Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Приказ ФСТЭК России № 17 от 11.02.2013

Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах

УПД.5

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
УЗП.5
УЗП.5 Документарное определение правил предоставления (отзыва) и блокирования логического доступа
3-Н 2-О 1-О
NIST Cybersecurity Framework (RU):
PR.PT-3
PR.PT-3: Для обеспечения только необходимых возможностей в настройке систем используется принцип наименьшей функциональности
PR.IP-11
PR.IP-11: Кибербезопасность включена в практику работы с персоналом (например, ограничение доступа, проверка персонала) 
PR.AC-4
PR.AC-4: При предоставлении разрешения на доступ и авторизации используется принцип наименьших привилегий и разделения обязанностей
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
УПД.5 УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
РВН.4.1
РВН.4.1 Применение соответствующих мер в рамках процесса управления учетными записями и правами субъектов логического доступа, требования к которому определены в ГОСТ Р 57580.1.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 7.3.3
7.3.3
Defined Approach Requirements: 
The access control system(s) is set to “deny all” by default. 

Customized Approach Objective:
Access rights and privileges are prohibited unless expressly permitted. 

Defined Approach Testing Procedures:
  • 7.3.3 Examine vendor documentation and system settings to verify that the access control system(s) is set to “deny all” by default. 
Purpose:
A default setting of “deny all” ensures no one is granted access unless a rule is established specifically granting such access. 

Good Practice:
It is important to check the default configuration of access control systems because some are set by default to “allow all,” thereby permitting access unless/until a rule is written to specifically deny it. 
Requirement 7.2.5
7.2.5
Defined Approach Requirements: 
All application and system accounts and related access privileges are assigned and managed as follows:
  • Based on the least privileges necessary for the operability of the system or application. 
  • Access is limited to the systems, applications, or processes that specifically require their use. 
Customized Approach Objective:
Access rights granted to application and system accounts are limited to only the access needed for the operability of that application or system. 

Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 
Defined Approach Testing Procedures:
  • 7.2.5.a Examine policies and procedures to verify they define processes to manage and assign application and system accounts and related access privileges in accordance with all elements specified in this requirement. 
  • 7.2.5.b Examine privileges associated with system and application accounts and interview responsible personnel to verify that application and system accounts and related access privileges are assigned and managed in accordance with all elements specified in this requirement. 
Purpose:
It is important to establish the appropriate access level for application or system accounts. If such accounts are compromised, malicious users will receive the same access level as that granted to the application or system. Therefore, it is important to ensure limited access is granted to system and application accounts on the same basis as to user accounts. 

Good Practice:
Entities may want to consider establishing a baseline when setting up these application and system accounts including the following as applicable to the organization:
  • Making sure that the account is not a member of a privileged group such as domain administrators, local administrators, or root.
  • Restricting which computers the account can be used on.
  • Restricting hours of use.
  • Removing any additional settings like VPN access and remote access. 
Requirement 3.6.1.3
3.6.1.3
Defined Approach Requirements: 
Access to cleartext cryptographic key components is restricted to the fewest number of custodians necessary. 

Customized Approach Objective:
Access to cleartext cryptographic key components is restricted to necessary personnel. 

Defined Approach Testing Procedures:
  •  3.6.1.3 Examine user access lists to verify that access to cleartext cryptographic key components is restricted to the fewest number of custodians necessary. 
Purpose:
Restricting the number of people who have access to cleartext cryptographic key components reduces the risk of stored account data being retrieved or rendered visible by unauthorized parties. 

Good Practice:
Only personnel with defined key custodian responsibilities (creating, altering, rotating, distributing, or otherwise maintaining encryption keys) should be granted access to key components. 
Ideally this will be a very small number of people. 
Guideline for a healthy information system v.2.0 (EN):
29 STANDARD
/STANDARD
Numerous users, including at the top management level, are tempted to ask their IT department to be able to provide them, in line with their personal use, with higher privileges on their workstations: installation of software, system configuration, etc. By default, it is recommended that an information system user, whatever his responsibility level and allocations, should not have administration privileges on his workstation. This measure, which appears restrictive, aims to limit the consequences of malicious executions from malware. The availability of a well-rounded application store, validated by the organization from the security point of view, will be able to respond to the majority of needs. 

