Куда я попал?
ГОСТ Р № 57580.1-2017 от 01.01.2018
Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации
РД.17
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
РД.17 Запрет на использование технологии аутентификации с сохранением аутентификационных данных в открытом виде в СВТ
3-Т 2-Т 1-ТОбязательно для уровня защиты 1 2 3
Похожие требования
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ИАФ.4
ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 8.6.2
8.6.2
Defined Approach Requirements:
Passwords/passphrases for any application and system accounts that can be used for interactive login are not hard coded in scripts, configuration/property files, or bespoke and custom source code.
Customized Approach Objective:
Passwords/passphrases used by application and system accounts cannot be used by unauthorized personnel.
Applicability Notes:
Stored passwords/passphrases are required to be encrypted in accordance with PCI DSS Requirement 8.3.2.
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Passwords/passphrases for any application and system accounts that can be used for interactive login are not hard coded in scripts, configuration/property files, or bespoke and custom source code.
Customized Approach Objective:
Passwords/passphrases used by application and system accounts cannot be used by unauthorized personnel.
Applicability Notes:
Stored passwords/passphrases are required to be encrypted in accordance with PCI DSS Requirement 8.3.2.
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment.
Defined Approach Testing Procedures:
- 8.6.2.a Interview personnel and examine system development procedures to verify that processes are defined for application and system accounts that can be used for interactive login, specifying that passwords/passphrases are not hard coded in scripts, configuration/property files, or bespoke and custom source code.
- 8.6.2.b Examine scripts, configuration/property files, and bespoke and custom source code for application and system accounts that can be used for interactive login, to verify passwords/passphrases for those accounts are not present.
Purpose:
Not properly protecting passwords/passphrases used by application and system accounts, especially if those accounts can be used for interactive login, increases the risk and success of unauthorized use of those privileged accounts.
Good Practice:
Changing these values due to suspected or confirmed disclosure can be particularly difficult to implement.
Tools can facilitate both management and security of authentication factors for application and system accounts. For example, consider password vaults or other system-managed controls.
Not properly protecting passwords/passphrases used by application and system accounts, especially if those accounts can be used for interactive login, increases the risk and success of unauthorized use of those privileged accounts.
Good Practice:
Changing these values due to suspected or confirmed disclosure can be particularly difficult to implement.
Tools can facilitate both management and security of authentication factors for application and system accounts. For example, consider password vaults or other system-managed controls.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 8.6.2
8.6.2
Определенные Требования к Подходу:
Пароли/парольные фразы для любых учетных записей приложений и систем, которые можно использовать для интерактивного входа в систему, не жестко закодированы в скриптах, файлах конфигурации/свойств или в специально разработанном и настраиваемом исходном коде.
Цель Индивидуального подхода:
Пароли/парольные фразы, используемые учетными записями приложений и систем, не могут быть использованы неавторизованным персоналом.
Примечания по применению:
Сохраненные пароли/парольные фразы должны быть зашифрованы в соответствии с требованием PCI DSS 8.3.2.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Пароли/парольные фразы для любых учетных записей приложений и систем, которые можно использовать для интерактивного входа в систему, не жестко закодированы в скриптах, файлах конфигурации/свойств или в специально разработанном и настраиваемом исходном коде.
Цель Индивидуального подхода:
Пароли/парольные фразы, используемые учетными записями приложений и систем, не могут быть использованы неавторизованным персоналом.
Примечания по применению:
Сохраненные пароли/парольные фразы должны быть зашифрованы в соответствии с требованием PCI DSS 8.3.2.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 8.6.2.a Провести собеседование с персоналом и изучить процедуры разработки системы, чтобы убедиться, что процессы определены для учетных записей приложений и системы, которые могут использоваться для интерактивного входа в систему, указав, что пароли / парольные фразы не жестко закодированы в сценариях, файлах конфигурации / свойств или заказном и пользовательском исходном коде.
- 8.6.2.b Изучите сценарии, файлы конфигурации/свойств, а также индивидуальный и пользовательский исходный код для учетных записей приложений и систем, которые могут использоваться для интерактивного входа в систему, чтобы убедиться, что пароли / парольные фразы для этих учетных записей отсутствуют.
Цель:
Ненадлежащая защита паролей/парольных фраз, используемых учетными записями приложений и систем, особенно если эти учетные записи могут использоваться для интерактивного входа в систему, увеличивает риск и успех несанкционированного использования этих привилегированных учетных записей.
Надлежащая практика:
Изменение этих значений из-за предполагаемого или подтвержденного раскрытия информации может быть особенно трудным для реализации.
Инструменты могут облегчить как управление, так и безопасность факторов аутентификации для учетных записей приложений и систем. Например, рассмотрите хранилища паролей или другие управляемые системой элементы управления.
Ненадлежащая защита паролей/парольных фраз, используемых учетными записями приложений и систем, особенно если эти учетные записи могут использоваться для интерактивного входа в систему, увеличивает риск и успех несанкционированного использования этих привилегированных учетных записей.
Надлежащая практика:
Изменение этих значений из-за предполагаемого или подтвержденного раскрытия информации может быть особенно трудным для реализации.
Инструменты могут облегчить как управление, так и безопасность факторов аутентификации для учетных записей приложений и систем. Например, рассмотрите хранилища паролей или другие управляемые системой элементы управления.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ИАФ.4
ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИАФ.4
ИАФ.4 Управление средствами аутентификации
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ИАФ.4
ИАФ.4 Управление средствами аутентификации
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.