Куда я попал?
ГОСТ Р № 57580.1-2017 от 01.01.2018
Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации
ФД.2
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
ФД.2 Контроль перечня лиц, которым предоставлено право самостоятельного физического доступа в помещения
3-О 2-О 1-ТОбязательно для уровня защиты 1 2 3
Похожие требования
Приказ ФАПСИ № 152 от 13.06.2001 "Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну":
Глава IV п. 63
63. Режим охраны спецпомещений пользователей СКЗИ, в том числе правила допуска сотрудников и посетителей в рабочее и нерабочее время, устанавливает обладатель конфиденциальной информации по согласованию с соответствующим органом криптографической защиты. Установленный режим охраны должен предусматривать периодический контроль за состоянием технических средств охраны, если таковые имеются, а также учитывать положения настоящей Инструкции, специфику и условия работы конкретных пользователей СКЗИ.
Глава IV п. 54
54. Режим охраны спецпомещений органов криптографической защиты, в том числе правила допуска сотрудников и посетителей в рабочее и нерабочее время, устанавливает лицензиат ФАПСИ по согласованию, при необходимости, с обладателем конфиденциальной информации, в помещениях которого располагается соответствующий орган криптографической защиты. Установленный режим охраны должен предусматривать периодический контроль за состоянием технических средств охраны, если таковые имеются, а также учитывать положения настоящей Инструкции.
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗТС.3
ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.3.1.1
9.3.1.1
Defined Approach Requirements:
Physical access to sensitive areas within the CDE for personnel is controlled as follows:
Defined Approach Requirements:
Physical access to sensitive areas within the CDE for personnel is controlled as follows:
- Access is authorized and based on individual job function.
- Access is revoked immediately upon termination.
- All physical access mechanisms, such as keys, access cards, etc., are returned or disabled upon termination.
Customized Approach Objective:
Sensitive areas cannot be accessed by unauthorized personnel.
Defined Approach Testing Procedures:
Sensitive areas cannot be accessed by unauthorized personnel.
Defined Approach Testing Procedures:
- 9.3.1.1.a Observe personnel in sensitive areas within the CDE, interview responsible personnel, and examine physical access control lists to verify that:
- Access to the sensitive area is authorized.
- Access is required for the individual’s job function.
- 9.3.1.1.b Observe processes and interview personnel to verify that access of all personnel is revoked immediately upon termination.
- 9.3.1.1.c For terminated personnel, examine physical access controls lists and interview responsible personnel to verify that all physical access mechanisms (such as keys, access cards, etc.) were returned or disabled.
Purpose:
Controlling physical access to sensitive areas helps ensure that only authorized personnel with a legitimate business need are granted access.
Good Practice:
Where possible, organizations should have policies and procedures to ensure that before personnel leaving the organization, all physical access mechanisms are returned, or disabled as soon as possible upon their departure. This will ensure personnel cannot gain physical access to sensitive areas once their employment has ended.
Controlling physical access to sensitive areas helps ensure that only authorized personnel with a legitimate business need are granted access.
Good Practice:
Where possible, organizations should have policies and procedures to ensure that before personnel leaving the organization, all physical access mechanisms are returned, or disabled as soon as possible upon their departure. This will ensure personnel cannot gain physical access to sensitive areas once their employment has ended.
Requirement 9.3.1
9.3.1
Defined Approach Requirements:
Procedures are implemented for authorizing and managing physical access of personnel to the CDE, including:
Defined Approach Requirements:
Procedures are implemented for authorizing and managing physical access of personnel to the CDE, including:
- Identifying personnel.
- Managing changes to an individual’s physical access requirements.
- Revoking or terminating personnel identification.
- Limiting access to the identification process or system to authorized personnel.
Customized Approach Objective:
Requirements for access to the physical CDE are defined and enforced to identify and authorize personnel.
Defined Approach Testing Procedures:
Requirements for access to the physical CDE are defined and enforced to identify and authorize personnel.
Defined Approach Testing Procedures:
- 9.3.1.a Examine documented procedures to verify that procedures to authorize and manage physical access of personnel to the CDE are defined in accordance with all elements specified in this requirement.
- 9.3.1.b Observe identification methods, such as ID badges, and processes to verify that personnel in the CDE are clearly identified.
- 9.3.1.c Observe processes to verify that access to the identification process, such as a badge system, is limited to authorized personnel.
Purpose:
Establishing procedures for granting, managing, and removing access when it is no longer needed ensures non-authorized individuals are prevented from gaining access to areas containing cardholder data. In addition, it is important to limit access to the actual badging system and badging materials to prevent unauthorized personnel from making their own badges and/or setting up their own access rules.
Good Practice:
It is important to visually identify the personnel that are physically present, and whether the individual is a visitor or an employee.
Examples:
One way to identify personnel is to assign them badges.
Establishing procedures for granting, managing, and removing access when it is no longer needed ensures non-authorized individuals are prevented from gaining access to areas containing cardholder data. In addition, it is important to limit access to the actual badging system and badging materials to prevent unauthorized personnel from making their own badges and/or setting up their own access rules.
