Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

CIS Critical Security Controls v8 (The 18 CIS CSC)

Framework

3.12

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 3.4.2
3.4.2 
Defined Approach Requirements: 
When using remote-access technologies, technical controls prevent copy and/or relocation of PAN for all personnel, except for those with documented, explicit authorization and a legitimate, defined business need. 

Customized Approach Objective:
PAN cannot be copied or relocated by unauthorized personnel using remote-access technologies. 

Applicability Notes:
Storing or relocating PAN onto local hard drives, removable electronic media, and other storage devices brings these devices into scope for PCI DSS. 
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 

Defined Approach Testing Procedures:
  • 3.4.2.a Examine documented policies and procedures and documented evidence for technical controls that prevent copy and/or relocation of PAN when using remote-access technologies onto local hard drives or removable electronic media to verify the following: 
    • Technical controls prevent all personnel not specifically authorized from copying and/or relocating PAN. 
    • A list of personnel with permission to copy and/or relocate PAN is maintained, together with the documented, explicit authorization and legitimate, defined business need. 
  • 3.4.2.b Examine configurations for remote-access technologies to verify that technical controls to prevent copy and/or relocation of PAN for all personnel, unless explicitly authorized. 
  • 3.4.2.c Observe processes and interview personnel to verify that only personnel with documented, explicit authorization and a legitimate, defined business need have permission to copy and/or relocate PAN when using remoteaccess technologies. 
Purpose:
Relocation of PAN to unauthorized storage devices is a common way for this data to be obtained and used fraudulently. 
Methods to ensure that only those with explicit authorization and a legitimate business reason can copy or relocate PAN minimizes the risk of unauthorized persons gaining access to PAN. 

Good Practice:
Copying and relocation of PAN should only be done to storage devices that are permissible and authorized for that individual. 

Definitions
A virtual desktop is an example of a remoteaccess technology. Storage devices include, but are not limited to, local hard drives, virtual drives, removable electronic media, network drives, and cloud storage. 

Further Information:
Vendor documentation for the remote-access technology in use will provide information about the system settings needed to implement this requirement. 
Requirement 3.4.1
3.4.1 
Defined Approach Requirements: 
PAN is masked when displayed (the BIN and last four digits are the maximum number of digits to be displayed), such that only personnel with a legitimate business need can see more than the BIN and last four digits of the PAN. 

Customized Approach Objective:
PAN displays are restricted to the minimum number of digits necessary to meet a defined business need. 

Applicability Notes:
This requirement does not supersede stricter requirements in place for displays of cardholder data—for example, legal or payment brand requirements for point-of-sale (POS) receipts. 
This requirement relates to protection of PAN where it is displayed on screens, paper receipts, printouts, etc., and is not to be confused with Requirement 3.5.1 for protection of PAN when stored, processed, or transmitted. 

Defined Approach Testing Procedures:
  • 3.4.1.a Examine documented policies and procedures for masking the display of PANs to verify:
    • A list of roles that need access to more than the BIN and last four digits of the PAN (includes full PAN) is documented, together with a legitimate business need for each role to have such access.
    • PAN is masked when displayed such that only personnel with a legitimate business need can see more than the BIN and last four digits of the PAN. 
    • All roles not specifically authorized to see the full PAN must only see masked PANs. 
  • 3.4.1.b Examine system configurations to verify that full PAN is only displayed for roles with a documented business need, and that PAN is masked for all other requests. 
  • 3.4.1.c Examine displays of PAN (for example, on screen, on paper receipts) to verify that PANs are masked when displayed, and that only those with a legitimate business need are able to see more than the BIN and/or last four digits of the PAN. 
Purpose:
The display of full PAN on computer screens, payment card receipts, paper reports, etc. can result in this data being obtained by unauthorized individuals and used fraudulently. Ensuring that the full PAN is displayed only for those with a legitimate business need minimizes the risk of unauthorized persons gaining access to PAN data. 

Good Practice:
Applying access controls according to defined roles is one way to limit access to viewing full PAN to only those individuals with a defined business need. 
The masking approach should always display only the number of digits needed to perform a specific business function. For example, if only the last four digits are needed to perform a business function, PAN should be masked to only show the last four digits. As another example, if a function needs to view to the bank identification number (BIN) for routing purposes, unmask only the BIN digits for that function. 

Definitions:
Masking is not synonymous with truncation and these terms cannot be used interchangeably. Masking refers to the concealment of certain digits during display or printing, even when the entire PAN is stored on a system. This is different from truncation, in which the truncated digits are removed and cannot be retrieved within the system. Masked PAN could be “unmasked”, but there is no "un-truncation" without recreating the PAN from another source. 

Further Information:
For more information about masking and truncation, see PCI SSC’s FAQs on these topics. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 3.4.1
3.4.1
Определенные Требования к Подходу:
При отображении PAN маскируется (ячейка и последние четыре цифры - это максимальное количество отображаемых цифр), так что только персонал с законными деловыми потребностями может видеть больше, чем ячейка и последние четыре цифры PAN.

Цель Индивидуального подхода:
PAN отображается минимальным количеством цифр, необходимым для удовлетворения определенных бизнес-потребностей.

Примечания по применению:
Это требование не отменяет более строгих требований, предъявляемых к отображению данных о держателях карт, например, юридических требований или требований к платежным маркам для чеков в точках продаж (POS).
Это требование относится к защите PAN, когда он отображается на экранах, бумажных квитанциях, распечатках и т.д., И его не следует путать с требованием 3.5.1 о защите PAN при хранении, обработке или передаче.