Consequently, only administrators responsible for the administration of workstations must have these rights during their interventions. 

If delegating privileges to a workstation is really necessary to respond to a one-off need from the user, it must be monitored, for a limited time, and be withdrawn afterwards. 
9 STANDARD
/STANDARD 
Some of the system’s resources can be a source of invaluable information from the hacher’s point of view (folders containing sensitive data, databases, mailboxes, etc.). It is therefore essential to establish an accurate list of these resources and for each of them:
  • define which group can have access to them;
  • strictly control access, by ensuring that users are authenticated and are part of the target group;
  • avoid their circulation and duplication to uncontrolled areas or areas subject to a less strict access control. 
For example, the folders of administrators bringing together various pieces of sensitive information must be subject to specific access control. The same goes for sensitive information present on network shares: exports of configuration files, information system technical documentation, business databases, etc. A regular review of the access rights must, moreover, be carried out, in order to identify any unauthorised access 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.9.2.3
A.9.2.3 Управление привилегированными правами доступа 
Мера обеспечения информационной безопасности: Распределение и использование привилегированных прав доступа следует ограничивать и контролировать 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 4.3 CSC 4.3 Ensure the Use of Dedicated Administrative Accounts
Ensure that all users with administrative account access use a dedicated or secondary account for elevated activities. This account should only be used for administrative activities and not internet browsing, email, or similar activities.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 7.3.3
7.3.3
Определенные Требования к Подходу:
Система (системы) контроля доступа по умолчанию настроена на “запретить все”.

Цель Индивидуального подхода:
Права доступа и привилегии запрещены, если это прямо не разрешено.

Определенные Процедуры Тестирования Подхода:
  • 7.3.3 Изучите документацию поставщика и системные настройки, чтобы убедиться, что для системы (систем) контроля доступа по умолчанию установлено значение “запретить все”.
Цель:
Значение по умолчанию “запретить всем” гарантирует, что никому не будет предоставлен доступ, если не установлено правило, специально предоставляющее такой доступ.

Надлежащая практика:
Важно проверить конфигурацию систем контроля доступа по умолчанию, потому что некоторые из них по умолчанию настроены на “разрешить все”, тем самым разрешая доступ, если /пока не будет написано правило, специально запрещающее его.
Requirement 7.2.5
7.2.5
Определенные Требования к Подходу:
Все учетные записи приложений и системы и связанные с ними права доступа назначаются и управляются следующим образом:
  • На основе наименьших привилегий, необходимых для работоспособности системы или приложения.
  • Доступ ограничен системами, приложениями или процессами, которые конкретно требуют их использования.
Цель Индивидуального подхода:
Права доступа, предоставляемые учетным записям приложений и систем, ограничены только доступом, необходимым для работоспособности этого приложения или системы.

Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:
  • 7.2.5.a Изучите политики и процедуры, чтобы убедиться, что они определяют процессы для управления и назначения учетных записей приложений и систем и связанных с ними привилегий доступа в соответствии со всеми элементами, указанными в этом требовании.
  • 7.2.5.b Проверьте привилегии, связанные с учетными записями системы и приложений, и опросите ответственный персонал, чтобы убедиться, что учетные записи приложений и системы и связанные с ними привилегии доступа назначены и управляются в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Важно установить соответствующий уровень доступа для учетных записей приложений или систем. Если такие учетные записи будут скомпрометированы, злоумышленники получат тот же уровень доступа, что и для приложения или системы. Поэтому важно обеспечить ограниченный доступ к учетным записям системы и приложений на той же основе, что и к учетным записям пользователей.