Good Practice:
It is important to visually identify the personnel that are physically present, and whether the individual is a visitor or an employee.
Examples:
One way to identify personnel is to assign them badges.
Guideline for a healthy information system v.2.0 (EN):
26 STANDARD
/STANDARD
Physical security mechanisms must be a key part of information systems security and be up to date to ensure that they cannot be bypassed easily by a hacker. It is, therefore, advisable to identify the suitable physical security measures and to raise users’ awareness continuously of the risks caused by bypassing these rules.
Access to server rooms and technical areas must be controlled with the assistance of locks or access control mechanisms such as badges. The unaccompanied access of external service providers to sever rooms and technical areas must be prohibited, except if it is possible to strictly monitor the access and limit it to given time intervals. A regular review of the access rights must be carried out, in order to identify any unauthorised access.
When an employee leaves or there is a change of service provider, the access rights must be withdrawn or the access codes changed.
Finally, the network sockets in areas open to the public (meeting room, reception hall, corridors, etc.) must be restricted or deactivated in order to stop a hacker easily gaining access to the company’s network.
Physical security mechanisms must be a key part of information systems security and be up to date to ensure that they cannot be bypassed easily by a hacker. It is, therefore, advisable to identify the suitable physical security measures and to raise users’ awareness continuously of the risks caused by bypassing these rules.
Access to server rooms and technical areas must be controlled with the assistance of locks or access control mechanisms such as badges. The unaccompanied access of external service providers to sever rooms and technical areas must be prohibited, except if it is possible to strictly monitor the access and limit it to given time intervals. A regular review of the access rights must be carried out, in order to identify any unauthorised access.
When an employee leaves or there is a change of service provider, the access rights must be withdrawn or the access codes changed.
Finally, the network sockets in areas open to the public (meeting room, reception hall, corridors, etc.) must be restricted or deactivated in order to stop a hacker easily gaining access to the company’s network.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.11.1.3
A.11.1.3 Безопасность зданий, помещений и оборудования
Мера обеспечения информационной безопасности: Должна быть разработана и реализована физическая защита зданий, помещений и оборудования
Мера обеспечения информационной безопасности: Должна быть разработана и реализована физическая защита зданий, помещений и оборудования
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.3.1
9.3.1
Определенные Требования к Подходу:
Внедрены процедуры авторизации и управления физическим доступом персонала к CDE, включая:
Определенные Требования к Подходу:
Внедрены процедуры авторизации и управления физическим доступом персонала к CDE, включая:
- Идентификация персонала.
- Управление изменениями требований к физическому доступу отдельного пользователя.
- Аннулирование или прекращение идентификации персонала.
- Ограничение доступа к процессу идентификации или системе только уполномоченному персоналу.
Цель Индивидуального подхода:
Требования к доступу к физическому CDE определяются и применяются для идентификации и авторизации персонала.
Определенные Процедуры Тестирования Подхода:
Требования к доступу к физическому CDE определяются и применяются для идентификации и авторизации персонала.
Определенные Процедуры Тестирования Подхода:
- 9.3.1.a Изучить документированные процедуры для проверки того, что процедуры авторизации и управления физическим доступом персонала к CDE определены в соответствии со всеми элементами, указанными в этом требовании.
- 9.3.1.b Соблюдайте методы идентификации, такие как идентификационные значки, и процессы для проверки того, что персонал в CDE четко идентифицирован.
- 9.3.1.c Соблюдайте процедуры, чтобы убедиться, что доступ к процессу идентификации, такому как система бейджей, ограничен уполномоченным персоналом.
Цель:
Установление процедур предоставления, управления и удаления доступа, когда он больше не нужен, гарантирует, что неавторизованные лица не смогут получить доступ к областям, содержащим данные о держателях карт. Кроме того, важно ограничить доступ к самой системе бейджинга и материалам бейджинга, чтобы неавторизованный персонал не мог создавать свои собственные бейджи и/или устанавливать свои собственные правила доступа.
Надлежащая практика:
Важно визуально идентифицировать физически присутствующий персонал и определить, является ли этот человек посетителем или сотрудником.
Примеры:
Одним из способов идентификации персонала является присвоение ему бейджей.
Установление процедур предоставления, управления и удаления доступа, когда он больше не нужен, гарантирует, что неавторизованные лица не смогут получить доступ к областям, содержащим данные о держателях карт. Кроме того, важно ограничить доступ к самой системе бейджинга и материалам бейджинга, чтобы неавторизованный персонал не мог создавать свои собственные бейджи и/или устанавливать свои собственные правила доступа.
Надлежащая практика:
Важно визуально идентифицировать физически присутствующий персонал и определить, является ли этот человек посетителем или сотрудником.
Примеры:
Одним из способов идентификации персонала является присвоение ему бейджей.
