Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Стандарт № GMP Annex 11: Computerised Systems (EN) от 30.11.2011

Good Manufacturing Practice. Annex 11: Computerised Systems

Р. 4 п. 12 п.п. 3

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 8.2.5
8.2.5
Defined Approach Requirements: 
Access for terminated users is immediately revoked. 

Customized Approach Objective:
The accounts of terminated users cannot be used. 

Defined Approach Testing Procedures:
  • 8.2.5.a Examine information sources for terminated users and review current user access lists—for both local and remote access—to verify that terminated user IDs have been deactivated or removed from the access lists. 
  • 8.2.5.b Interview responsible personnel to verify that all physical authentication factors—such as, smart cards, tokens, etc.—have been returned or deactivated for terminated users. 
Purpose:
If an employee or third party/vendor has left the company and still has access to the network via their user account, unnecessary or malicious access to cardholder data could occur—either by the former employee or by a malicious user who exploits the old and/or unused account. 
Стандарт № GMP Annex 11: Computerised Systems (RU) от 30.11.2011 "Правила надлежащей производственной практики. Приложение 11: Компьютеризированные системы":
Р. 4 п. 12 п.п. 3
12.3. Создание, изменение и аннулирование прав доступа должно быть зарегистрировано.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 8.2.5
8.2.5
Определенные Требования к Подходу:
Доступ для прекращенных пользователей немедленно аннулируется.

Цель Индивидуального подхода:
Учетные записи прекращенных пользователей не могут быть использованы.

Определенные Процедуры Тестирования Подхода:
  • 8.2.5.a Изучите источники информации о завершенных пользователях и просмотрите текущие списки доступа пользователей — как для локального, так и для удаленного доступа — чтобы убедиться, что идентификаторы завершенных пользователей были деактивированы или удалены из списков доступа.
  • 8.2.5.b Опросите ответственный персонал, чтобы убедиться, что все физические факторы аутентификации — такие как смарт—карты, токены и т.д. - были возвращены или деактивированы для прекращенных пользователей.
Цель:
Если сотрудник или третья сторона/ поставщик покинули компанию и по—прежнему имеют доступ к сети через свою учетную запись пользователя, может возникнуть ненужный или злонамеренный доступ к данным о держателях карт - либо со стороны бывшего сотрудника, либо со стороны злоумышленника, который использует старую и/или неиспользуемую учетную запись.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.18
А.5.18 Права доступа
Права доступа к информационным и иным связанным с ней активам должны предоставляться, пересматриваться, изменяться и удаляться в соответствии с специфической тематической политикой и правилами управления доступом организации.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.18
А.5.18 Access rights
Access rights to information and other associated assets shall be provisioned, reviewed, modified and removed in accordance with the organization’s topic-specific policy on and rules for access control.

Связанные защитные меры

Ничего не найдено