Куда я попал?
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022
Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А
A.9.2.6
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 4 п.п. 13
7.4.13. В организации БС РФ должны применяться меры, направленные на обеспечение защиты от НСД, повреждения или нарушения целостности данных о действиях и операциях, а также меры по защите информации, необходимой для идентификации, аутентификации и (или) авторизации клиентов и работников организации БС РФ. Все попытки НСД к такой информации должны регистрироваться. Доступ к данным о действиях и операциях предоставляется только с целью выполнения служебных обязанностей.
При увольнении или изменении должностных обязанностей работников организации БС РФ, имевших доступ к указанным данным, необходимо выполнить регламентированные процедуры соответствующего пересмотра прав доступа.
При увольнении или изменении должностных обязанностей работников организации БС РФ, имевших доступ к указанным данным, необходимо выполнить регламентированные процедуры соответствующего пересмотра прав доступа.
CIS Critical Security Controls v8 (The 18 CIS CSC):
6.2
6.2 Establish an Access Revoking Process
Establish and follow a process, preferably automated, for revoking access to enterprise assets, through disabling accounts immediately upon termination, rights revocation, or role change of a user. Disabling accounts, instead of deleting accounts, may be necessary to preserve audit trails.
Establish and follow a process, preferably automated, for revoking access to enterprise assets, through disabling accounts immediately upon termination, rights revocation, or role change of a user. Disabling accounts, instead of deleting accounts, may be necessary to preserve audit trails.
NIST Cybersecurity Framework (RU):
PR.AC-1
PR.AC-1: Для авторизованных устройств, пользователей и процессов выдаются, управляются, верифицируются, аннулируются и проверяются идентификационные и учетные данные
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
РВН.1
РВН.1 Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска внутреннего нарушителя, применяемых в отношении работников финансовой организации, деятельность которых может оказать влияние на риск реализации информационных угроз:
- при приеме на работу кандидатов на замещение должностей в финансовой организации;
- в рамках исполнения работниками своих должностных обязанностей;
- в случае прекращения трудовых отношений или изменения должностных обязанностей работников.
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
6.2
6.2 Реализован процесс отзыва прав доступа
Блокирование учетных записей используется вместо удаления, чтобы сохранить журналы аудита.
Блокирование учетных записей используется вместо удаления, чтобы сохранить журналы аудита.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 8.2.5
8.2.5
Defined Approach Requirements:
Access for terminated users is immediately revoked.
Customized Approach Objective:
The accounts of terminated users cannot be used.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Access for terminated users is immediately revoked.
Customized Approach Objective:
The accounts of terminated users cannot be used.
Defined Approach Testing Procedures:
- 8.2.5.a Examine information sources for terminated users and review current user access lists—for both local and remote access—to verify that terminated user IDs have been deactivated or removed from the access lists.
- 8.2.5.b Interview responsible personnel to verify that all physical authentication factors—such as, smart cards, tokens, etc.—have been returned or deactivated for terminated users.
Purpose:
If an employee or third party/vendor has left the company and still has access to the network via their user account, unnecessary or malicious access to cardholder data could occur—either by the former employee or by a malicious user who exploits the old and/or unused account.
If an employee or third party/vendor has left the company and still has access to the network via their user account, unnecessary or malicious access to cardholder data could occur—either by the former employee or by a malicious user who exploits the old and/or unused account.
Requirement 2.3.2
2.3.2
Defined Approach Requirements:
For wireless environments connected to the CDE or transmitting account data, wireless encryption keys are changed as follows:
Defined Approach Requirements:
For wireless environments connected to the CDE or transmitting account data, wireless encryption keys are changed as follows:
- Whenever personnel with knowledge of the key leave the company or the role for which the knowledge was necessary.
- Whenever a key is suspected of or known to be compromised.
Customized Approach Objective:
Knowledge of wireless encryption keys cannot allow unauthorized access to wireless networks.
Defined Approach Testing Procedures:
Knowledge of wireless encryption keys cannot allow unauthorized access to wireless networks.
Defined Approach Testing Procedures:
- 2.3.2 Interview responsible personnel and examine key-management documentation to verify that wireless encryption keys are changed in accordance with all elements specified in this requirement
Purpose:
Changing wireless encryption keys whenever someone with knowledge of the key leaves the organization or moves to a role that no longer requires knowledge of the key, helps keep knowledge of keys limited to only those with a business need to know.
Also, changing wireless encryption keys whenever a key is suspected or known to be comprised makes a wireless network more resistant to compromise.
Good Practice:
This goal can be accomplished in multiple ways, including periodic changes of keys, changing keys via a defined “joiners-movers-leavers” (JML) process, implementing additional technical controls, and not using fixed pre-shared keys.
In addition, any keys that are known to be, or suspected of being, compromised should be managed in accordance with the entity’s incident response plan at Requirement 12.10.1.
Changing wireless encryption keys whenever someone with knowledge of the key leaves the organization or moves to a role that no longer requires knowledge of the key, helps keep knowledge of keys limited to only those with a business need to know.
Also, changing wireless encryption keys whenever a key is suspected or known to be comprised makes a wireless network more resistant to compromise.
