Куда я попал?
Guideline for a healthy information system v.2.0 (EN)
Framework
26 STANDARD
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ФД.2
ФД.2 Контроль перечня лиц, которым предоставлено право самостоятельного физического доступа в помещения
3-О 2-О 1-Т
3-О 2-О 1-Т
ФД.7
ФД.7 Предоставление права самостоятельного физического доступа в помещения по решению распорядителя физического доступа
3-О 2-О 1-О
3-О 2-О 1-О
ФД.3
ФД.3 Контроль самостоятельного физического доступа в помещения для лиц, не являющихся работниками финансовой организации
3-Н 2-О 1-Т
3-Н 2-О 1-Т
ФД.4
ФД.4 Контроль самостоятельного физического доступа в помещения для технического (вспомогательного) персонала
3-Н 2-О 1-Т
3-Н 2-О 1-Т
NIST Cybersecurity Framework (RU):
PR.AC-2
PR.AC-2: Управляется и защищен физический доступ к активам
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗТС.3
ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.3.1.1
9.3.1.1
Defined Approach Requirements:
Physical access to sensitive areas within the CDE for personnel is controlled as follows:
Defined Approach Requirements:
Physical access to sensitive areas within the CDE for personnel is controlled as follows:
- Access is authorized and based on individual job function.
- Access is revoked immediately upon termination.
- All physical access mechanisms, such as keys, access cards, etc., are returned or disabled upon termination.
Customized Approach Objective:
Sensitive areas cannot be accessed by unauthorized personnel.
Defined Approach Testing Procedures:
Sensitive areas cannot be accessed by unauthorized personnel.
Defined Approach Testing Procedures:
- 9.3.1.1.a Observe personnel in sensitive areas within the CDE, interview responsible personnel, and examine physical access control lists to verify that:
- Access to the sensitive area is authorized.
- Access is required for the individual’s job function.
- 9.3.1.1.b Observe processes and interview personnel to verify that access of all personnel is revoked immediately upon termination.
- 9.3.1.1.c For terminated personnel, examine physical access controls lists and interview responsible personnel to verify that all physical access mechanisms (such as keys, access cards, etc.) were returned or disabled.
Purpose:
Controlling physical access to sensitive areas helps ensure that only authorized personnel with a legitimate business need are granted access.
Good Practice:
Where possible, organizations should have policies and procedures to ensure that before personnel leaving the organization, all physical access mechanisms are returned, or disabled as soon as possible upon their departure. This will ensure personnel cannot gain physical access to sensitive areas once their employment has ended.
Controlling physical access to sensitive areas helps ensure that only authorized personnel with a legitimate business need are granted access.
Good Practice:
Where possible, organizations should have policies and procedures to ensure that before personnel leaving the organization, all physical access mechanisms are returned, or disabled as soon as possible upon their departure. This will ensure personnel cannot gain physical access to sensitive areas once their employment has ended.
Requirement 9.3.2
9.3.2
Defined Approach Requirements:
Procedures are implemented for authorizing and managing visitor access to the CDE, including:
Defined Approach Requirements:
Procedures are implemented for authorizing and managing visitor access to the CDE, including:
- Visitors are authorized before entering.
- Visitors are escorted at all times.
- Visitors are clearly identified and given a badge or other identification that expires.
- Visitor badges or other identification visibly distinguishes visitors from personnel.
Customized Approach Objective:
Requirements for visitor access to the CDE are defined and enforced. Visitors cannot exceed any authorized physical access allowed while in the CDE.
Defined Approach Testing Procedures:
Requirements for visitor access to the CDE are defined and enforced. Visitors cannot exceed any authorized physical access allowed while in the CDE.
Defined Approach Testing Procedures:
- 9.3.2.a Examine documented procedures and interview personnel to verify procedures are defined for authorizing and managing visitor access to the CDE in accordance with all elements specified in this requirement.
- 9.3.2.b Observe processes when visitors are present in the CDE and interview personnel to verify that visitors are:
- Authorized before entering the CDE.
- Escorted at all times within the CDE.
- 9.3.2.c Observe the use of visitor badges or other identification to verify that the badge or other identification does not permit unescorted access to the CDE.
- 9.3.2.d Observe visitors in the CDE to verify that:
- Visitor badges or other identification are being used for all visitors.
- Visitor badges or identification easily distinguish visitors from personnel.
- 9.3.2.e Examine visitor badges or other identification and observe evidence in the badging system to verify visitor badges or other identification expires.
Purpose:
Visitor controls are important to reduce the ability of unauthorized and malicious persons to gain access to facilities and potentially to cardholder data.
Visitor controls ensure visitors are identifiable as visitors so personnel can monitor their activities, and that their access is restricted to just the duration of their legitimate visit.
