкам керівництво щодо впровадження заходів інформаційної безпеки та дотримання вимог міжнародних стандартів, таких як PCI DSS.
Ці документи є ключовими нормативно-правовими актами, що регулюють захист платіжних систем та фінансових даних в Україні, забезпечуючи дотримання банками та іншими фінансовими установами вимог до інформаційної безпеки.


Також дивись:
Про PCI DSS 4.0
Tags:
  • Add Memory
  • Share This Entry

Profile

bga68comp: (Default)
bga68comp

December 2025

S M T W T F S
  12 3 456
7891011 1213
14151617181920
21222324252627
28293031   

Syndicate

RSS Atom

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated 2026-01-04 09:19
Powered by Dreamwidth Studios