Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Приказ ФСТЭК России № 239 от 25.12.2017

Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости

ИАФ.3

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
РД.28
РД.28 Регистрация персонификации, выдачи (передачи) и уничтожения персональных технических устройств аутентификации, реализующих многофакторную аутентификацию
3-О 2-О 1-О
NIST Cybersecurity Framework (RU):
PR.AC-6
PR.AC-6: Идентификационные данные проверяются и привязываются к учетным данным, а при необходимости утверждаются при взаимодействии
PR.AC-1
PR.AC-1: Для авторизованных устройств, пользователей и процессов выдаются, управляются, верифицируются, аннулируются и проверяются идентификационные и учетные данные
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ИАФ.3
ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 8.2.4
8.2.4
Defined Approach Requirements: 
Addition, deletion, and modification of user IDs, authentication factors, and other identifier objects are managed as follows:
  • Authorized with the appropriate approval. 
  • Implemented with only the privileges specified on the documented approval. 
Customized Approach Objective:
Lifecycle events for user IDs and authentication factors cannot occur without appropriate authorization. 

Applicability Notes:
This requirement applies to all user accounts, including employees, contractors, consultants, temporary workers, and third-party vendors. 

Defined Approach Testing Procedures:
  • 8.2.4 Examine documented authorizations across various phases of the account lifecycle (additions, modifications, and deletions) and examine system settings to verify the activity has been managed in accordance with all elements specified in this requirement. 
Purpose:
It is imperative that the lifecycle of a user ID (additions, deletions, and modifications) is controlled so that only authorized accounts can perform functions, actions are auditable, and privileges are limited to only what is required. 
Attackers often compromise an existing account and then escalate the privileges of that account to perform unauthorized acts, or they may create new IDs to continue their activity in the background. It is essential to detect and respond when user accounts are created or changed outside the normal change process or without corresponding authorization. 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 16.7 CSC 16.7 Establish Process for Revoking Access
Establish and follow an automated process for revoking system access by disabling accounts immediately upon termination or change of responsibilities of an employee or contractor . Disabling these accounts, instead of deleting accounts, allows preservation of audit trails.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 8.2.4
8.2.4
Определенные Требования к Подходу:
Добавление, удаление и изменение идентификаторов пользователей, факторов аутентификации и других объектов идентификаторов управляются следующим образом:
  • Авторизован с соответствующим утверждением.
  • Реализовано только с привилегиями, указанными в документированном утверждении.
Цель Индивидуального подхода:
События жизненного цикла для идентификаторов пользователей и факторов аутентификации не могут происходить без соответствующей авторизации.

Примечания по применению:
Это требование распространяется на все учетные записи пользователей, включая сотрудников, подрядчиков, консультантов, временных работников и сторонних поставщиков.

Определенные Процедуры Тестирования Подхода:
  • 8.2.4 Изучите документированные авторизации на различных этапах жизненного цикла учетной записи (добавления, изменения и удаления) и изучите системные настройки, чтобы убедиться, что управление активностью осуществлялось в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Крайне важно, чтобы жизненный цикл идентификатора пользователя (добавления, удаления и модификации) контролировался таким образом, чтобы только авторизованные учетные записи могли выполнять функции, действия проверялись, а привилегии ограничивались только тем, что требуется.
Злоумышленники часто компрометируют существующую учетную запись, а затем повышают привилегии этой учетной записи для выполнения несанкционированных действий, или они могут создавать новые идентификаторы, чтобы продолжать свою деятельность в фоновом режиме. Важно обнаруживать и реагировать, когда учетные записи пользователей создаются или изменяются вне обычного процесса изменения или без соответствующей авторизации.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ИАФ.3 ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИАФ.3 ИАФ.3 Управление идентификаторами
NIST Cybersecurity Framework (EN):
PR.AC-1 PR.AC-1: Identities and credentials are issued, managed, verified, revoked, and audited for authorized devices, users and processes
PR.AC-6 PR.AC-6: Identities are proofed and bound to credentials and asserted in interactions

Связанные защитные меры

Ничего не найдено