ГОСТ Р № 57580.4-2022 от 01.02.2023

7.4.13. В организации БС РФ должны применяться меры, направленные на обеспечение защиты от НСД, повреждения или нарушения целостности данных о действиях и операциях, а также меры по защите информации, необходимой для идентификации, аутентификации и (или) авторизации клиентов и работников организации БС РФ. Все попытки НСД к такой информации должны регистрироваться. Доступ к данным о действиях и операциях предоставляется только с целью выполнения служебных обязанностей.
При увольнении или изменении должностных обязанностей работников организации БС РФ, имевших доступ к указанным данным, необходимо выполнить регламентированные процедуры соответствующего пересмотра прав доступа.

PR.IP-11: Кибербезопасность включена в практику работы с персоналом (например, ограничение доступа, проверка персонала) 

12.6.3
Defined Approach Requirements: 
Personnel receive security awareness training as follows:

Customized Approach Objective:
Personnel remain knowledgeable about the threat landscape, their responsibility for the operation of relevant security controls, and are able to access assistance and guidance when required. 

Defined Approach Testing Procedures:

Purpose:
Training of personnel ensures they receive the information about the importance of information security and that they understand their role in protecting the organization. 
Requiring an acknowledgment by personnel helps ensure that they have read and understood the security policies and procedures, and that they have made and will continue to make a commitment to comply with these policies. 

Good Practice:
Entities may incorporate new-hire training as part of the Human Resources onboarding process. Training should outline the security-related “dos” and “don’ts.” Periodic refresher training reinforces key security processes and procedures that may be forgotten or bypassed. 
Entities should consider requiring security awareness training anytime personnel transfer into roles where they can impact the security of account data from roles where they did not have this impact. 
Methods and training content can vary, depending on personnel roles. 

Examples:
Different methods that can be used to provide security awareness and education include posters, letters, web-based training, in-person training, team meetings, and incentives. 
Personnel acknowledgments may be recorded in writing or electronically. 

9.3.1
Defined Approach Requirements: 
Procedures are implemented for authorizing and managing physical access of personnel to the CDE, including:

Customized Approach Objective:
Requirements for access to the physical CDE are defined and enforced to identify and authorize personnel. 

Defined Approach Testing Procedures:

Purpose:
Establishing procedures for granting, managing, and removing access when it is no longer needed ensures non-authorized individuals are prevented from gaining access to areas containing cardholder data. In addition, it is important to limit access to the actual badging system and badging materials to prevent unauthorized personnel from making their own badges and/or setting up their own access rules. 

Good Practice:
It is important to visually identify the personnel that are physically present, and whether the individual is a visitor or an employee. 

Examples:
One way to identify personnel is to assign them badges. 

8.2.5
Defined Approach Requirements: 
Access for terminated users is immediately revoked. 

Customized Approach Objective:
The accounts of terminated users cannot be used. 

Defined Approach Testing Procedures:

Purpose:
If an employee or third party/vendor has left the company and still has access to the network via their user account, unnecessary or malicious access to cardholder data could occur—either by the former employee or by a malicious user who exploits the old and/or unused account. 

A.7.1.1  Проверка 
Мера обеспечения информационной безопасности: Проверку всех кандидатов при приеме на работу следует осуществлять согласно соответствующим законам, правилам и этическим нормам. Проверка должна быть соразмерна требованиям бизнеса, категории информации, которая будет доступна, и предполагаемым рискам информационной безопасности 

A.7.3.1  Прекращение или изменение трудовых обязанностей 
Мера обеспечения информационной безопасности: Ответственность и обязанности, относящиеся к информационной безопасности, которые сохраняются после увольнения или смены места работы, должны быть определены, доведены до сведения работника или подрядчика и оформлены юридически 

A.9.2.6 Аннулирование или корректировка прав доступа 
Мера обеспечения информационной безопасности: Права доступа всех работников и внешних пользователей к информации и средствам ее обработки должны быть аннулированы (после их увольнения, истечения срока действия договора или соглашения) либо скорректированы в случае необходимости 

12.6.3
Определенные Требования к Подходу:
Персонал проходит обучение по вопросам безопасности следующим образом:

Цель Индивидуального подхода:
Персонал по-прежнему осведомлен о ландшафте угроз, своей ответственности за функционирование соответствующих средств контроля безопасности и может получить доступ к помощи и руководству, когда это необходимо.

