Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Стандарт № GMP Annex 11: Computerised Systems (EN) от 30.11.2011

Good Manufacturing Practice. Annex 11: Computerised Systems

Р. 4 п. 12 п.п. 1

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.2.4
9.2.4
Defined Approach Requirements: 
Access to consoles in sensitive areas is restricted via locking when not in use. 

Customized Approach Objective:
Physical consoles within sensitive areas cannot be used by unauthorized personnel. 

Defined Approach Testing Procedures:
  • 9.2.4 Observe a system administrator’s attempt to log into consoles in sensitive areas and verify that they are “locked” to prevent unauthorized use. 
Purpose:
Locking console login screens prevents unauthorized persons from gaining access to sensitive information, altering system configurations, introducing vulnerabilities into the network, or destroying records. 
Requirement 3.6.1.3
3.6.1.3
Defined Approach Requirements: 
Access to cleartext cryptographic key components is restricted to the fewest number of custodians necessary. 

Customized Approach Objective:
Access to cleartext cryptographic key components is restricted to necessary personnel. 

Defined Approach Testing Procedures:
  •  3.6.1.3 Examine user access lists to verify that access to cleartext cryptographic key components is restricted to the fewest number of custodians necessary. 
Purpose:
Restricting the number of people who have access to cleartext cryptographic key components reduces the risk of stored account data being retrieved or rendered visible by unauthorized parties. 

Good Practice:
Only personnel with defined key custodian responsibilities (creating, altering, rotating, distributing, or otherwise maintaining encryption keys) should be granted access to key components. 
Ideally this will be a very small number of people. 
Стандарт № GMP Annex 11: Computerised Systems (RU) от 30.11.2011 "Правила надлежащей производственной практики. Приложение 11: Компьютеризированные системы":
Р. 4 п. 12 п.п. 1
12.1. Должны иметься в наличии физические и/или логические элементы контроля для обеспечения доступа к компьютеризированной системе только уполномоченным на то лицам. Соответствующие способы предотвращения несанкционированного доступа к системе могут включать в себя использование ключей, карточек доступа, персональных кодов с паролями, биометрических данных, ограничения доступа к компьютерному оборудованию и зонам хранения данных. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.2.4
9.2.4
Определенные Требования к Подходу:
Доступ к консолям в критических зонах ограничен блокировкой, когда они не используются.

Цель Индивидуального подхода:
Физические консоли в критических зонах не могут использоваться посторонним персоналом.

Определенные Процедуры Тестирования Подхода:
  • 9.2.4 Наблюдайте за попытками системного администратора войти в консоли в конфиденциальных областях и убедитесь, что они “заблокированы” для предотвращения несанкционированного использования.
Цель:
Блокировка экранов входа в консоль предотвращает несанкционированный доступ посторонних лиц к конфиденциальной информации, изменение системных конфигураций, внедрение уязвимостей в сеть или уничтожение записей.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.18
А.5.18 Права доступа
Права доступа к информационным и иным связанным с ней активам должны предоставляться, пересматриваться, изменяться и удаляться в соответствии с специфической тематической политикой и правилами управления доступом организации.
А.7.6
А.7.6 Работа в защищенном периметре
Должны быть разработаны и внедрены меры безопасности для работы в защищенном периметре.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.7.6
А.7.6 Working in secure areas
Security measures for working in secure areas shall be designed and implemented.
А.5.18
А.5.18 Access rights
Access rights to information and other associated assets shall be provisioned, reviewed, modified and removed in accordance with the organization’s topic-specific policy on and rules for access control.

Связанные защитные меры

Ничего не найдено