Куда я попал?
CIS Critical Security Controls v8 (The 18 CIS CSC)
Framework
5.3
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
5.3 Disable Dormant Accounts
Delete or disable any dormant accounts after a period of 45 days of inactivity, where supported.Обязательно для implementation Group 1 2 3
Похожие требования
NIST Cybersecurity Framework (RU):
PR.AC-1
PR.AC-1: Для авторизованных устройств, пользователей и процессов выдаются, управляются, верифицируются, аннулируются и проверяются идентификационные и учетные данные
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 8.2.6
8.2.6
Defined Approach Requirements:
Inactive user accounts are removed or disabled within 90 days of inactivity.
Customized Approach Objective:
Inactive user accounts cannot be used
Defined Approach Testing Procedures:
Defined Approach Requirements:
Inactive user accounts are removed or disabled within 90 days of inactivity.
Customized Approach Objective:
Inactive user accounts cannot be used
Defined Approach Testing Procedures:
- 8.2.6 Examine user accounts and last logon information, and interview personnel to verify that any inactive user accounts are removed or disabled within 90 days of inactivity.
Purpose:
Accounts that are not used regularly are often targets of attack since it is less likely that any changes, such as a changed password, will be noticed. As such, these accounts may be more easily exploited and used to access cardholder data.
Good Practice:
Where it may be reasonably anticipated that an account will not be used for an extended period of time, such as an extended leave of absence, the account should be disabled as soon as the leave begins, rather than waiting 90 days.
Accounts that are not used regularly are often targets of attack since it is less likely that any changes, such as a changed password, will be noticed. As such, these accounts may be more easily exploited and used to access cardholder data.
Good Practice:
Where it may be reasonably anticipated that an account will not be used for an extended period of time, such as an extended leave of absence, the account should be disabled as soon as the leave begins, rather than waiting 90 days.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.9.2.1
A.9.2.1 Регистрация и отмена регистрации пользователей
Мера обеспечения информационной безопасности: Для назначения прав доступа должна быть реализована формализованная процедура регистрации и отмены регистрации пользователей
Мера обеспечения информационной безопасности: Для назначения прав доступа должна быть реализована формализованная процедура регистрации и отмены регистрации пользователей
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 16.9
CSC 16.9 Disable Dormant Accounts
Automatically disable dormant accounts after a set period of inactivity.
Automatically disable dormant accounts after a set period of inactivity.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 8.2.6
8.2.6
Определенные Требования к Подходу:
Неактивные учетные записи пользователей удаляются или отключаются в течение 90 дней бездействия.
Цель Индивидуального подхода:
Неактивные учетные записи пользователей не могут быть использованы
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Неактивные учетные записи пользователей удаляются или отключаются в течение 90 дней бездействия.
Цель Индивидуального подхода:
Неактивные учетные записи пользователей не могут быть использованы
Определенные Процедуры Тестирования Подхода:
- 8.2.6 Проверьте учетные записи пользователей и информацию о последнем входе в систему, а также опросите персонал, чтобы убедиться, что все неактивные учетные записи пользователей удалены или отключены в течение 90 дней бездействия.
Цель:
Учетные записи, которые не используются регулярно, часто становятся объектами атак, поскольку менее вероятно, что какие-либо изменения, такие как изменение пароля, будут замечены. Таким образом, эти учетные записи могут быть более легко использованы для доступа к данным о держателях карт.
Надлежащая практика:
Если можно обоснованно предположить, что учетная запись не будет использоваться в течение длительного периода времени, например, в течение длительного отпуска, учетная запись должна быть отключена сразу после начала отпуска, а не ждать 90 дней.
Учетные записи, которые не используются регулярно, часто становятся объектами атак, поскольку менее вероятно, что какие-либо изменения, такие как изменение пароля, будут замечены. Таким образом, эти учетные записи могут быть более легко использованы для доступа к данным о держателях карт.
Надлежащая практика:
Если можно обоснованно предположить, что учетная запись не будет использоваться в течение длительного периода времени, например, в течение длительного отпуска, учетная запись должна быть отключена сразу после начала отпуска, а не ждать 90 дней.
Strategies to Mitigate Cyber Security Incidents (EN):
5.1.
Personnel management e.g. ongoing vetting especially for users with privileged access, immediately disable all accounts of departing users, and remind users of their security obligations and penalties.
Relative Security Effectiveness: Very Good | Potential User Resistance: High | Upfront Cost: High | Ongoing Maintenance Cost: High
Relative Security Effectiveness: Very Good | Potential User Resistance: High | Upfront Cost: High | Ongoing Maintenance Cost: High
NIST Cybersecurity Framework (EN):
PR.AC-1
PR.AC-1: Identities and credentials are issued, managed, verified, revoked, and audited for authorized devices, users and processes
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
9.2.1
9.2.1 Регистрация и отмена регистрации пользователей
Мера обеспечения ИБ
Для назначения прав доступа должна быть реализована формализованная процедура регистрации и отмены регистрации пользователей.
Руководство по применению
Процесс управления идентификаторами пользователей должен включать в себя:
- a) использование уникальных идентификаторов пользователей, позволяющих отследить действия пользователей, чтобы они несли ответственность за свои действия; использование групповых идентификаторов должно быть разрешено только в тех случаях, когда это необходимо для бизнеса или в силу операционных причин и должно быть утверждено и документировано;
- b) немедленное отключение или удаление идентификаторов пользователей, покинувших организацию (см. 9.2.6);
- c) периодическое выявление и удаление или отключение избыточных идентификаторов пользователей;
- d) обеспечение того, чтобы избыточные идентификаторы пользователей не были переданы другим пользователям.
Дополнительная информация
Предоставление или аннулирование прав доступа к информации или средствам обработки информации обычно представляет собой двухэтапную процедуру:
- a) назначение и активация или аннулирование идентификатора пользователя;
- b) предоставление или аннулирование прав доступа для этого идентификатора пользователя (см. 9.2.2).
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.