Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

ГОСТ Р № 57580.1-2017 от 01.01.2018

Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации

УЗП.17

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 7.2.4
7.2.4
Defined Approach Requirements: 
All user accounts and related access privileges, including third-party/vendor accounts, are reviewed as follows:
  • At least once every six months.
  • To ensure user accounts and access remain appropriate based on job function.
  • Any inappropriate access is addressed.
  • Management acknowledges that access remains appropriate. 
Customized Approach Objective:
Account privilege assignments are verified periodically by management as correct, and nonconformities are remediated. 

Applicability Notes:
This requirement applies to all user accounts and related access privileges, including those used by personnel and third parties/vendors, and accounts used to access third-party cloud services. 
See Requirements 7.2.5 and 7.2.5.1 and 8.6.1 through 8.6.3 for controls for application and system accounts. 
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 

Defined Approach Testing Procedures:
  • 7.2.4.a Examine policies and procedures to verify they define processes to review all user accounts and related access privileges, including thirdparty/vendor accounts, in accordance with all elements specified in this requirement. 
  • 7.2.4.b Interview responsible personnel and examine documented results of periodic reviews of user accounts to verify that all the results are in accordance with all elements specified in this requirement. 
Purpose:
Regular review of access rights helps to detect excessive access rights remaining after user job responsibilities change, system functions change, or other modifications. If excessive user rights are not revoked in due time, they may be used by malicious users for unauthorized access. 
This review provides another opportunity to ensure that accounts for all terminated users have been removed (if any were missed at the time of termination), as well as to ensure that any third parties that no longer need access have had their access terminated. 

Good Practice:
When a user transfers into a new role or a new department, typically the privileges and access associated with their former role are no longer required. Continued access to privileges or functions that are no longer required may introduce the risk of misuse or errors. Therefore, when responsibilities change, processes that revalidate access help to ensure user access is appropriate for the user’s new responsibilities. 
Entities can consider implementing a regular, repeatable process for conducting reviews of access rights, and assigning “data owners” that are responsible for managing and monitoring access to data related to their job function and that also ensure user access remains current and appropriate. As an example, a direct manager could review team access monthly, while the senior manager reviews their groups’ access quarterly, both making updates to access as needed. The intent of these best practices is to support and facilitate conducting the reviews at least once every 6 months. 
Requirement 3.4.2
3.4.2 
Defined Approach Requirements: 
When using remote-access technologies, technical controls prevent copy and/or relocation of PAN for all personnel, except for those with documented, explicit authorization and a legitimate, defined business need. 

Customized Approach Objective:
PAN cannot be copied or relocated by unauthorized personnel using remote-access technologies. 

Applicability Notes:
Storing or relocating PAN onto local hard drives, removable electronic media, and other storage devices brings these devices into scope for PCI DSS. 
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 

Defined Approach Testing Procedures:
  • 3.4.2.a Examine documented policies and procedures and documented evidence for technical controls that prevent copy and/or relocation of PAN when using remote-access technologies onto local hard drives or removable electronic media to verify the following: 
    • Technical controls prevent all personnel not specifically authorized from copying and/or relocating PAN. 
    • A list of personnel with permission to copy and/or relocate PAN is maintained, together with the documented, explicit authorization and legitimate, defined business need. 
  • 3.4.2.b Examine configurations for remote-access technologies to verify that technical controls to prevent copy and/or relocation of PAN for all personnel, unless explicitly authorized. 
  • 3.4.2.c Observe processes and interview personnel to verify that only personnel with documented, explicit authorization and a legitimate, defined business need have permission to copy and/or relocate PAN when using remoteaccess technologies. 
Purpose:
Relocation of PAN to unauthorized storage devices is a common way for this data to be obtained and used fraudulently. 
Methods to ensure that only those with explicit authorization and a legitimate business reason can copy or relocate PAN minimizes the risk of unauthorized persons gaining access to PAN. 