Надлежащая практика:
Организации могут захотеть рассмотреть возможность установления базовой линии при настройке этих учетных записей приложений и систем, включая следующее, если это применимо к организации:
  • Убедитесь, что учетная запись не является членом привилегированной группы, такой как администраторы домена, локальные администраторы или root.
  • Ограничение того, на каких компьютерах можно использовать учетную запись.
  • Ограничение часов использования.
  • Удаление любых дополнительных настроек, таких как VPN-доступ и удаленный доступ.
Requirement 3.6.1.3
3.6.1.3
Определенные Требования к Подходу:
Доступ к компонентам криптографических ключей с открытым текстом ограничен минимальным количеством необходимых хранителей.

Цель Индивидуального подхода:
Доступ к компонентам криптографического ключа открытого текста ограничен необходимым персоналом.

Определенные Процедуры Тестирования Подхода:
  • 3.6.1.3 Изучите списки доступа пользователей, чтобы убедиться, что доступ к компонентам криптографических ключей открытого текста ограничен наименьшим количеством необходимых хранителей.
Цель:
Ограничение числа людей, имеющих доступ к компонентам криптографического ключа с открытым текстом, снижает риск получения сохраненных данных учетной записи или их отображения неавторизованными сторонами.

Надлежащая практика:
Доступ к ключевым компонентам должен предоставляться только персоналу с определенными обязанностями по хранению ключей (создание, изменение, ротация, распространение или иное обслуживание ключей шифрования).
В идеале это будет очень небольшое количество людей.
Strategies to Mitigate Cyber Security Incidents (EN):
2.1.
Restrict administrative privileges to operating systems and applications based on user duties. Regularly revalidate the need for privileges. Don’t use privileged accounts for reading email and web browsing.
Relative Security Effectiveness:  Essential | Potential User Resistance:  Medium | Upfront Cost:  High | Ongoing Maintenance Cost:  Medium
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.18
А.5.18 Права доступа
Права доступа к информационным и иным связанным с ней активам должны предоставляться, пересматриваться, изменяться и удаляться в соответствии с специфической тематической политикой и правилами управления доступом организации.
А.8.2
А.8.2 Привилегированные права доступа
Должны ограничиваться и управляться назначение и использование привилегированных прав доступа.
Методика экспресс-оценки уровня кибербезопасности организации РезБез:
6.2.2.
Назначение и предоставление прав доступа осуществляется согласно роли и должностным (функциональным) обязанностям
6.2.1.
Назначение прав доступа осуществляется согласно роли и должностным (функциональным) обязанностям. Для каждой роли установлены минимально необходимые права доступа
6.2.1.3.
Доступ к административным и сервисным УЗ строго ограничен. Для работы с системами используются отдельные персонифицированные УЗ с определенными наборами ролей и прав доступа к системам
SWIFT Customer Security Controls Framework v2022:
5 - 5.1 Logical Access Control
5.1 Logical Access Control
1 - 1.2 Operating System Account Control
1.2 Operating System Privileged Account Control
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
УПД.5 УПД.5 Назначение минимально необходимых прав и привилегий
NIST Cybersecurity Framework (EN):
PR.AC-4 PR.AC-4: Access permissions and authorizations are managed, incorporating the principles of least privilege and separation of duties
PR.IP-11 PR.IP-11: Cybersecurity is included in human resources practices (e.g., deprovisioning, personnel screening)
PR.PT-3 PR.PT-3: The principle of least functionality is incorporated by configuring systems to provide only essential capabilities
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
УПД.5 УПД.5 Назначение минимально необходимых прав и привилегий
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.2
А.8.2 Privileged access rights
The allocation and use of privileged access rights shall be restricted and managed.
А.5.18
А.5.18 Access rights
Access rights to information and other associated assets shall be provisioned, reviewed, modified and removed in accordance with the organization’s topic-specific policy on and rules for access control.