Определенные Процедуры Тестирования Подхода:

Цель:
Обучение персонала гарантирует, что они получат информацию о важности информационной безопасности и что они понимают свою роль в защите организации.
Требование подтверждения со стороны персонала помогает убедиться в том, что они прочитали и поняли политики и процедуры безопасности, а также в том, что они взяли и будут продолжать брать на себя обязательство соблюдать эти политики.

Надлежащая практика:
Организации могут включать обучение новых сотрудников в качестве части процесса адаптации персонала. В обучении должны быть изложены “можно” и “нельзя”, связанные с безопасностью. Периодическое повышение квалификации укрепляет ключевые процессы и процедуры безопасности, которые могут быть забыты или обойдены.
Организациям следует рассмотреть возможность проведения обучения по вопросам безопасности в любое время, когда персонал переходит на роли, где он может повлиять на безопасность данных учетной записи, с ролей, где он не оказывал такого влияния.
Методы и содержание обучения могут варьироваться в зависимости от ролей персонала.

Примеры:
Различные методы, которые могут быть использованы для повышения осведомленности и просвещения по вопросам безопасности, включают плакаты, письма, веб-обучение, очное обучение, групповые встречи и поощрения.
Благодарности персонала могут быть записаны в письменной или электронной форме.

9.3.1
Определенные Требования к Подходу:
Внедрены процедуры авторизации и управления физическим доступом персонала к CDE, включая:

Цель Индивидуального подхода:
Требования к доступу к физическому CDE определяются и применяются для идентификации и авторизации персонала.

Определенные Процедуры Тестирования Подхода:

Цель:
Установление процедур предоставления, управления и удаления доступа, когда он больше не нужен, гарантирует, что неавторизованные лица не смогут получить доступ к областям, содержащим данные о держателях карт. Кроме того, важно ограничить доступ к самой системе бейджинга и материалам бейджинга, чтобы неавторизованный персонал не мог создавать свои собственные бейджи и/или устанавливать свои собственные правила доступа.

Надлежащая практика:
Важно визуально идентифицировать физически присутствующий персонал и определить, является ли этот человек посетителем или сотрудником.

Примеры:
Одним из способов идентификации персонала является присвоение ему бейджей.

8.2.5
Определенные Требования к Подходу:
Доступ для прекращенных пользователей немедленно аннулируется.

Цель Индивидуального подхода:
Учетные записи прекращенных пользователей не могут быть использованы.

Определенные Процедуры Тестирования Подхода:

Цель:
Если сотрудник или третья сторона/ поставщик покинули компанию и по—прежнему имеют доступ к сети через свою учетную запись пользователя, может возникнуть ненужный или злонамеренный доступ к данным о держателях карт - либо со стороны бывшего сотрудника, либо со стороны злоумышленника, который использует старую и/или неиспользуемую учетную запись.

А.6.1 Проверка
До приема на работу в организацию и на постоянной основе в отношении всех кандидатов на должность в организации должны проводиться проверки достоверности сведений об их прошлом; такие проверки должны проводиться с учетом применимых требований законодательства, нормативных документов и этических норм, а также должны соответствовать бизнес-требованиям, категории информации, к которой необходимо получить доступ, а также осознаваемым рискам.

А.6.5 Ответственность после увольнения или изменения участка работы
Обязанности и ответственность в области ИБ, которые остаются в силе после увольнения или изменения участка работы, должны быть определены, обеспечено их выполнение, а также доведены до соответствующего персонала и иных заинтересованных сторон.

Права доступа всех работников и внешних пользователей к информации и средствам ее обработки должны быть аннулированы (после их увольнения, истечения срока действия договора или соглашения) либо скорректированы в случае необходимости.

После завершения трудовых отношений права доступа пользователя к информации и активам, связанным со средствами обработки информации и сервисов, должны быть удалены или приостановлены. Это определит, нужно ли удалять права доступа. Изменения в должности должны находить отражение в удалении всех прав доступа, которые не были одобрены для новой позиции. Права доступа, которые должны быть удалены или изменены, распространяются также на физический и логический доступ. Удаление или изменение прав доступа могут быть выполнены путем удаления, отзыва или замены ключей, идентификационных карточек, средств обработки информации или абонементов. Любая документация, определяющая права доступа работников и подрядчиков, должна отражать удаление или изменение прав доступа. Если работнику или внешнему пользователю, прекращающему работу, известны пароли для остающихся активными логинов пользователей, они должны быть изменены после прекращения или изменения трудовых отношений, контракта или соглашения.