Good Practice:
Copying and relocation of PAN should only be done to storage devices that are permissible and authorized for that individual. 

Definitions
A virtual desktop is an example of a remoteaccess technology. Storage devices include, but are not limited to, local hard drives, virtual drives, removable electronic media, network drives, and cloud storage. 

Further Information:
Vendor documentation for the remote-access technology in use will provide information about the system settings needed to implement this requirement. 
Requirement 7.2.5.1
7.2.5.1
Defined Approach Requirements: 
All access by application and system accounts and related access privileges are reviewed as follows:
  • Periodically (at the frequency defined in the entity’s targeted risk analysis, which is performed according to all elements specified in Requirement 12.3.1).
  • The application/system access remains appropriate for the function being performed.
  • Any inappropriate access is addressed.
  • Management acknowledges that access remains appropriate. 
Customized Approach Objective:
Application and system account privilege assignments are verified periodically by management as correct, and nonconformities are remediated. 

Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 

Defined Approach Testing Procedures:
  • 7.2.5.1.a Examine policies and procedures to verify they define processes to review all application and system accounts and related access privileges in accordance with all elements specified in this requirement. 
  • 7.2.5.1.b Examine the entity’s targeted risk analysis for the frequency of periodic reviews of application and system accounts and related access privileges to verify the risk analysis was performed in accordance with all elements specified in Requirement 12.3.1. 
  • 7.2.5.1.c Interview responsible personnel and examine documented results of periodic reviews of system and application accounts and related privileges to verify that the reviews occur in accordance with all elements specified in this requirement. 
Purpose:
Regular review of access rights helps to detect excessive access rights remaining after system functions change, or other application or system modifications occur. If excessive rights are not removed when no longer needed, they may be used by malicious users for unauthorized access. 
Requirement 3.4.1
3.4.1 
Defined Approach Requirements: 
PAN is masked when displayed (the BIN and last four digits are the maximum number of digits to be displayed), such that only personnel with a legitimate business need can see more than the BIN and last four digits of the PAN. 

Customized Approach Objective:
PAN displays are restricted to the minimum number of digits necessary to meet a defined business need. 

Applicability Notes:
This requirement does not supersede stricter requirements in place for displays of cardholder data—for example, legal or payment brand requirements for point-of-sale (POS) receipts. 
This requirement relates to protection of PAN where it is displayed on screens, paper receipts, printouts, etc., and is not to be confused with Requirement 3.5.1 for protection of PAN when stored, processed, or transmitted. 

Defined Approach Testing Procedures:
  • 3.4.1.a Examine documented policies and procedures for masking the display of PANs to verify:
    • A list of roles that need access to more than the BIN and last four digits of the PAN (includes full PAN) is documented, together with a legitimate business need for each role to have such access.
    • PAN is masked when displayed such that only personnel with a legitimate business need can see more than the BIN and last four digits of the PAN. 
    • All roles not specifically authorized to see the full PAN must only see masked PANs. 
  • 3.4.1.b Examine system configurations to verify that full PAN is only displayed for roles with a documented business need, and that PAN is masked for all other requests. 
  • 3.4.1.c Examine displays of PAN (for example, on screen, on paper receipts) to verify that PANs are masked when displayed, and that only those with a legitimate business need are able to see more than the BIN and/or last four digits of the PAN. 
Purpose:
The display of full PAN on computer screens, payment card receipts, paper reports, etc. can result in this data being obtained by unauthorized individuals and used fraudulently. Ensuring that the full PAN is displayed only for those with a legitimate business need minimizes the risk of unauthorized persons gaining access to PAN data. 

Good Practice:
Applying access controls according to defined roles is one way to limit access to viewing full PAN to only those individuals with a defined business need. 
The masking approach should always display only the number of digits needed to perform a specific business function. For example, if only the last four digits are needed to perform a business function, PAN should be masked to only show the last four digits. As another example, if a function needs to view to the bank identification number (BIN) for routing purposes, unmask only the BIN digits for that function. 

