Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022

Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A

А.7.2

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 4 п.п. 6
7.4.6. Должен быть определен, выполняться, регистрироваться и контролироваться порядок доступа к объектам среды информационных активов, в том числе в помещения, в которых размещаются объекты среды информационных активов.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ФД.21
ФД.21 Регистрация событий защиты информации, связанных с входом (выходом) в помещения (из помещений), в которых расположены объекты доступа
3-Н 2-Н 1-Т
ФД.6
ФД.6 Назначение для всех помещений распорядителя физического доступа
3-О 2-О 1-О
ФД.2
ФД.2 Контроль перечня лиц, которым предоставлено право самостоятельного физического доступа в помещения
3-О 2-О 1-Т
ФД.3
ФД.3 Контроль самостоятельного физического доступа в помещения для лиц, не являющихся работниками финансовой организации
3-Н 2-О 1-Т
ФД.5
ФД.5 Осуществление физического доступа лицами, которым не предоставлено право самостоятельного доступа в помещения, только под контролем работников финансовой организации, которым предоставлено такое право
3-Н 2-О 1-О
ФД.4
ФД.4 Контроль самостоятельного физического доступа в помещения для технического (вспомогательного) персонала
3-Н 2-О 1-Т
ФД.9
ФД.9 Оборудование помещений средствами (системами) контроля и управления доступом
3-Н 2-Н 1-Т
ФД.8
ФД.8 Оборудование входных дверей помещения механическими замками, обеспечивающими надежное закрытие помещений в нерабочее время
3-О 2-О 1-О
ЗСВ.10
ЗСВ.10 Размещение средств защиты информации, используемых для организации контроля и протоколирования доступа эксплуатационного персонала к серверным компонентам виртуализации и системе хранения данных на физических СВТ
3-Н 2-Т 1-Т
ФД.11
ФД.11 Оборудование помещений средствами охранной и пожарной сигнализации
3-Н 2-Н 1-Т
ФД.13
ФД.13 Контроль доступа к серверному и сетевому оборудованию, расположенному в запираемых серверных стоечных шкафах
3-Н 2-О 1-О
ФД.1
ФД.1 Документарное определение правил предоставления физического доступа
3-Н 2-О 1-О
NIST Cybersecurity Framework (RU):
DE.CM-2
DE.CM-2: Физическая среда контролируется для обнаружения потенциальных событий кибербезопасности 
PR.AC-2
PR.AC-2: Управляется и защищен физический доступ к активам 
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗТС.3 ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.3.1.1
9.3.1.1
Defined Approach Requirements: 
 Physical access to sensitive areas within the CDE for personnel is controlled as follows: 
  • Access is authorized and based on individual job function. 
  • Access is revoked immediately upon termination.
  • All physical access mechanisms, such as keys, access cards, etc., are returned or disabled upon termination. 
Customized Approach Objective:
Sensitive areas cannot be accessed by unauthorized personnel. 

Defined Approach Testing Procedures:
  • 9.3.1.1.a Observe personnel in sensitive areas within the CDE, interview responsible personnel, and examine physical access control lists to verify that: 
    • Access to the sensitive area is authorized. 
    • Access is required for the individual’s job function. 
  • 9.3.1.1.b Observe processes and interview personnel to verify that access of all personnel is revoked immediately upon termination. 
  • 9.3.1.1.c For terminated personnel, examine physical access controls lists and interview responsible personnel to verify that all physical access mechanisms (such as keys, access cards, etc.) were returned or disabled. 
Purpose:
Controlling physical access to sensitive areas helps ensure that only authorized personnel with a legitimate business need are granted access. 

Good Practice:
Where possible, organizations should have policies and procedures to ensure that before personnel leaving the organization, all physical access mechanisms are returned, or disabled as soon as possible upon their departure. This will ensure personnel cannot gain physical access to sensitive areas once their employment has ended. 
Requirement 9.2.1
9.2.1
Defined Approach Requirements: 
Appropriate facility entry controls are in place to restrict physical access to systems in the CDE. 

Customized Approach Objective:
System components in the CDE cannot be physically accessed by unauthorized personnel. 

Defined Approach Testing Procedures:
  • 9.2.1 Observe entry controls and interview responsible personnel to verify that physical security controls are in place to restrict access to systems in the CDE. 
Purpose:
Without physical access controls, unauthorized persons could potentially gain access to the CDE and sensitive information, or could alter system configurations, introduce vulnerabilities into the network, or destroy or steal equipment. Therefore, the purpose of this requirement is that physical access to the CDE is controlled via physical security controls such as badge readers or other mechanisms such as lock and key. 

Good Practice:
Whichever mechanism meets this requirement, it must be sufficient for the organization to verify that only authorized personnel are granted access. 

Examples:
Facility entry controls include physical security controls at each computer room, data center, and other physical areas with systems in the CDE. It can also include badge readers or other devices that manage physical access controls, such as lock and key with a current list of all individuals holding the keys. 
Guideline for a healthy information system v.2.0 (EN):
26 STANDARD
/STANDARD
Physical security mechanisms must be a key part of information systems security and be up to date to ensure that they cannot be bypassed easily by a hacker. It is, therefore, advisable to identify the suitable physical security measures and to raise users’ awareness continuously of the risks caused by bypassing these rules. 

