Раздел A.9.2.1 ГОСТА Р ИСО/МЭК 27001-2021 Приложение А

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":

ПЗИ.5

ПЗИ.5 Документарное определение порядка применения технических мер защиты информации, реализуемых в рамках процесса системы защиты информации, включающего:

правила размещения технических мер защиты информации в информационной инфраструктуре;
параметры настроек технических мер защиты информации и информационной инфраструктуры, предназначенных для размещения технических мер защиты информации (параметры настроек компонентов информационной инфраструктуры, предназначенных для размещения технических мер защиты информации, определяются в случае необходимости);
руководства по применению технических мер защиты информации (включающие руководства по эксплуатации, контролю эксплуатации и использованию по назначению технических мер защиты информации);
состав ролей и права субъектов доступа, необходимых для обеспечения применения технических мер защиты информации (включающего эксплуатацию, контроль эксплуатации и использование по назначению мер защиты информации)

3-О 2-О 1-О

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":

Р. 7 п. 4 п.п. 3

7.4.3. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры:

идентификации, аутентификации, авторизации субъектов доступа, в том числе внешних субъектов доступа, которые не являются работниками организации БС РФ, и программных процессов (сервисов);
разграничения доступа к информационным активам на основе ролевого метода, с определением для каждой роли полномочий по доступу к информационным активам;
управления предоставлением/отзывом и блокированием доступа, в том числе доступа, осуществляемого через внешние информационно-телекоммуникационные сети;
регистрации действий субъектов доступа с обеспечением контроля целостности и защиты данных регистрации;
управления идентификационными данными, аутентификационными данными и средствами аутентификации;
управления учетными записями субъектов доступа;
выявления и блокирования неуспешных попыток доступа;
блокирования сеанса доступа после установленного времени бездействия или по запросу субъекта доступа, требующего выполнения процедур повторной аутентификации и авторизации для продолжения работы;
ограничения действий пользователей по изменению настроек их автоматизированных мест (использование ограничений на изменение BIOS);
управления составом разрешенных действий до выполнения идентификации и аутентификации;
ограничения действий пользователей по изменению параметров настроек АБС и реализации контроля действий эксплуатационного персонала по изменению параметров настроек АБС;
выявления и блокирования несанкционированного перемещения (копирования) информации, в том числе баз данных, файловых ресурсов, виртуальных машин;
использования технологий беспроводного доступа к информации, в случае их применения, и защиты внутренних беспроводных соединений;
использования мобильных устройств для доступа к информации в случае их применения. Процедуры управления доступом должны исключать возможность "самосанкционирования".

CIS Critical Security Controls v8 (The 18 CIS CSC):

5.3

5.3 Disable Dormant Accounts
Delete or disable any dormant accounts after a period of 45 days of inactivity, where supported.

5.1

5.1 Establish and Maintain an Inventory of Accounts
Establish and maintain an inventory of all accounts managed in the enterprise. The inventory must include both user and administrator accounts. The inventory, at a minimum, should contain the person’s name, username, start/ stop dates, and department. Validate that all active accounts are authorized, on a recurring schedule at a minimum quarterly, or more frequently

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":

УЗП.5

УЗП.5 Документарное определение правил предоставления (отзыва) и блокирования логического доступа
3-Н 2-О 1-О

УЗП.16

УЗП.16 Реализация контроля со стороны распорядителя логического доступа целесообразности дальнейшего предоставления прав логического доступа, не использованных субъектами на протяжении периода времени, указанного в мерах УЗП.14, УЗП.15 настоящей таблицы
3-О 2-О 1-О

РД.33

РД.33 Реализация необходимых типов (чтение, запись, выполнение или иной тип) и правил разграничения логического доступа к ресурсам доступа, в том числе АС
3-Т 2-Т 1-Т

УЗП.17

УЗП.17 Реализация возможности определения состава предоставленных прав логического доступа для конкретного ресурса доступа
3-О 2-Т 1-Т

УЗП.8

УЗП.8 Хранение эталонной информации о предоставленных правах логического доступа и обеспечение целостности указанной информации
3-О 2-Т 1-Т

УЗП.9

УЗП.9 Контроль соответствия фактических прав логического доступа эталонной информации о предоставленных правах логического доступа
3-О 2-Т 1-Т

ЗСВ.11

ЗСВ.11 Реализация правил управления правами логического доступа, обеспечивающая запрет одновременного совмещения одним субъектом логического доступа следующих функций:

создание виртуальных машин, управление образами виртуальных машин на этапах их жизненного цикла;
предоставление доступа к виртуальным машинам, включая настройку виртуальных сегментов вычислительных сетей и применяемых средств защиты информации на уровне серверных компонентов виртуализации;
управление системы хранения данных;
управление настройками гипервизоров;
конфигурирование виртуальных сетей в рамках своего контура безопасности