Определенные Процедуры Тестирования Подхода:
  • 3.4.1.a Изучить документированные политики и процедуры для маскировки отображения лотков для проверки:
    • Задокументирован список ролей, которым требуется доступ не только к BIN и последним четырем цифрам PAN (включая полный PAN), а также законная бизнес-потребность в том, чтобы каждая роль имела такой доступ.
    • При отображении PAN маскируется таким образом, что только персонал, имеющий законную деловую потребность, может видеть больше, чем ячейку и последние четыре цифры PAN.
    • Все роли, не имеющие специального разрешения на просмотр полного PAN, должны видеть только замаскированный PAN.
  • 3.4.1.b Проверьте системные конфигурации, чтобы убедиться, что полный PAN отображается только для ролей с документированной бизнес-потребностью, и что PAN скрыт для всех других запросов.
  • 3.4.1.c Изучите отображение PAN (например, на экране, на бумажных квитанциях), чтобы убедиться, что PAN маскируются при отображении и что только те, у кого есть законные деловые потребности, могут видеть больше, чем ячейка и / или последние четыре цифры PAN.
Цель:
Отображение полной информации на экранах компьютеров, квитанциях по платежным картам, бумажных отчетах и т.д. может привести к получению этих данных неуполномоченными лицами и их мошенническому использованию. Обеспечение того, чтобы полный PAN отображался только для тех, у кого есть законные деловые потребности, сводит к минимуму риск получения доступа к данным PAN посторонними лицами.

Надлежащая практика:
Применение элементов управления доступом в соответствии с определенными ролями - это один из способов ограничить доступ к просмотру полной панорамы только для тех пользователей, у которых есть определенные бизнес-потребности.
Подход маскирования всегда должен отображать только количество цифр, необходимое для выполнения определенной бизнес-функции. Например, если для выполнения бизнес-функции необходимы только последние четыре цифры, PAN следует замаскировать, чтобы показывать только последние четыре цифры. В качестве другого примера, если функции необходимо просмотреть идентификационный номер банка (BIN) для целей маршрутизации, снимите маску только с цифр BIN для этой функции.

Определения:
Маскировка не является синонимом усечения, и эти термины не могут использоваться взаимозаменяемо. Маскирование относится к сокрытию определенных цифр во время отображения или печати, даже если в системе хранится вся панорама целиком. Это отличается от усечения, при котором усеченные цифры удаляются и не могут быть восстановлены в системе. Замаскированный PAN может быть “разоблачен”, но нет никакого "удаления усечения" без воссоздания PAN из другого источника.

Дополнительная информация:
Для получения дополнительной информации о маскировании и усечении см. Часто задаваемые вопросы PCI SSC по этим темам.
Requirement 3.4.2
3.4.2
Определенные Требования к Подходу:
При использовании технологий удаленного доступа технические средства контроля предотвращают копирование и/или перемещение PAN для всего персонала, за исключением тех, у кого есть документально подтвержденное, четкое разрешение и законная, определенная деловая потребность.

Цель Индивидуального подхода:
PAN не может быть скопирован или перемещен неавторизованным персоналом с использованием технологий удаленного доступа.

Примечания по применению:
Хранение или перемещение PAN на локальные жесткие диски, съемные электронные носители и другие устройства хранения данных позволяет использовать эти устройства для PCI DSS.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:
  • 3.4.2.a Изучить документированные политики и процедуры и документированные доказательства технических средств контроля, которые предотвращают копирование и/или перемещение PAN при использовании технологий удаленного доступа на локальные жесткие диски или съемные электронные носители, чтобы убедиться в следующем:
    • Технические средства контроля запрещают любому персоналу, не имеющему специального разрешения, копировать и/или перемещать PAN.
    • Ведется список персонала, имеющего разрешение на копирование и/или перемещение PAN, вместе с документированным, четким разрешением и законными, определенными бизнес-потребностями.
  • 3.4.2.b Изучите конфигурации для технологий удаленного доступа, чтобы убедиться, что технические средства контроля предотвращают копирование и/или перемещение PAN для всего персонала, если это явно не разрешено.
  • 3.4.2.c Наблюдайте за процессами и проводите собеседования с персоналом, чтобы убедиться, что только персонал с документированным, четким разрешением и законной, определенной бизнес-потребностью имеет разрешение на копирование и/или перемещение PAN при использовании технологий удаленного доступа.
Цель:
Перемещение PAN на несанкционированные устройства хранения является распространенным способом получения и использования этих данных мошенническим путем.
Методы обеспечения того, чтобы копировать или перемещать PAN могли только те, у кого есть явное разрешение и законные деловые причины, сводят к минимуму риск получения доступа к PAN посторонними лицами.

Надлежащая практика:
Копирование и перемещение PAN следует выполнять только на устройства хранения, которые разрешены и разрешены для данного пользователя.

Определения:
Виртуальный рабочий стол - это пример технологии удаленного доступа. Устройства хранения данных включают, но не ограничиваются ими, локальные жесткие диски, виртуальные диски, съемные электронные носители, сетевые диски и облачные хранилища.

Дополнительная информация:
Документация поставщика для используемой технологии удаленного доступа содержит информацию о системных настройках, необходимых для реализации этого требования.

Связанные защитные меры

3
Ничего не найдено