Access to server rooms and technical areas must be controlled with the assistance of locks or access control mechanisms such as badges. The unaccompanied access of external service providers to sever rooms and technical areas must be prohibited, except if it is possible to strictly monitor the access and limit it to given time intervals. A regular review of the access rights must be carried out, in order to identify any unauthorised access. 

When an employee leaves or there is a change of service provider, the access rights must be withdrawn or the access codes changed. 

Finally, the network sockets in areas open to the public (meeting room, reception hall, corridors, etc.) must be restricted or deactivated in order to stop a hacker easily gaining access to the company’s network. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.11.1.2
A.11.1.2 Меры и средства контроля и управления физическим доступом 
Мера обеспечения информационной безопасности: Зоны безопасности должны быть защищены соответствующими мерами и средствами контроля доступа, чтобы обеспечить уверенность в том, что доступ разрешен только уполномоченному персоналу 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.3.1.1
9.3.1.1
Определенные Требования к Подходу:
Физический доступ персонала к критическим зонам в пределах CDE контролируется следующим образом:
  • Доступ авторизован и основан на индивидуальной функции задания.
  • Доступ аннулируется сразу же после прекращения действия.
  • Все физические механизмы доступа, такие как ключи, карты доступа и т.д., возвращаются или отключаются после прекращения действия.
Цель Индивидуального подхода:
Несанкционированный персонал не может получить доступ к критическим зонам.

Определенные Процедуры Тестирования Подхода:
  • 9.3.1.1.a Наблюдать за персоналом в критичных зонах CDE, опрашивать ответственный персонал и изучать списки контроля физического доступа, чтобы убедиться, что:
    • Доступ к конфиденциальной области разрешен.
    • Доступ необходим для выполнения человеком своих должностных функций.
  • 9.3.1.1.b Наблюдайте за процессами и опрашивайте персонал, чтобы убедиться, что доступ всего персонала аннулируется немедленно после прекращения.
  • 9.3.1.1.c Для уволенного персонала изучите списки контроля физического доступа и опросите ответственный персонал, чтобы убедиться, что все механизмы физического доступа (такие как ключи, карты доступа и т.д.) были возвращены или отключены.
Цель:
Контроль физического доступа к конфиденциальным зонам помогает гарантировать, что доступ предоставляется только авторизованному персоналу с законными деловыми потребностями.

Надлежащая практика:
Там, где это возможно, организации должны иметь политику и процедуры, гарантирующие, что перед тем, как персонал покинет организацию, все механизмы физического доступа будут возвращены или отключены как можно скорее после их ухода. Это гарантирует, что персонал не сможет получить физический доступ к критичным зонам после окончания срока их службы.
Requirement 9.2.1
9.2.1
Определенные Требования к Подходу:
Для ограничения физического доступа к системам в CDE предусмотрены соответствующие средства контроля доступа на объекты.

Цель Индивидуального подхода:
Компоненты системы в CDE не могут быть физически доступны неавторизованному персоналу.

Определенные Процедуры Тестирования Подхода:
  • 9.2.1 Соблюдайте контроль входа и опросите ответственный персонал, чтобы убедиться, что существуют средства физической безопасности для ограничения доступа к системам в CDE.
Цель:
Без контроля физического доступа неавторизованные лица потенциально могут получить доступ к CDE и конфиденциальной информации или могут изменить конфигурацию системы, внедрить уязвимости в сеть или уничтожить или украсть оборудование. Следовательно, цель этого требования состоит в том, чтобы физический доступ к CDE контролировался с помощью средств физической безопасности, таких как считыватели бейджей или другие механизмы, такие как замок и ключ.

Надлежащая практика:
Какой бы механизм ни отвечал этому требованию, организации должно быть достаточно убедиться в том, что доступ предоставляется только авторизованному персоналу.

Примеры:
Средства контроля доступа на объект включают средства контроля физической безопасности в каждом компьютерном зале, центре обработки данных и других физических зонах с системами в CDE. Он также может включать считыватели бейджей или другие устройства, которые управляют физическими средствами контроля доступа, такими как замок и ключ, с текущим списком всех лиц, владеющих ключами.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ЗТС.3 ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы и помещения и сооружения, в которых они установлены
ЗИС.23 ЗИС.23 Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.7.2
А.7.2 Защита физического входа
Зоны физической безопасности должны быть защищены соответствующими средствами контроля и управления доступом.
SWIFT Customer Security Controls Framework v2022:
3 - 3.1 Physical Security
3.1 Physical Security
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗТС.3 ЗТС.3 Управление физическим доступом
ЗНИ.2 ЗНИ.2 Управление физическим доступом к машинным носителям информации
NIST Cybersecurity Framework (EN):
DE.CM-2 DE.CM-2: The physical environment is monitored to detect potential cybersecurity events
PR.AC-2 PR.AC-2: Physical access to assets is managed and protected
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗТС.3 ЗТС.3 Управление физическим доступом
ЗНИ.2 ЗНИ.2 Управление физическим доступом к машинным носителям информации

Связанные защитные меры

Ничего не найдено