Definitions:
Masking is not synonymous with truncation and these terms cannot be used interchangeably. Masking refers to the concealment of certain digits during display or printing, even when the entire PAN is stored on a system. This is different from truncation, in which the truncated digits are removed and cannot be retrieved within the system. Masked PAN could be “unmasked”, but there is no "un-truncation" without recreating the PAN from another source. 

Further Information:
For more information about masking and truncation, see PCI SSC’s FAQs on these topics. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.9.2.1
A.9.2.1 Регистрация и отмена регистрации пользователей 
Мера обеспечения информационной безопасности: Для назначения прав доступа должна быть реализована формализованная процедура регистрации и отмены регистрации пользователей 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 3.4.1
3.4.1
Определенные Требования к Подходу:
При отображении PAN маскируется (ячейка и последние четыре цифры - это максимальное количество отображаемых цифр), так что только персонал с законными деловыми потребностями может видеть больше, чем ячейка и последние четыре цифры PAN.

Цель Индивидуального подхода:
PAN отображается минимальным количеством цифр, необходимым для удовлетворения определенных бизнес-потребностей.

Примечания по применению:
Это требование не отменяет более строгих требований, предъявляемых к отображению данных о держателях карт, например, юридических требований или требований к платежным маркам для чеков в точках продаж (POS).
Это требование относится к защите PAN, когда он отображается на экранах, бумажных квитанциях, распечатках и т.д., И его не следует путать с требованием 3.5.1 о защите PAN при хранении, обработке или передаче.

Определенные Процедуры Тестирования Подхода:
  • 3.4.1.a Изучить документированные политики и процедуры для маскировки отображения лотков для проверки:
    • Задокументирован список ролей, которым требуется доступ не только к BIN и последним четырем цифрам PAN (включая полный PAN), а также законная бизнес-потребность в том, чтобы каждая роль имела такой доступ.
    • При отображении PAN маскируется таким образом, что только персонал, имеющий законную деловую потребность, может видеть больше, чем ячейку и последние четыре цифры PAN.
    • Все роли, не имеющие специального разрешения на просмотр полного PAN, должны видеть только замаскированный PAN.
  • 3.4.1.b Проверьте системные конфигурации, чтобы убедиться, что полный PAN отображается только для ролей с документированной бизнес-потребностью, и что PAN скрыт для всех других запросов.
  • 3.4.1.c Изучите отображение PAN (например, на экране, на бумажных квитанциях), чтобы убедиться, что PAN маскируются при отображении и что только те, у кого есть законные деловые потребности, могут видеть больше, чем ячейка и / или последние четыре цифры PAN.
Цель:
Отображение полной информации на экранах компьютеров, квитанциях по платежным картам, бумажных отчетах и т.д. может привести к получению этих данных неуполномоченными лицами и их мошенническому использованию. Обеспечение того, чтобы полный PAN отображался только для тех, у кого есть законные деловые потребности, сводит к минимуму риск получения доступа к данным PAN посторонними лицами.

Надлежащая практика:
Применение элементов управления доступом в соответствии с определенными ролями - это один из способов ограничить доступ к просмотру полной панорамы только для тех пользователей, у которых есть определенные бизнес-потребности.
Подход маскирования всегда должен отображать только количество цифр, необходимое для выполнения определенной бизнес-функции. Например, если для выполнения бизнес-функции необходимы только последние четыре цифры, PAN следует замаскировать, чтобы показывать только последние четыре цифры. В качестве другого примера, если функции необходимо просмотреть идентификационный номер банка (BIN) для целей маршрутизации, снимите маску только с цифр BIN для этой функции.

Определения:
Маскировка не является синонимом усечения, и эти термины не могут использоваться взаимозаменяемо. Маскирование относится к сокрытию определенных цифр во время отображения или печати, даже если в системе хранится вся панорама целиком. Это отличается от усечения, при котором усеченные цифры удаляются и не могут быть восстановлены в системе. Замаскированный PAN может быть “разоблачен”, но нет никакого "удаления усечения" без воссоздания PAN из другого источника.