Visitor controls are important to reduce the ability of unauthorized and malicious persons to gain access to facilities and potentially to cardholder data.
Visitor controls ensure visitors are identifiable as visitors so personnel can monitor their activities, and that their access is restricted to just the duration of their legitimate visit.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.11.1.3
A.11.1.3 Безопасность зданий, помещений и оборудования
Мера обеспечения информационной безопасности: Должна быть разработана и реализована физическая защита зданий, помещений и оборудования
Мера обеспечения информационной безопасности: Должна быть разработана и реализована физическая защита зданий, помещений и оборудования
A.11.2.1
A.11.2.1 Размещение и защита оборудования
Мера обеспечения информационной безопасности: Оборудование должно быть размещено и защищено таким образом, чтобы снизить риски информационной безопасности от угроз и опасностей со стороны окружающей среды и возможности несанкционированного доступа
Мера обеспечения информационной безопасности: Оборудование должно быть размещено и защищено таким образом, чтобы снизить риски информационной безопасности от угроз и опасностей со стороны окружающей среды и возможности несанкционированного доступа
A.11.1.2
A.11.1.2 Меры и средства контроля и управления физическим доступом
Мера обеспечения информационной безопасности: Зоны безопасности должны быть защищены соответствующими мерами и средствами контроля доступа, чтобы обеспечить уверенность в том, что доступ разрешен только уполномоченному персоналу
Мера обеспечения информационной безопасности: Зоны безопасности должны быть защищены соответствующими мерами и средствами контроля доступа, чтобы обеспечить уверенность в том, что доступ разрешен только уполномоченному персоналу
A.11.2.3
A.11.2.3 Безопасность кабельной сети
Мера обеспечения информационной безопасности: Кабели питания и телекоммуникационные кабели, используемые для передачи данных или для поддержки информационных сервисов, должны быть защищены от перехвата информации, помех или повреждения
Мера обеспечения информационной безопасности: Кабели питания и телекоммуникационные кабели, используемые для передачи данных или для поддержки информационных сервисов, должны быть защищены от перехвата информации, помех или повреждения
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.3.2
9.3.2
Определенные Требования к Подходу:
Внедрены процедуры авторизации и управления доступом посетителей к CDE, включая:
Определенные Требования к Подходу:
Внедрены процедуры авторизации и управления доступом посетителей к CDE, включая:
- Посетители проходят авторизацию перед входом.
- Посетителей постоянно сопровождают.
- Посетители четко идентифицируются и получают бейдж или другое удостоверение личности, срок действия которого истекает.
- Бейджи посетителей или другие удостоверения личности заметно отличают посетителей от персонала.
Цель Индивидуального подхода:
Требования к доступу посетителей к CDE определены и соблюдаются. Посетители не могут превышать любой разрешенный физический доступ, разрешенный во время пребывания в CDE.
Определенные Процедуры Тестирования Подхода:
Требования к доступу посетителей к CDE определены и соблюдаются. Посетители не могут превышать любой разрешенный физический доступ, разрешенный во время пребывания в CDE.
Определенные Процедуры Тестирования Подхода:
- 9.3.2.a Изучить документированные процедуры и опросить персонал, чтобы убедиться, что процедуры определены для авторизации и управления доступом посетителей к CDE в соответствии со всеми элементами, указанными в этом требовании.
- 9.3.2.b Наблюдайте за процессами, когда посетители присутствуют в CDE, и опрашивайте персонал, чтобы убедиться, что посетители:
- Авторизованы перед входом в CDE.
- Сопровождаемый в любое время в пределах CDE.
- 9.3.2.c Наблюдайте за использованием бейджей для посетителей или других идентификационных данных, чтобы убедиться, что бейдж или другое удостоверение личности не допускают доступа в CDE без сопровождения.
- 9.3.2.d Наблюдать за посетителями в CDE, чтобы убедиться, что:
- Бейджи посетителей или другие удостоверения личности используются для всех посетителей.
- Бейджи или удостоверения личности посетителей легко отличают посетителей от персонала.
- 9.3.2.e Проверяйте бейджи посетителей или другие идентификационные данные и наблюдайте за доказательствами в системе бейджинга, чтобы проверить срок действия бейджей посетителей или других идентификационных данных.
Цель:
Контроль за посетителями важен для уменьшения возможностей несанкционированных и злонамеренных лиц получить доступ к объектам и, возможно, к данным о держателях карт.
Контроль посетителей гарантирует, что посетители идентифицируются как посетители, чтобы персонал мог отслеживать их действия, и что их доступ ограничен только продолжительностью их законного посещения.
Контроль за посетителями важен для уменьшения возможностей несанкционированных и злонамеренных лиц получить доступ к объектам и, возможно, к данным о держателях карт.
Контроль посетителей гарантирует, что посетители идентифицируются как посетители, чтобы персонал мог отслеживать их действия, и что их доступ ограничен только продолжительностью их законного посещения.
Requirement 9.3.1.1
9.3.1.1
Определенные Требования к Подходу:
Физический доступ персонала к критическим зонам в пределах CDE контролируется следующим образом:
Определенные Требования к Подходу:
Физический доступ персонала к критическим зонам в пределах CDE контролируется следующим образом:
- Доступ авторизован и основан на индивидуальной функции задания.
- Доступ аннулируется сразу же после прекращения действия.
- Все физические механизмы доступа, такие как ключи, карты доступа и т.д., возвращаются или отключаются после прекращения действия.
Цель Индивидуального подхода:
Несанкционированный персонал не может получить доступ к критическим зонам.
Определенные Процедуры Тестирования Подхода:
Несанкционированный персонал не может получить доступ к критическим зонам.
Определенные Процедуры Тестирования Подхода:
- 9.3.1.1.a Наблюдать за персоналом в критичных зонах CDE, опрашивать ответственный персонал и изучать списки контроля физического доступа, чтобы убедиться, что:
- Доступ к конфиденциальной области разрешен.
- Доступ необходим для выполнения человеком своих должностных функций.
- 9.3.1.1.b Наблюдайте за процессами и опрашивайте персонал, чтобы убедиться, что доступ всего персонала аннулируется немедленно после прекращения.
- 9.3.1.1.c Для уволенного персонала изучите списки контроля физического доступа и опросите ответственный персонал, чтобы убедиться, что все механизмы физического доступа (такие как ключи, карты доступа и т.д.) были возвращены или отключены.
Цель:
Контроль физического доступа к конфиденциальным зонам помогает гарантировать, что доступ предоставляется только авторизованному персоналу с законными деловыми потребностями.
Надлежащая практика:
Там, где это возможно, организации должны иметь политику и процедуры, гарантирующие, что перед тем, как персонал покинет организацию, все механизмы физического доступа будут возвращены или отключены как можно скорее после их ухода. Это гарантирует, что персонал не сможет получить физический доступ к критичным зонам после окончания срока их службы.
Контроль физического доступа к конфиденциальным зонам помогает гарантировать, что доступ предоставляется только авторизованному персоналу с законными деловыми потребностями.
Надлежащая практика:
Там, где это возможно, организации должны иметь политику и процедуры, гарантирующие, что перед тем, как персонал покинет организацию, все механизмы физического доступа будут возвращены или отключены как можно скорее после их ухода. Это гарантирует, что персонал не сможет получить физический доступ к критичным зонам после окончания срока их службы.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ЗТС.3
ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.12
А.8.12 Защита от утечки данных
В отношении систем, сетей и любых иных устройств, которые обрабатывают, хранят или передают критичную информацию должны применяться меры по предотвращению утечки данных.
В отношении систем, сетей и любых иных устройств, которые обрабатывают, хранят или передают критичную информацию должны применяться меры по предотвращению утечки данных.
А.7.2
А.7.2 Защита физического входа
Зоны физической безопасности должны быть защищены соответствующими средствами контроля и управления доступом.
Зоны физической безопасности должны быть защищены соответствующими средствами контроля и управления доступом.
А.7.3
А.7.3 Безопасность офисов, помещений и помещений
Должна быть разработана и внедрена физическая безопасность для офисов, помещений и зданий.
Должна быть разработана и внедрена физическая безопасность для офисов, помещений и зданий.
А.7.12
А.7.12 Безопасность кабельной сети
Должны быть защищены от перехвата, помех или повреждения кабели, передающие данные или поддерживающие информационные сервисы, в том числе и подающие электропитание.
Должны быть защищены от перехвата, помех или повреждения кабели, передающие данные или поддерживающие информационные сервисы, в том числе и подающие электропитание.
SWIFT Customer Security Controls Framework v2022:
3 - 3.1 Physical Security
3.1 Physical Security
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗТС.3
ЗТС.3 Управление физическим доступом
NIST Cybersecurity Framework (EN):
PR.AC-2
PR.AC-2: Physical access to assets is managed and protected
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗТС.3
ЗТС.3 Управление физическим доступом
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
11.2.1
11.2.1 Размещение и защита оборудования
Мера обеспечения ИБ
Оборудование должно быть размещено и защищено таким образом, чтобы снизить риски ИБ от угроз и опасностей со стороны окружающей среды и возможности несанкционированного доступа.
