Куда я попал?
Стандарт № GMP Annex 11: Computerised Systems (RU) от 30.11.2011
Правила надлежащей производственной практики. Приложение 11: Компьютеризированные системы
Р. 4 п. 12 п.п. 1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Стандарт № GMP Annex 11: Computerised Systems (EN) от 30.11.2011 "Good Manufacturing Practice. Annex 11: Computerised Systems":
Р. 4 п. 12 п.п. 1
12.1 Physical and/or logical controls should be in place to restrict access to computerised system to authorised persons. Suitable methods of preventing unauthorised entry to the system may include the use of keys, pass cards, personal codes with passwords, biometrics, restricted access to computer equipment and data storage areas.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.2.4
9.2.4
Defined Approach Requirements:
Access to consoles in sensitive areas is restricted via locking when not in use.
Customized Approach Objective:
Physical consoles within sensitive areas cannot be used by unauthorized personnel.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Access to consoles in sensitive areas is restricted via locking when not in use.
Customized Approach Objective:
Physical consoles within sensitive areas cannot be used by unauthorized personnel.
Defined Approach Testing Procedures:
- 9.2.4 Observe a system administrator’s attempt to log into consoles in sensitive areas and verify that they are “locked” to prevent unauthorized use.
Purpose:
Locking console login screens prevents unauthorized persons from gaining access to sensitive information, altering system configurations, introducing vulnerabilities into the network, or destroying records.
Locking console login screens prevents unauthorized persons from gaining access to sensitive information, altering system configurations, introducing vulnerabilities into the network, or destroying records.
Requirement 3.6.1.3
3.6.1.3
Defined Approach Requirements:
Access to cleartext cryptographic key components is restricted to the fewest number of custodians necessary.
Customized Approach Objective:
Access to cleartext cryptographic key components is restricted to necessary personnel.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Access to cleartext cryptographic key components is restricted to the fewest number of custodians necessary.
Customized Approach Objective:
Access to cleartext cryptographic key components is restricted to necessary personnel.
Defined Approach Testing Procedures:
- 3.6.1.3 Examine user access lists to verify that access to cleartext cryptographic key components is restricted to the fewest number of custodians necessary.
Purpose:
Restricting the number of people who have access to cleartext cryptographic key components reduces the risk of stored account data being retrieved or rendered visible by unauthorized parties.
Good Practice:
Only personnel with defined key custodian responsibilities (creating, altering, rotating, distributing, or otherwise maintaining encryption keys) should be granted access to key components.
Ideally this will be a very small number of people.
Restricting the number of people who have access to cleartext cryptographic key components reduces the risk of stored account data being retrieved or rendered visible by unauthorized parties.
Good Practice:
Only personnel with defined key custodian responsibilities (creating, altering, rotating, distributing, or otherwise maintaining encryption keys) should be granted access to key components.
Ideally this will be a very small number of people.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.11.2.8
A.11.2.8 Оборудование, оставленное пользователем без присмотра
Мера обеспечения информационной безопасности: Пользователи должны обеспечить соответствующую защиту оборудования, оставленного без присмотра
Мера обеспечения информационной безопасности: Пользователи должны обеспечить соответствующую защиту оборудования, оставленного без присмотра
A.11.1.5
A.11.1.5 Работа в зонах безопасности
Мера обеспечения информационной безопасности: Должны быть разработаны и применены процедуры для работы в зонах безопасности
Мера обеспечения информационной безопасности: Должны быть разработаны и применены процедуры для работы в зонах безопасности
A.9.2.2
A.9.2.2 Предоставление пользователю права доступа
Мера обеспечения информационной безопасности: Должен быть реализован формализованный процесс назначения или отмены прав доступа пользователей к системам и сервисам
Мера обеспечения информационной безопасности: Должен быть реализован формализованный процесс назначения или отмены прав доступа пользователей к системам и сервисам
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 3.6.1.3
3.6.1.3
Определенные Требования к Подходу:
Доступ к компонентам криптографических ключей с открытым текстом ограничен минимальным количеством необходимых хранителей.
Цель Индивидуального подхода:
Доступ к компонентам криптографического ключа открытого текста ограничен необходимым персоналом.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Доступ к компонентам криптографических ключей с открытым текстом ограничен минимальным количеством необходимых хранителей.
Цель Индивидуального подхода:
Доступ к компонентам криптографического ключа открытого текста ограничен необходимым персоналом.
Определенные Процедуры Тестирования Подхода:
- 3.6.1.3 Изучите списки доступа пользователей, чтобы убедиться, что доступ к компонентам криптографических ключей открытого текста ограничен наименьшим количеством необходимых хранителей.
Цель:
Ограничение числа людей, имеющих доступ к компонентам криптографического ключа с открытым текстом, снижает риск получения сохраненных данных учетной записи или их отображения неавторизованными сторонами.
Надлежащая практика:
Доступ к ключевым компонентам должен предоставляться только персоналу с определенными обязанностями по хранению ключей (создание, изменение, ротация, распространение или иное обслуживание ключей шифрования).
В идеале это будет очень небольшое количество людей.
Ограничение числа людей, имеющих доступ к компонентам криптографического ключа с открытым текстом, снижает риск получения сохраненных данных учетной записи или их отображения неавторизованными сторонами.
Надлежащая практика:
Доступ к ключевым компонентам должен предоставляться только персоналу с определенными обязанностями по хранению ключей (создание, изменение, ротация, распространение или иное обслуживание ключей шифрования).
В идеале это будет очень небольшое количество людей.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.18
А.5.18 Права доступа
Права доступа к информационным и иным связанным с ней активам должны предоставляться, пересматриваться, изменяться и удаляться в соответствии с специфической тематической политикой и правилами управления доступом организации.
Права доступа к информационным и иным связанным с ней активам должны предоставляться, пересматриваться, изменяться и удаляться в соответствии с специфической тематической политикой и правилами управления доступом организации.
А.7.6
А.7.6 Работа в защищенном периметре
Должны быть разработаны и внедрены меры безопасности для работы в защищенном периметре.
Должны быть разработаны и внедрены меры безопасности для работы в защищенном периметре.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.7.6
А.7.6 Working in secure areas
Security measures for working in secure areas shall be designed and implemented.
Security measures for working in secure areas shall be designed and implemented.
А.5.18
А.5.18 Access rights
Access rights to information and other associated assets shall be provisioned, reviewed, modified and removed in accordance with the organization’s topic-specific policy on and rules for access control.
Access rights to information and other associated assets shall be provisioned, reviewed, modified and removed in accordance with the organization’s topic-specific policy on and rules for access control.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.