Дополнительная информация:
Для получения дополнительной информации о маскировании и усечении см. Часто задаваемые вопросы PCI SSC по этим темам.
Requirement 7.2.5.1
7.2.5.1
Определенные Требования к Подходу:
Все права доступа по учетным записям приложений и систем и связанные с ними права доступа проверяются следующим образом:
  • Периодически (с периодичностью, определенной в целевом анализе рисков организации, который выполняется в соответствии со всеми элементами, указанными в Требовании 12.3.1).
  • Доступ к приложению/системе остается соответствующим выполняемой функции.
  • Любой ненадлежащий доступ устраняется.
  • Руководство признает, что доступ остается надлежащим.
Цель Индивидуального подхода:
Назначение привилегий приложений и системных учетных записей периодически проверяется руководством на правильность, и несоответствия устраняются.

Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:
  • 7.2.5.1.a Изучите политики и процедуры, чтобы убедиться, что они определяют процессы для проверки всех учетных записей приложений и системы и связанных с ними привилегий доступа в соответствии со всеми элементами, указанными в этом требовании.
  • 7.2.5.1.b Изучите целевой анализ рисков организации на предмет частоты периодических проверок учетных записей приложений и систем и соответствующих привилегий доступа, чтобы убедиться, что анализ рисков был выполнен в соответствии со всеми элементами, указанными в Требовании 12.3.1.
  • 7.2.5.1.c Опросите ответственный персонал и изучите документированные результаты периодических проверок учетных записей системы и приложений и связанных с ними привилегий, чтобы убедиться, что проверки проводятся в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Регулярная проверка прав доступа помогает обнаружить избыточные права доступа, оставшиеся после изменения системных функций или других изменений приложения или системы. Если чрезмерные права не будут удалены, когда они больше не нужны, они могут быть использованы злоумышленниками для несанкционированного доступа.
Requirement 3.4.2
3.4.2
Определенные Требования к Подходу:
При использовании технологий удаленного доступа технические средства контроля предотвращают копирование и/или перемещение PAN для всего персонала, за исключением тех, у кого есть документально подтвержденное, четкое разрешение и законная, определенная деловая потребность.

Цель Индивидуального подхода:
PAN не может быть скопирован или перемещен неавторизованным персоналом с использованием технологий удаленного доступа.

Примечания по применению:
Хранение или перемещение PAN на локальные жесткие диски, съемные электронные носители и другие устройства хранения данных позволяет использовать эти устройства для PCI DSS.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:
  • 3.4.2.a Изучить документированные политики и процедуры и документированные доказательства технических средств контроля, которые предотвращают копирование и/или перемещение PAN при использовании технологий удаленного доступа на локальные жесткие диски или съемные электронные носители, чтобы убедиться в следующем:
    • Технические средства контроля запрещают любому персоналу, не имеющему специального разрешения, копировать и/или перемещать PAN.
    • Ведется список персонала, имеющего разрешение на копирование и/или перемещение PAN, вместе с документированным, четким разрешением и законными, определенными бизнес-потребностями.
  • 3.4.2.b Изучите конфигурации для технологий удаленного доступа, чтобы убедиться, что технические средства контроля предотвращают копирование и/или перемещение PAN для всего персонала, если это явно не разрешено.
  • 3.4.2.c Наблюдайте за процессами и проводите собеседования с персоналом, чтобы убедиться, что только персонал с документированным, четким разрешением и законной, определенной бизнес-потребностью имеет разрешение на копирование и/или перемещение PAN при использовании технологий удаленного доступа.
Цель:
Перемещение PAN на несанкционированные устройства хранения является распространенным способом получения и использования этих данных мошенническим путем.
Методы обеспечения того, чтобы копировать или перемещать PAN могли только те, у кого есть явное разрешение и законные деловые причины, сводят к минимуму риск получения доступа к PAN посторонними лицами.

