Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

ГОСТ Р № 57580.1-2017 от 01.01.2018

Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации

РД.21

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
АНЗ.5 АНЗ.5 Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 8.3.6
8.3.6
Defined Approach Requirements: 
 If passwords/passphrases are used as authentication factors to meet Requirement 8.3.1, they meet the following minimum level of complexity:
  • A minimum length of 12 characters (or IF the system does not support 12 characters, a minimum length of eight characters).
  • Contain both numeric and alphabetic characters. 
Customized Approach Objective:
A guessed password/passphrase cannot be verified by either an online or offline brute force attack. 

Applicability Notes:
This requirement is not intended to apply to:
  • User accounts on point-of-sale terminals that have access to only one card number at a time to facilitate a single transaction (such as IDs used by cashiers on point-of-sale terminals).
  • Application or system accounts, which are governed by requirements in section 8.6. 
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 
Until 31 March 2025, passwords must be a minimum length of seven characters in accordance with PCI DSS v3.2.1 Requirement 8.2.3. 

Defined Approach Testing Procedures:
  • 8.3.6 Examine system configuration settings to verify that user password/passphrase complexity parameters are set in accordance with all elements specified in this requirement. 
Purpose:
Strong passwords/passphrases may be the first line of defense into a network since a malicious individual will often first try to find accounts with weak, static, or non-existent passwords. If passwords are short or easily guessable, it is relatively easy for a malicious individual to find these weak accounts and compromise a network under the guise of a valid user ID. 

Good Practice:
Password/passphrase strength is dependent on password/passphrase complexity, length, and randomness. Passwords/passphrases should be sufficiently complex, so they are impractical for an attacker to guess or otherwise discover its value. Entities can consider adding increased complexity by requiring the use of special characters and upper- and lower-case characters, in addition to the minimum standards outlined by this requirement. Additional complexity increases the time required for offline brute force attacks of hashed passwords/passphrases. 
Another option for increasing the resistance of passwords to guessing attacks is by comparing proposed password/passphrases to a bad password list and having users provide new passwords for any passwords found on the list. 
Guideline for a healthy information system v.2.0 (EN):
10 STANDARD
/STANDARD 
ANSSI sets out a collection of rules and best practices in terms of the choice and size of passwords. The most critical one is to make users aware of the risks involved in choosing a password that is too easy to guess, and even the risks of reusing the same password from one application to another, especially for personal and professional mailboxes. 

To supervise and confirm that these choice and size rules are being applied, the organization may use different measures, including: 
  • blocking accounts following several failed logins; 
  • deactivating anonymous login options;
  • using a password robustness checking tool. 
In advance of such procedures, communication aiming to explain the reason for these rules and raise awareness of their importance is fundamental. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 8.3.6
8.3.6
Определенные Требования к Подходу:
Если пароли/парольные фразы используются в качестве факторов аутентификации для удовлетворения требования 8.3.1, они соответствуют следующему минимальному уровню сложности:
  • Минимальная длина 12 символов (или, если система не поддерживает 12 символов, минимальная длина восемь символов).
  • Содержат как цифровые, так и буквенные символы.
Цель Индивидуального подхода:
Угаданный пароль/кодовая фраза не могут быть проверены ни с помощью онлайн-, ни с помощью оффлайн-атаки методом перебора.

Примечания по применению:
Это требование не предназначено для применения к:
  • Учетные записи пользователей в торговых терминалах, которые имеют доступ только к одному номеру карты одновременно для облегчения одной транзакции (например, идентификаторы, используемые кассирами в торговых терминалах).
  • Учетные записи приложений или системы, которые регулируются требованиями раздела 8.6.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
До 31 марта 2025 года пароли должны быть длиной не менее семи символов в соответствии с требованием 8.2.3 PCI DSS v3.2.1.

Определенные Процедуры Тестирования Подхода:
  • 8.3.6 Проверьте параметры конфигурации системы, чтобы убедиться, что параметры сложности пароля пользователя/парольной фразы установлены в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Надежные пароли / парольные фразы могут быть первой линией защиты в сети, поскольку злоумышленник часто сначала пытается найти учетные записи со слабыми, статическими или несуществующими паролями. Если пароли короткие или легко угадываемые, злоумышленнику относительно легко найти эти слабые учетные записи и скомпрометировать сеть под видом действительного идентификатора пользователя.

Надлежащая практика:
Надежность пароля/парольной фразы зависит от сложности, длины и случайности пароля/парольной фразы. Пароли/парольные фразы должны быть достаточно сложными, чтобы злоумышленник не мог их угадать или иным образом обнаружить их значение. Организации могут рассмотреть возможность увеличения сложности, требуя использования специальных символов и символов верхнего и нижнего регистра в дополнение к минимальным стандартам, изложенным в этом требовании. Дополнительная сложность увеличивает время, необходимое для автономных атак методом перебора хэшированных паролей/парольных фраз.
Другим вариантом повышения устойчивости паролей к атакам на угадывание является сравнение предлагаемых паролей / парольных фраз со списком неверных паролей и предоставление пользователям новых паролей для любых паролей, найденных в списке.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
АНЗ.5 АНЗ.5 Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе
Strategies to Mitigate Cyber Security Incidents (EN):
2.6.
Protect authentication credentials. Remove CPassword values (MS14-025). Configure WDigest (KB2871997). Use Windows Defender Credential Guard. Change default passphrases. Require long complex passphrases.
Relative Security Effectiveness:  Excellent | Potential User Resistance:  Medium | Upfront Cost:  Medium | Ongoing Maintenance Cost: Low 
SWIFT Customer Security Controls Framework v2022:
4 - 4.1 Password Policy
4.1 Password Policy

Связанные защитные меры

Ничего не найдено