3-Н 2-Н 1-Т

УЗП.21

УЗП.21 Реализация правил управления правами логического доступа, обеспечивающих запрет совмещения одним субъектом логического доступа следующих функций:

эксплуатация и (или) контроль эксплуатации ресурса доступа, в том числе АС, одновременно с использованием по назначению ресурса доступа в рамках реализации бизнес-процесса финансовой организации;
создание и (или) модернизация ресурса доступа, в том числе АС, одновременно с использованием по назначению ресурса доступа в рамках реализации бизнес-процесса финансовой организации;
эксплуатация средств и систем защиты информации одновременно с контролем эксплуатации средств и систем защиты информации;
управление учетными записями субъектов логического доступа одновременно с управлением правами субъектов логического доступа

3-Н 2-О 1-Т

NIST Cybersecurity Framework (RU):

PR.AC-6

PR.AC-6: Идентификационные данные проверяются и привязываются к учетным данным, а при необходимости утверждаются при взаимодействии

PR.AC-1

PR.AC-1: Для авторизованных устройств, пользователей и процессов выдаются, управляются, верифицируются, аннулируются и проверяются идентификационные и учетные данные

PR.AC-7

PR.AC-7: Пользователи, устройства и другие активы проходят аутентификацию (например, однофакторную, многофакторную), соизмеримую с риском транзакции (например, рисками безопасности и конфиденциальности отдельных лиц и другими организационными рисками)

Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":

УПД.2 УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):

5.3

5.3 Отключены неактивные учетные записи
Учетная запись закрывается, если прошло 45 дней с момента последней активности.

5.1

5.1 Создан и поддерживается реестр учетных записей
Реестр включает учетные данные рядовых пользователей и администраторов.
Реестр содержит имя, фамилию, подразделение, дату создания/закрытия учетной записи.
Проверка авторизованных учетных записей осуществляется каждый квартал или чаще.

CIS Critical Security Controls v7.1 (SANS Top 20):

CSC 16.8 CSC 16.8 Disable Any Unassociated Accounts
Disable any account that cannot be associated with a business process or business owner.

CSC 16.9 CSC 16.9 Disable Dormant Accounts
Automatically disable dormant accounts after a set period of inactivity.

CSC 16.10 CSC 16.10 Ensure All Accounts Have An Expiration Date
Ensure that all accounts have an expiration date that is monitored and enforced.

CSC 16.6 CSC 16.6 Maintain an Inventory of Accounts
Maintain an inventory of all accounts organized by authentication system.

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":

Requirement 7.2.2

7.2.2
Определенные Требования к Подходу:
Доступ назначается пользователям, включая привилегированных пользователей, на основе:

Классификации должностей и функций.
Минимум привилегий, необходимых для выполнения должностных обязанностей.

Цель Индивидуального подхода:
Доступ к системам и данным ограничен только доступом, необходимым для выполнения рабочих функций, как определено в соответствующих ролях доступа.

Определенные Процедуры Тестирования Подхода:

7.2.2.a Изучите политики и процедуры, чтобы убедиться, что они охватывают предоставление доступа пользователям в соответствии со всеми элементами, указанными в этом требовании.
7.2.2.b Изучите настройки доступа пользователей, в том числе для привилегированных пользователей, и опросите ответственный управленческий персонал, чтобы убедиться, что назначенные привилегии соответствуют всем элементам, указанным в этом требовании.
7.2.2.c Опросите персонал, ответственный за назначение доступа, чтобы убедиться, что привилегированный доступ пользователя назначен в соответствии со всеми элементами, указанными в этом требовании.

Цель:
Назначение минимальных привилегий помогает предотвратить неправильное или случайное изменение конфигурации приложения или параметров его безопасности пользователями, не имеющими достаточных знаний о приложении. Применение минимальных привилегий также помогает свести к минимуму ущерб, если неавторизованное лицо получит доступ к идентификатору пользователя.

Надлежащая практика:
Права доступа предоставляются пользователю путем назначения одной или нескольким функциям. Оценка назначается в зависимости от конкретных функций пользователя и с минимальным объемом, необходимым для выполнения задания.
При назначении привилегированного доступа важно назначать отдельным лицам только те привилегии, которые им необходимы для выполнения их работы (“наименьшие привилегии”). Например, администратору базы данных или администратору резервного копирования не следует назначать те же привилегии, что и общему системному администратору.
Как только потребности определены для пользовательских функций (в соответствии с требованием PCI DSS 7.2.1), легко предоставить отдельным лицам доступ в соответствии с их классификацией должностей и функциями, используя уже созданные роли.
Организации могут пожелать рассмотреть возможность использования Управления привилегированным доступом (PAM), которое представляет собой метод предоставления доступа к привилегированным учетным записям только тогда, когда эти привилегии требуются, и немедленного отзыва этого доступа, как только они больше не нужны.

Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":

УПД.2 УПД.2 Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа

ГОСТ Р № 59547-2021 от 01.04.2022 "Защита информации. Мониторинг информационной безопасности. Общие положения":

Р. 6 п. 6 п.п. 2

6.6.2 Для защиты данных мониторинга в рамках мероприятий по мониторингу информационной безопасности должны быть реализованы следующие функции безопасности:
- идентификация и аутентификация пользователей при осуществлении доступа к программным и аппаратным компонентам, применяемым для мониторинга информационной безопасности:
- управление идентификаторами пользователей при осуществлении доступа к программным и аппаратным компонентам, применяемым для мониторинга информационной безопасности;
- управление аутентификаторами (аутентификационной информацией) пользователей при осуществлении доступа к программным и аппаратным компонентам, применяемым для мониторинга информационной безопасности;
- управление учетными записями пользователей;
- защита аутентификационной информации в процессе ее ввода для аутентификации от возможного использования лицами, не имеющими на это полномочий;
- управление доступом пользователей к функциям и данным мониторинга информационной безопасности;
П р и м е ч а н и е – Для управления доступом пользователей мониторинга информационной безопасности к функциям мониторинга должен быть реализован ролевой метод управления доступом, а для управления доступом пользователей мониторинга информационной безопасности к данным мониторинга ролевой и (или) дискреционный метод управления доступом.
- ограничение неуспешных попыток доступа к программным и аппаратным компонентам, применяемым для мониторинга информационной безопасности; - регистрация действий пользователей при осуществлении доступа к программным и аппаратным компонентам, применяемым для мониторинга информационной безопасности;
П р и м е ч а н и е – В процессе мониторинга информационной безопасности должны, как минимум, регистрироваться следующие типы событий безопасности, установленные в ГОСТ Р «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации»: попытки идентификации и аутентификации субъекта доступа;
управление учетными записями пользователей;
управление средствами аутентификации;
управление атрибутами доступа;
попытки доступа к защищаемой информации;
управление (администрирование) функциями безопасности;
действия по управлению журналами (записями) регистрации событий безопасности.
- защита от несанкционированного изменения данных аудита программных и аппаратных компонентов, применяемых для мониторинга информационной безопасности;
- оповещение администратора мониторинга информационной безопасности о потенциально опасных действиях пользователей, осуществляющих доступ к программным и аппаратным компонентам, применяемым для мониторинга информационной безопасности.

Приказ ФСБ России № 196 от 06.05.2019 "Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты":

VIII п.21.2

21.2. При осуществлении разграничения прав доступа к информации и функциям средства ГосСОПКА должны обеспечивать:

поддержку функций создания, редактирования и удаления пользовательских ролей и возможность настройки прав доступа для каждой роли;
возможность блокирования и повторной активации учетных записей;
блокирование сессии доступа при превышении задаваемого значения временного периода отсутствия активности;
уведомление о неудачных попытках доступа к управлению средствами ГосСОПКА;
запись всех действий пользователей с момента авторизации в электронный журнал.

Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":

УПД.0 УПД.0 Разработка политики управления доступом

УПД.2 УПД.2 Реализация политик управления доступа

NIST Cybersecurity Framework (EN):

PR.AC-1 PR.AC-1: Identities and credentials are issued, managed, verified, revoked, and audited for authorized devices, users and processes

PR.AC-7 PR.AC-7: Users, devices, and other assets are authenticated (e.g., single-factor, multi-factor) commensurate with the risk of the transaction (e.g., individuals’ security and privacy risks and other organizational risks)

PR.AC-6 PR.AC-6: Identities are proofed and bound to credentials and asserted in interactions

Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":

УПД.2 УПД.2 Реализация модели управления доступом

УПД.0 УПД.0 Регламентация правил и процедур управления доступом

ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":

9.2.1

9.2.1 Регистрация и отмена регистрации пользователей

Мера обеспечения ИБ

Для назначения прав доступа должна быть реализована формализованная процедура регистрации и отмены регистрации пользователей.

Руководство по применению

Процесс управления идентификаторами пользователей должен включать в себя:

a) использование уникальных идентификаторов пользователей, позволяющих отследить действия пользователей, чтобы они несли ответственность за свои действия; использование групповых идентификаторов должно быть разрешено только в тех случаях, когда это необходимо для бизнеса или в силу операционных причин и должно быть утверждено и документировано;
b) немедленное отключение или удаление идентификаторов пользователей, покинувших организацию (см. 9.2.6);
c) периодическое выявление и удаление или отключение избыточных идентификаторов пользователей;
d) обеспечение того, чтобы избыточные идентификаторы пользователей не были переданы другим пользователям.

Дополнительная информация

Предоставление или аннулирование прав доступа к информации или средствам обработки информации обычно представляет собой двухэтапную процедуру:

a) назначение и активация или аннулирование идентификатора пользователя;
b) предоставление или аннулирование прав доступа для этого идентификатора пользователя (см. 9.2.2).

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022

Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А

A.9.2.1

Список требований

Похожие требования

Связанные защитные меры