Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

ГОСТ Р № 57580.1-2017 от 01.01.2018

Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации

ФД.17

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.2.1.1
9.2.1.1
Defined Approach Requirements: 
Individual physical access to sensitive areas within the CDE is monitored with either video cameras or physical access control mechanisms (or both) as follows: 
  • Entry and exit points to/from sensitive areas within the CDE are monitored. 
  • Monitoring devices or mechanisms are protected from tampering or disabling. 
  • Collected data is reviewed and correlated with other entries. 
  • Collected data is stored for at least three months, unless otherwise restricted by law. 
Customized Approach Objective:
Trusted, verifiable records are maintained of individual physical entry to, and exit from, sensitive areas. 

Defined Approach Testing Procedures:
  • 9.2.1.1.a Observe locations where individual physical access to sensitive areas within the CDE occurs to verify that either video cameras or physical access control mechanisms (or both) are in place to monitor the entry and exit points. 
  • 9.2.1.1.b Observe locations where individual physical access to sensitive areas within the CDE occurs to verify that either video cameras or physical access control mechanisms (or both) are protected from tampering or disabling. 
  • 9.2.1.1.c Observe the physical access control mechanisms and/or examine video cameras and interview responsible personnel to verify that: 
    • Collected data from video cameras and/or physical access control mechanisms is reviewed and correlated with other entries. 
    • Collected data is stored for at least three months. 
Purpose:
Maintaining details of individuals entering and exiting the sensitive areas can help with investigations of physical breaches by identifying individuals that physically accessed the sensitive areas, as well as when they entered and exited. 

Good Practice:
Whichever mechanism meets this requirement, it should effectively monitor all entry and exit points to sensitive areas. 
Criminals attempting to gain physical access to sensitive areas will often try to disable or bypass the monitoring controls. To protect these controls from tampering, video cameras could be positioned so they are out of reach and/or be monitored to detect tampering. Similarly, physical access control mechanisms could be monitored or have physical protections installed to prevent them from being damaged or disabled by malicious individuals. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.2.1.1
9.2.1.1
Определенные Требования к Подходу:
Индивидуальный физический доступ к критическим зонам в CDE контролируется либо с помощью видеокамер, либо с помощью механизмов контроля физического доступа (или и того, и другого) следующим образом:
  • Точки въезда и выезда в/из критических зон в пределах CDE контролируются.
  • Контрольные устройства или механизмы защищены от несанкционированного доступа или отключения.
  • Собранные данные анализируются и сопоставляются с другими записями.
  • Собранные данные хранятся не менее трех месяцев, если иное не запрещено законом.
Цель Индивидуального подхода:
Ведутся надежные, поддающиеся проверке записи об индивидуальном физическом входе в критичные зоны и выходе из них.

Определенные Процедуры Тестирования Подхода:
  • 9.2.1.1.a Наблюдать за местами, где происходит индивидуальный физический доступ к критическим зонам в пределах CDE, чтобы убедиться, что либо видеокамеры, либо механизмы контроля физического доступа (или и то, и другое) установлены для наблюдения за точками входа и выхода.
  • 9.2.1.1.b Наблюдайте за местами, где происходит индивидуальный физический доступ к критичным областям в CDE, чтобы убедиться, что либо видеокамеры, либо механизмы контроля физического доступа (или и то, и другое) защищены от несанкционированного доступа или отключения.
  • 9.2.1.1.c Наблюдать за механизмами контроля физического доступа и/или проверять видеокамеры и опрашивать ответственный персонал, чтобы убедиться, что:
    • Собранные данные с видеокамер и/или физических механизмов контроля доступа анализируются и сопоставляются с другими записями.
    • Собранные данные хранятся не менее трех месяцев.
Цель:
Сохранение сведений о лицах, входящих и выходящих из уязвимых зон, может помочь в расследовании физических нарушений путем выявления лиц, которые физически имели доступ к уязвимым зонам, а также когда они входили и выходили.

Надлежащая практика:
Какой бы механизм ни отвечал этому требованию, он должен эффективно контролировать все точки въезда и выезда в критические периметры.
Преступники, пытающиеся получить физический доступ к критичным областям, часто пытаются отключить или обойти средства контроля. Чтобы защитить эти элементы управления от несанкционированного доступа, видеокамеры могут быть расположены так, чтобы они были вне досягаемости и / или контролировались для обнаружения несанкционированного доступа. Аналогичным образом, механизмы контроля физического доступа могут контролироваться или иметь установленную физическую защиту, чтобы предотвратить их повреждение или отключение злоумышленниками.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.7.4
А.7.4 Мониторинг физической безопасности
Помещения должны объектом непрерывного мониторинга на предмет выявления несанкционированного физического доступа.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.7.4
А.7.4 Physical security monitoring
Premises shall be continuously monitored for unauthorized physical access.

Связанные защитные меры

Ничего не найдено