Requirement 9.3.1.1
9.3.1.1
Определенные Требования к Подходу:
Физический доступ персонала к критическим зонам в пределах CDE контролируется следующим образом:
Определенные Требования к Подходу:
Физический доступ персонала к критическим зонам в пределах CDE контролируется следующим образом:
- Доступ авторизован и основан на индивидуальной функции задания.
- Доступ аннулируется сразу же после прекращения действия.
- Все физические механизмы доступа, такие как ключи, карты доступа и т.д., возвращаются или отключаются после прекращения действия.
Цель Индивидуального подхода:
Несанкционированный персонал не может получить доступ к критическим зонам.
Определенные Процедуры Тестирования Подхода:
Несанкционированный персонал не может получить доступ к критическим зонам.
Определенные Процедуры Тестирования Подхода:
- 9.3.1.1.a Наблюдать за персоналом в критичных зонах CDE, опрашивать ответственный персонал и изучать списки контроля физического доступа, чтобы убедиться, что:
- Доступ к конфиденциальной области разрешен.
- Доступ необходим для выполнения человеком своих должностных функций.
- 9.3.1.1.b Наблюдайте за процессами и опрашивайте персонал, чтобы убедиться, что доступ всего персонала аннулируется немедленно после прекращения.
- 9.3.1.1.c Для уволенного персонала изучите списки контроля физического доступа и опросите ответственный персонал, чтобы убедиться, что все механизмы физического доступа (такие как ключи, карты доступа и т.д.) были возвращены или отключены.
Цель:
Контроль физического доступа к конфиденциальным зонам помогает гарантировать, что доступ предоставляется только авторизованному персоналу с законными деловыми потребностями.
Надлежащая практика:
Там, где это возможно, организации должны иметь политику и процедуры, гарантирующие, что перед тем, как персонал покинет организацию, все механизмы физического доступа будут возвращены или отключены как можно скорее после их ухода. Это гарантирует, что персонал не сможет получить физический доступ к критичным зонам после окончания срока их службы.
Контроль физического доступа к конфиденциальным зонам помогает гарантировать, что доступ предоставляется только авторизованному персоналу с законными деловыми потребностями.
Надлежащая практика:
Там, где это возможно, организации должны иметь политику и процедуры, гарантирующие, что перед тем, как персонал покинет организацию, все механизмы физического доступа будут возвращены или отключены как можно скорее после их ухода. Это гарантирует, что персонал не сможет получить физический доступ к критичным зонам после окончания срока их службы.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ЗТС.3
ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.7.2
А.7.2 Защита физического входа
Зоны физической безопасности должны быть защищены соответствующими средствами контроля и управления доступом.
Зоны физической безопасности должны быть защищены соответствующими средствами контроля и управления доступом.
А.7.3
А.7.3 Безопасность офисов, помещений и помещений
Должна быть разработана и внедрена физическая безопасность для офисов, помещений и зданий.
Должна быть разработана и внедрена физическая безопасность для офисов, помещений и зданий.
А.7.1
А.7.1 Периметры физической безопасности
В целях защиты физических помещений и зон, содержащих информационные и иные связанные с ними активы, должны быть определены и использоваться периметры безопасности.
В целях защиты физических помещений и зон, содержащих информационные и иные связанные с ними активы, должны быть определены и использоваться периметры безопасности.
SWIFT Customer Security Controls Framework v2022:
3 - 3.1 Physical Security
3.1 Physical Security
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗТС.3
ЗТС.3 Управление физическим доступом
Приказ ФСБ России № 378 от 10.07.2014 "Состав и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации":
Глава II п. 5
5. В соответствии с пунктом 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 (далее - Требования к защите персональных данных), для обеспечения 4 уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
- а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
- б) обеспечение сохранности носителей персональных данных;
- в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
- г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз.
Глава II п. 6
6. Для выполнения требования, указанного в подпункте "а" пункта 5 настоящего документа, необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в помещениях, где размещены используемые СКЗИ, хранятся СКЗИ и (или) носители ключевой, аутентифицирующей и парольной информации СКЗИ (далее - Помещения), лиц, не имеющих права доступа в Помещения, которое достигается путем:
- а) оснащения Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений;
- б) утверждения правил доступа в Помещения в рабочее и нерабочее время, а также в нештатных ситуациях;
- в) утверждения перечня лиц, имеющих право доступа в Помещения.
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗТС.3
ЗТС.3 Управление физическим доступом
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.7.1
А.7.1 Physical security perimeters
Security perimeters shall be defined and used to protect areas that contain information and other associated assets.
Security perimeters shall be defined and used to protect areas that contain information and other associated assets.
А.7.2
А.7.2 Physical entry
Secure areas shall be protected by appropriate entry controls and access points.
Secure areas shall be protected by appropriate entry controls and access points.
А.7.3
А.7.3 Securing offices, rooms and facilities
Physical security for offices, rooms and facilities shall be designed and implemented.
Physical security for offices, rooms and facilities shall be designed and implemented.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.