Права доступа к информации и активам, связанным со средствами обработки информации, должны быть сокращены или удалены до прекращения трудовых отношений или их изменения в зависимости от оценки риска, связанного с такими факторами, как:

В определенных обстоятельствах права доступа могут быть назначены более широкому кругу людей, нежели увольняемые работники или внешние пользователи, например с использованием групповых идентификаторов. В таком случае увольняемые работники должны быть удалены из любого списка группового доступа и должны быть приняты меры, чтобы уведомить всех других работников и внешних пользователей о том, чтобы не передавать более эту информацию лицу, покидающему организацию.

В том случае, когда увольнение инициировано руководством, недовольные работники или внешние пользователи могут намеренно повредить информацию или вывести из строя средства обработки информации. Уволившиеся или уволенные работники могут попытаться скопировать информацию для будущего использования.

Проверка всех кандидатов при приеме на работу должна осуществляться согласно соответствующим законам, правилам и этическим нормам и должна быть соразмерна требованиям бизнеса, категории информации, которая будет доступна, и предполагаемым рискам ИБ.

Проверку следует проводить принимая во внимание обеспечение конфиденциальности, защиту персональных данных и законодательство о трудоустройстве, и там, где это разрешено, она должна включать в себя следующее:

Когда работника принимают на работу для выполнения определенной роли ИБ, необходимо удостовериться, что кандидат:

В случаях, когда работнику после приема на работу или при продвижении по службе предоставляется обязательный доступ к конфиденциальной информации, и, в частности, обрабатывающим конфиденциальную информацию, например финансовую или секретную, организации следует проводить дальнейшие, более детальные, проверки.

Процедуры должны определять критерии и ограничения для процесса перепроверки работников, например, кто, как, когда и с какой целью проводит эту перепроверку.

Процесс проверки также следует обеспечивать в отношении подрядчиков. В этих случаях в соглашении между сторонами должны быть четко указаны обязанности по проведению проверки и процедуры уведомлений, которые необходимо соблюдать, если проверка не была завершена или если результаты дают основания для сомнений или опасений.

Информацию обо всех рассматриваемых кандидатах, претендующих на занятие должностей в организации, следует собирать и обрабатывать согласно действующему в соответствующей юрисдикции законодательству. В зависимости от применимого законодательства может понадобиться предварительное информирование кандидата о проверке.

Ответственность и обязанности, относящиеся к ИБ, которые сохраняются после увольнения или смены места работы, должны быть определены, доведены до сведения работника или подрядчика и оформлены юридически.

Сообщение об увольнении должно включать в себя текущие требования ИБ и юридические обязательства и, где это применимо, обязательства, содержащиеся в соглашениях о конфиденциальности (см. 13.2.4), а также в правилах и условиях работы (см. 7.1.2), сохраняющие свою силу в течение определенного периода времени после окончания работы работника или подрядчика.

Ответственность и обязанности, которые остаются в силе после увольнения, должны быть закреплены в правилах и условиях работы работника или подрядчика (см. 7.1.2). Изменение должностных обязанностей или функций следует проводить так же, как и в случае с увольнением, при этом дополнив возложением новых должностных обязанностей и функций.

Отдел по управлению персоналом, как правило, отвечает за общий процесс увольнения и взаимодействует с руководителем увольняемого лица касательно выполнения соответствующих процедур, относящихся к ИБ. В отношении подрядчика данный процесс осуществляется внешней стороной в соответствии с заключенным с ней договором.

Работников и подрядчиков необходимо информировать об изменениях в штате и порядке работы.

А.6.1 Screening
Background verification checks on all candidates to become personnel shall be carried out prior to joining the organization and on an ongoing basis taking into consideration applicable laws, regulations and ethics and be proportional to the business requirements, the classification of the information to be accessed and the perceived risks.

А.6.5 Responsibilities after termination or change of employment
Information security responsibilities and duties that remain valid after termination or change of employment shall be defined, enforced and communicated to relevant personnel and other interested parties.

7.2. Риск информационной безопасности включает в себя: