Куда я попал?
ГОСТ Р № 57580.4-2022 от 01.02.2023
Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7
УИ.8
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 6. п.п. 1
6.1. Кредитные организации должны обеспечивать организацию учета и контроля состава следующих элементов (далее при совместном упоминании - критичная архитектура):
- технологических процессов, реализуемых непосредственно кредитной организацией;
- подразделений (работников) кредитной организации, ответственных за разработку технологических процессов, поддержание их выполнения, реализацию технологических процессов (далее - подразделения кредитной организации);
- объектов информационной инфраструктуры кредитной организации, задействованных при выполнении каждого технологического процесса;
- технологических участков технологических процессов, установленных в абзацах втором - шестом подпункта 5.2 пункта 5 Положения Банка России от 17 апреля 2019 года N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" (далее соответственно - Положение Банка России N 683-П, технологические участки технологических процессов);
- технологических процессов, технологических участков технологических процессов, реализуемых поставщиками услуг в сфере информационных технологий;
- работников кредитных организаций или иных лиц, осуществляющих физический и (или) логический доступ, или программных сервисов, осуществляющих логический доступ к объектам информационной инфраструктуры (далее - субъекты доступа), задействованных при выполнении каждого технологического процесса;
- взаимосвязей и взаимозависимостей кредитной организации с иными кредитными организациями, некредитными финансовыми организациями, поставщиками услуг в сфере информационных технологий в рамках выполнения технологических процессов (далее при совместном упоминании - участники технологического процесса);
- каналов передачи защищаемой информации, установленной в абзацах первом - пятом пункта 1 Положения Банка России N 683-П, обрабатываемой и передаваемой в рамках технологических процессов участниками технологического процесса.
В целях организации учета и контроля состава технологических процессов, технологических участков технологических процессов, реализуемых поставщиками услуг в сфере информационных технологий, кредитные организации должны обеспечивать ведение отдельного реестра в соответствии с внутренними документами.
Кредитные организации в отношении элементов, указанных в подпункте 6.1 настоящего пункта, являющихся значимыми объектами критической информационной инфраструктуры в соответствии с пунктом 3 статьи 2 Федерального закона от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - Федеральный закон от 26 июля 2017 года N 187-ФЗ), должны выполнять требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленные в соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 года N 187-ФЗ 7.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 7.3.2
7.3.2
Defined Approach Requirements:
The access control system(s) is configured to enforce permissions assigned to individuals, applications, and systems based on job classification and function.
Customized Approach Objective:
Individual account access rights and privileges to systems, applications, and data are only inherited from group membership.
Defined Approach Testing Procedures:
Defined Approach Requirements:
The access control system(s) is configured to enforce permissions assigned to individuals, applications, and systems based on job classification and function.
Customized Approach Objective:
Individual account access rights and privileges to systems, applications, and data are only inherited from group membership.
Defined Approach Testing Procedures:
- 7.3.2 Examine vendor documentation and system settings to verify that the access control system(s) is configured to enforce permissions assigned to individuals, applications, and systems based on job classification and function.
Purpose:
Restricting privileged access with an access control system reduces the opportunity for errors in the assignment of permissions to individuals, applications, and systems.
Restricting privileged access with an access control system reduces the opportunity for errors in the assignment of permissions to individuals, applications, and systems.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 7.3.2
7.3.2
Определенные Требования к Подходу:
Система (системы) контроля доступа сконфигурирована для обеспечения соблюдения разрешений, назначенных отдельным лицам, приложениям и системам, на основе классификации заданий и функций.
Цель Индивидуального подхода:
Права доступа и привилегии отдельных учетных записей к системам, приложениям и данным наследуются только от членства в группе.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Система (системы) контроля доступа сконфигурирована для обеспечения соблюдения разрешений, назначенных отдельным лицам, приложениям и системам, на основе классификации заданий и функций.
Цель Индивидуального подхода:
Права доступа и привилегии отдельных учетных записей к системам, приложениям и данным наследуются только от членства в группе.
Определенные Процедуры Тестирования Подхода:
- 7.3.2 Изучите документацию поставщика и системные настройки, чтобы убедиться, что система (системы) контроля доступа сконфигурирована для обеспечения соблюдения разрешений, назначенных отдельным лицам, приложениям и системам на основе классификации должностей и функций.
Цель:
Ограничение привилегированного доступа с помощью системы контроля доступа снижает вероятность ошибок при назначении разрешений отдельным лицам, приложениям и системам.
Ограничение привилегированного доступа с помощью системы контроля доступа снижает вероятность ошибок при назначении разрешений отдельным лицам, приложениям и системам.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.