Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

CIS Critical Security Controls v7.1 (SANS Top 20)

Framework

CSC 4.4

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

CIS Critical Security Controls v8 (The 18 CIS CSC):
5.2
5.2 Use Unique Passwords 
Use unique passwords for all enterprise assets. Best practice implementation includes, at a minimum, an 8-character password for accounts using MFA and a 14-character password for accounts not using MFA. 
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
5.2
5.2 Используются уникальные пароли
Для учетных записей с многофакторной аутентификацией задан пароль длиной не менее 8 символов.
Для учетных записей без многофакторной аутентификации задан пароль длиной не менее 14 символов.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 8.3.5
8.3.5
Defined Approach Requirements: 
If passwords/passphrases are used as authentication factors to meet Requirement 8.3.1, they are set and reset for each user as follows:
  • Set to a unique value for first-time use and upon reset. 
  • Forced to be changed immediately after the first use. 
Customized Approach Objective:
An initial or reset password/passphrase assigned to a user cannot be used by an unauthorized user. 

Defined Approach Testing Procedures:
  • 8.3.5 Examine procedures for setting and resetting passwords/passphrases (if used as authentication factors to meet Requirement 8.3.1) and observe security personnel to verify that passwords/passphrases are set and reset in accordance with all elements specified in this requirement. 
Purpose:
If the same password/passphrase is used for every new user, an internal user, former employee, or malicious individual may know or easily discover the value and use it to gain access to accounts before the authorized user attempts to use the password. 
Guideline for a healthy information system v.2.0 (EN):
10 STANDARD
/STANDARD 
ANSSI sets out a collection of rules and best practices in terms of the choice and size of passwords. The most critical one is to make users aware of the risks involved in choosing a password that is too easy to guess, and even the risks of reusing the same password from one application to another, especially for personal and professional mailboxes. 

To supervise and confirm that these choice and size rules are being applied, the organization may use different measures, including: 
  • blocking accounts following several failed logins; 
  • deactivating anonymous login options;
  • using a password robustness checking tool. 
In advance of such procedures, communication aiming to explain the reason for these rules and raise awareness of their importance is fundamental. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.9.4.2
A.9.4.2 Безопасные процедуры входа в систему 
Мера обеспечения информационной безопасности: Когда этого требует политика управления доступом, доступ к системам и приложениям должен управляться посредством безопасной процедуры входа в систему 
A.9.4.3
A.9.4.3 Система управления паролями 
Мера обеспечения информационной безопасности: Системы управления паролями должны быть интерактивными и должны обеспечивать уверенность в качестве паролей 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 8.3.5
8.3.5
Определенные Требования к Подходу:
Если пароли/парольные фразы используются в качестве факторов аутентификации в соответствии с требованием 8.3.1, они устанавливаются и сбрасываются для каждого пользователя следующим образом:
  • Устанавливается на уникальное значение при первом использовании и при сбросе.
  • Принудительно заменяется сразу после первого использования.
Цель Индивидуального подхода:
Первоначальный или сброшенный пароль/кодовая фраза, назначенные пользователю, не могут быть использованы неавторизованным пользователем.

Определенные Процедуры Тестирования Подхода:
  • 8.3.5 Изучите процедуры установки и сброса паролей/парольных фраз (если они используются в качестве факторов аутентификации в соответствии с требованием 8.3.1) и понаблюдайте за персоналом службы безопасности, чтобы убедиться, что пароли/парольные фразы установлены и сброшены в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Если один и тот же пароль / кодовая фраза используется для каждого нового пользователя, внутренний пользователь, бывший сотрудник или злоумышленник могут знать или легко обнаружить значение и использовать его для получения доступа к учетным записям до того, как авторизованный пользователь попытается использовать пароль.
Strategies to Mitigate Cyber Security Incidents (EN):
2.4.
Disable local administrator accounts or assign passphrases that are random and unique for each computer’s local administrator account to prevent propagation using shared local administrator credentials.
Relative Security Effectiveness:  Excellent | Potential User Resistance:  Low | Upfront Cost:  Medium | Ongoing Maintenance Cost:  Low
SWIFT Customer Security Controls Framework v2022:
4 - 4.1 Password Policy
4.1 Password Policy

Связанные защитные меры

Ничего не найдено