Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации

1.2.1 
Defined Approach Requirements: 
Configuration standards for NSC rulesets are: 

Customized Approach Objective:
The way that NSCs are configured and operate are defined and consistently applied. 

Defined Approach Testing Procedures:

Purpose:
The implementation of these configuration standards results in the NSC being configured and managed to properly perform their security function (often referred to as the ruleset). 

Good Practice:
These standards often define the requirements for acceptable protocols, ports that are permitted to be used, and specific configuration requirements that are acceptable. Configuration standards may also outline what the entity considers not acceptable or not permitted within its network. 

Definitions:
NSCs are key components of a network architecture. Most commonly, NSCs are used at the boundaries of the CDE to control network traffic flowing inbound and outbound from the CDE. 
Configuration standards outline an entity’s minimum requirements for the configuration of its NSCs.

Examples:
Examples of NSCs covered by these configuration standards include, but are not limited to, firewalls, routers configured with access control lists, and cloud virtual networks.  

12.1.1
Defined Approach Requirements: 
An overall information security policy is:

Customized Approach Objective:
The strategic objectives and principles of information security are defined, adopted, and known to all personnel. 

Defined Approach Testing Procedures:

Purpose:
An organization’s overall information security policy ties to and governs all other policies and procedures that define protection of cardholder data. 
The information security policy communicates management’s intent and objectives regarding the protection of its most valuable assets, including cardholder data. 
Without an information security policy, individuals will make their own value decisions on the controls that are required within the organization which may result in the organization neither meeting its legal, regulatory, and contractual obligations, nor being able to adequately protect its assets in a consistent manner. 
To ensure the policy is implemented, it is important that all relevant personnel within the organization, as well as relevant third parties, vendors, and business partners are aware of the organization’s information security policy and their responsibilities for protecting information assets. 

Good Practice:
The security policy for the organization identifies the purpose, scope, accountability, and information that clearly defines the organization’s position regarding information security. 
The overall information security policy differs from individual security policies that address specific technology or security disciplines. This policy sets forth the directives for the entire organization whereas individual security policies align and support the overall security policy and communicate specific objectives for technology or security disciplines. 
It is important that all relevant personnel within the organization, as well as relevant third parties, vendors, and business partners are aware of the organization’s information security policy and their responsibilities for protecting information assets. 

Definitions:
“Relevant” for this requirement means that the information security policy is disseminated to those with roles applicable to some or all the topics in the policy, either within the company or because of services/functions performed by a vendor or third party 

A.9.2.1 Регистрация и отмена регистрации пользователей 
Мера обеспечения информационной безопасности: Для назначения прав доступа должна быть реализована формализованная процедура регистрации и отмены регистрации пользователей 

7. Участники ССНП, участники СБП, ОПКЦ СБП и ОУИО СБП во внутренних документах должны определить состав и порядок применения организационных мер защиты информации, состав и порядок использования технических средств защиты информации.

12.1.1
Определенные Требования к Подходу:
Общая политика информационной безопасности - это:

Цель Индивидуального подхода:
Стратегические цели и принципы информационной безопасности определены, приняты и известны всему персоналу.

Определенные Процедуры Тестирования Подхода:

Цель:
Общая политика информационной безопасности организации связана со всеми другими политиками и процедурами, определяющими защиту данных о держателях карт, и регулирует их.
Политика информационной безопасности отражает намерения и цели руководства в отношении защиты его наиболее ценных активов, включая данные о держателях карт.
Без политики информационной безопасности отдельные лица будут принимать свои собственные ценностные решения в отношении средств контроля, которые требуются в организации, что может привести к тому, что организация не будет выполнять свои юридические, нормативные и договорные обязательства, а также не сможет надлежащим образом защитить свои активы последовательным образом.
Для обеспечения реализации политики важно, чтобы весь соответствующий персонал в организации, а также соответствующие третьи стороны, поставщики и деловые партнеры были осведомлены о политике информационной безопасности организации и их обязанностях по защите информационных активов.

Надлежащая практика:
Политика безопасности организации определяет цель, сферу охвата, подотчетность и информацию, которая четко определяет позицию организации в отношении информационной безопасности.
Общая политика информационной безопасности отличается от отдельных политик безопасности, которые касаются конкретных технологий или дисциплин безопасности. Эта политика устанавливает директивы для всей организации, в то время как отдельные политики безопасности согласовывают и поддерживают общую политику безопасности и сообщают конкретные цели для технологий или дисциплин безопасности.
Важно, чтобы весь соответствующий персонал в организации, а также соответствующие третьи стороны, поставщики и деловые партнеры были осведомлены о политике информационной безопасности организации и их обязанностях по защите информационных активов.

Определения:
“Соответствующий” для этого требования означает, что политика информационной безопасности распространяется среди лиц, чьи роли применимы к некоторым или всем разделам политики, либо внутри компании, либо из-за услуг/функций, выполняемых поставщиком или третьей стороной

1.2.1
Определенные Требования к Подходу:
Стандарты конфигураций для наборов правил NSC:

Цель Индивидуального подхода:
Способы настройки и работы NSC определены и последовательно применяются.

Определенные Процедуры Тестирования Подхода:

Цель:
Реализация этих стандартов конфигурации приводит к тому, что NSC настраивается и управляется для надлежащего выполнения своей функции безопасности (часто называемой набором правил).

Надлежащая практика:
Эти стандарты часто определяют требования к приемлемым протоколам, портам, которые разрешено использовать, и конкретные требования к конфигурации, которые являются приемлемыми. Стандарты конфигурации могут также определять то, что организация считает неприемлемым или недопустимым в своей сети.

Определения:
NSC являются ключевыми компонентами сетевой архитектуры.
Чаще всего NSCS используются на границах CDE для управления сетевым трафиком, входящим и исходящим из CDE. Стандарты конфигурации определяют минимальные требования организации к конфигурации ее NSCS.

Примеры:
Примеры NSC, охватываемых этими стандартами конфигурации, включают, но не ограничиваются: брандмауэры, маршрутизаторы, настроенные со списками контроля доступа, и облачные виртуальные сети.