Руководство по применению
Следующие рекомендации необходимо рассмотреть для защиты оборудования:
- a) оборудование следует размещать таким образом, чтобы свести к минимуму излишний доступ в рабочие зоны;
- b) средства обработки информации, обрабатывающие информацию ограниченного доступа, должны располагаться так, чтобы снизить риск просмотра информации посторонними лицами во время их использования;
- c) оборудование для хранения информации следует защищать от несанкционированного доступа;
- d) отдельные элементы оборудования, требующие специальной защиты, следует охранять для снижения общего уровня требуемой защиты;
- e) должны быть предприняты меры по снижению риска потенциальных физических и природных угроз, например краж, пожаров, взрывов, задымления, затопления (или сбоя в водоснабжении), пыли, вибраций, химических воздействий, перебоев в электроснабжении и связи, электромагнитного излучения и вандализма;
- f) должны быть установлены правила по приему пищи, питью и курению вблизи средств обработки информации;
- g) следует проводить мониторинг условий окружающей среды, которые могут отрицательно повлиять на работу средств обработки информации, например температура и влажность;
- h) внешняя молниезащита должна быть установлена на всех зданиях, а фильтры молниезащиты должны ставиться на всех входящих силовых и коммуникационных линиях;
- i) в отношении оборудования, расположенного в промышленных условиях, следует использовать специальные методы защиты, такие как защитные пленки для клавиатуры;
- j) оборудование, обрабатывающее конфиденциальную информацию, должно быть защищено соответствующим образом для минимизации риска утечки информации из-за электромагнитного излучения.
11.2.3
11.2.3 Безопасность кабельной сети
Мера обеспечения ИБ
Кабели питания и телекоммуникационные кабели, используемые для передачи данных или для поддержки информационных сервисов, должны быть защищены от перехвата информации, помех или повреждения.
Руководство по применению
Для обеспечения безопасности кабельной сети следует рассмотреть следующие рекомендации:
- a) телекоммуникационные линии и линии питания средств обработки информации, где это возможно, должны находиться под землей или же иметь адекватную альтернативную защиту;
- b) силовые кабели должны быть проложены отдельно от телекоммуникационных для предотвращения помех;
- c) для информации ограниченного доступа следует рассмотреть дополнительные меры обеспечения ИБ, а именно:
- использование защищенных кабель-каналов, а также закрываемых помещений или шкафов в точках входа/выхода и коммутации кабелей;
- использование электромагнитной защиты кабелей;
- проведение технической экспертизы и физического осмотра несанкционированно подключенных к кабелям устройств;
- контроль доступа к коммутационным панелям и кабельным помещениям.
11.1.2
11.1.2 Меры и средства контроля и управления физическим доступом
Мера обеспечения ИБ
Зоны безопасности должны быть защищены соответствующими мерами и средствами контроля доступа, чтобы обеспечить уверенность в том, что доступ разрешен только уполномоченному персоналу.
Руководство по применению
Следует принять во внимание следующие рекомендации:
- a) регистрировать дату и время въезда и выезда посетителей, а также брать под сопровождение всех, чье право доступа не было предварительно согласовано; доступ посетителям следует предоставлять только для выполнения определенных, авторизованных целей и следует начинать с проведения инструктажа по требованиям безопасности и действий в аварийных ситуациях. Личность посетителей должна подтверждаться соответствующими средствами;
- b) доступ в зоны обработки или хранения конфиденциальной информации следует контролировать и предоставлять только авторизованным лицам путем применения соответствующих мер, например реализацией механизма двухфакторной аутентификации, такой, как карты доступа или секретным ПИН-кодом;
- c) рукописный или электронный журнал регистрации посещений нужно надежным образом вести и проверять;
- d) все работники, подрядчики и представители внешней стороны должны носить ту или иную форму визуального идентификатора и должны немедленно уведомлять персонал службы безопасности, если они встречают посетителей без сопровождения или без визуальных идентификаторов;
- e) персоналу службы поддержки сторонних организаций следует выдавать ограниченный доступ к зонам и средствам обработки конфиденциальной информации только при необходимости; такой доступ должен быть санкционирован и сопровождаться соответствующим контролем;
- f) права доступа к зонам безопасности следует регулярно пересматривать и обновлять, а при необходимости отменять (см. 9.25, 9.2.6).
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.12
А.8.12 Data leakage prevention
Data leakage prevention measures shall be applied to systems, networks and any other devices that process, store or transmit sensitive information.
Data leakage prevention measures shall be applied to systems, networks and any other devices that process, store or transmit sensitive information.
А.7.12
А.7.12 Cabling security
Cables carrying power, data or supporting information services shall be protected from interception, interference or damage.
Cables carrying power, data or supporting information services shall be protected from interception, interference or damage.
А.7.2
А.7.2 Physical entry
Secure areas shall be protected by appropriate entry controls and access points.
Secure areas shall be protected by appropriate entry controls and access points.
А.7.3
А.7.3 Securing offices, rooms and facilities
Physical security for offices, rooms and facilities shall be designed and implemented.
Physical security for offices, rooms and facilities shall be designed and implemented.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.