Надлежащая практика:
Копирование и перемещение PAN следует выполнять только на устройства хранения, которые разрешены и разрешены для данного пользователя.

Определения:
Виртуальный рабочий стол - это пример технологии удаленного доступа. Устройства хранения данных включают, но не ограничиваются ими, локальные жесткие диски, виртуальные диски, съемные электронные носители, сетевые диски и облачные хранилища.

Дополнительная информация:
Документация поставщика для используемой технологии удаленного доступа содержит информацию о системных настройках, необходимых для реализации этого требования.
Requirement 7.2.4
7.2.4
Определенные Требования к Подходу:
Все учетные записи пользователей и связанные с ними права доступа, включая учетные записи третьих лиц/поставщиков, проверяются следующим образом:
  • По крайней мере, раз в полгода.
  • Чтобы гарантировать, что учетные записи пользователей и доступ остаются соответствующими в зависимости от выполняемой работы.
  • Любой ненадлежащий доступ устраняется.
  • Руководство признает, что доступ остается надлежащим.
Цель Индивидуального подхода:
Присвоение привилегий учетной записи периодически проверяется руководством на правильность, и несоответствия устраняются.

Примечания по применению:
Это требование применяется ко всем учетным записям пользователей и связанным с ними привилегиям доступа, включая учетные записи, используемые персоналом и третьими лицами/поставщиками, а также учетные записи, используемые для доступа к сторонним облачным сервисам.
См. Требования 7.2.5 и 7.2.5.1 и 8.6.1-8.6.3 для элементов управления учетными записями приложений и систем.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:
  • 7.2.4.a Изучите политики и процедуры, чтобы убедиться, что они определяют процессы для проверки всех учетных записей пользователей и связанных с ними прав доступа, включая учетные записи третьих лиц/поставщиков, в соответствии со всеми элементами, указанными в этом требовании.
  • 7.2.4.b Опросите ответственный персонал и изучите документированные результаты периодических проверок учетных записей пользователей, чтобы убедиться, что все результаты соответствуют всем элементам, указанным в этом требовании.
Цель:
Регулярная проверка прав доступа помогает обнаружить избыточные права доступа, оставшиеся после изменения должностных обязанностей пользователя, изменения системных функций или других изменений. Если чрезмерные права пользователя не будут отозваны своевременно, они могут быть использованы злоумышленниками для несанкционированного доступа.
Эта проверка предоставляет еще одну возможность убедиться, что учетные записи всех прекращенных пользователей были удалены (если таковые были пропущены во время прекращения), а также убедиться, что доступ любых третьих лиц, которым больше не нужен доступ, был прекращен.

Надлежащая практика:
Когда пользователь переходит на новую роль или в новый отдел, обычно привилегии и доступ, связанные с его прежней ролью, больше не требуются. Постоянный доступ к привилегиям или функциям, которые больше не требуются, может привести к риску неправильного использования или ошибок. Поэтому, когда обязанности меняются, процессы, которые повторно проверяют доступ, помогают гарантировать, что доступ пользователя соответствует новым обязанностям пользователя.
Организации могут рассмотреть возможность внедрения регулярного, повторяющегося процесса для проведения проверок прав доступа и назначения “владельцев данных”, которые отвечают за управление и мониторинг доступа к данным, связанным с их должностной функцией, и которые также обеспечивают, чтобы доступ пользователей оставался актуальным и надлежащим. В качестве примера, непосредственный руководитель может ежемесячно проверять доступ к группе, в то время как старший менеджер проверяет доступ своих групп ежеквартально, внося обновления в доступ по мере необходимости. Цель этих рекомендаций состоит в том, чтобы поддерживать и облегчать проведение обзоров не реже одного раза в 6 месяцев.

Связанные защитные меры

Ничего не найдено

Заметки

1
10 месяцев назад
На стандартном уровне - внедрение IDM