Good Practice:
This goal can be accomplished in multiple ways, including periodic changes of keys, changing keys via a defined “joiners-movers-leavers” (JML) process, implementing additional technical controls, and not using fixed pre-shared keys.
In addition, any keys that are known to be, or suspected of being, compromised should be managed in accordance with the entity’s incident response plan at Requirement 12.10.1.
Guideline for a healthy information system v.2.0 (EN):
6 STANDARD
/STANDARD
The staff of an organization, whether public or private, is constantly changing : arrivals, departures, internal mobility. Therefore it is necessary to update the rights and accesses to the information system in accordance with these developments. It is essential that all of the rights granted to an individual are revoked when he or she leaves or changes position. The arrival and departure procedures must therefore be defined, in accordance with the human resources department. They must, as a minimum, take into account:
The staff of an organization, whether public or private, is constantly changing : arrivals, departures, internal mobility. Therefore it is necessary to update the rights and accesses to the information system in accordance with these developments. It is essential that all of the rights granted to an individual are revoked when he or she leaves or changes position. The arrival and departure procedures must therefore be defined, in accordance with the human resources department. They must, as a minimum, take into account:
- the creation and deletion of IT accounts and their corresponding mailboxes;
- the rights and accesses to grant to, or remove from, an individual whose role changes;
- the management of physical accesses to premises (granting and return of badges and keys, etc.);
- the allocation of mobile devices (laptops, USB sticks, hard drives, smartphone, etc.);
- the management of sensitive documents and information (transferring passwords, changing passwords or codes in existing systems).
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.7.3.1
A.7.3.1 Прекращение или изменение трудовых обязанностей
Мера обеспечения информационной безопасности: Ответственность и обязанности, относящиеся к информационной безопасности, которые сохраняются после увольнения или смены места работы, должны быть определены, доведены до сведения работника или подрядчика и оформлены юридически
Мера обеспечения информационной безопасности: Ответственность и обязанности, относящиеся к информационной безопасности, которые сохраняются после увольнения или смены места работы, должны быть определены, доведены до сведения работника или подрядчика и оформлены юридически
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 16.7
CSC 16.7 Establish Process for Revoking Access
Establish and follow an automated process for revoking system access by disabling accounts immediately upon termination or change of responsibilities of an employee or contractor . Disabling these accounts, instead of deleting accounts, allows preservation of audit trails.
Establish and follow an automated process for revoking system access by disabling accounts immediately upon termination or change of responsibilities of an employee or contractor . Disabling these accounts, instead of deleting accounts, allows preservation of audit trails.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 2.3.2
2.3.2
Определенные Требования к Подходу:
Для беспроводных сред, подключенных к CDE или передающих данные учетной записи, беспроводные ключи шифрования изменяются:
Определенные Требования к Подходу:
Для беспроводных сред, подключенных к CDE или передающих данные учетной записи, беспроводные ключи шифрования изменяются:
- Всякий раз, когда персонал, обладающий знаниями о ключе, покидает компанию или должность, для которой эти знания были необходимы.
- Всякий раз, когда подозревается или известно, что ключ скомпрометирован.
Цель Индивидуального подхода:
Знание беспроводных ключей шифрования не может обеспечить несанкционированный доступ к беспроводным сетям.
Определенные Процедуры Тестирования Подхода:
Знание беспроводных ключей шифрования не может обеспечить несанкционированный доступ к беспроводным сетям.
Определенные Процедуры Тестирования Подхода:
- 2.3.2 Опросите ответственный персонал и изучите документацию по управлению ключами, чтобы убедиться, что ключи беспроводного шифрования изменены в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Изменение ключей беспроводного шифрования всякий раз, когда кто-то, знающий ключ, покидает организацию или переходит на роль, которая больше не требует знания ключа, помогает ограничить знание ключей только теми, кому это необходимо для бизнеса.
Кроме того, изменение ключей шифрования беспроводной сети всякий раз, когда подозревается или известно, что ключ содержит, делает беспроводную сеть более устойчивой к компрометации.
Надлежащая практика:
Эта цель может быть достигнута несколькими способами, включая периодическую смену ключей, смену ключей с помощью определенного процесса “joiners-movers-leavers” (JML), внедрение дополнительных технических средств контроля и отказ от использования фиксированных предварительно разделяемых ключей.
Кроме того, управление любыми ключами, которые, как известно, или предположительно скомпрометированы, должно осуществляться в соответствии с планом реагирования организации на инциденты в соответствии с требованием 12.10.1.
Изменение ключей беспроводного шифрования всякий раз, когда кто-то, знающий ключ, покидает организацию или переходит на роль, которая больше не требует знания ключа, помогает ограничить знание ключей только теми, кому это необходимо для бизнеса.
Кроме того, изменение ключей шифрования беспроводной сети всякий раз, когда подозревается или известно, что ключ содержит, делает беспроводную сеть более устойчивой к компрометации.
Надлежащая практика:
Эта цель может быть достигнута несколькими способами, включая периодическую смену ключей, смену ключей с помощью определенного процесса “joiners-movers-leavers” (JML), внедрение дополнительных технических средств контроля и отказ от использования фиксированных предварительно разделяемых ключей.
Кроме того, управление любыми ключами, которые, как известно, или предположительно скомпрометированы, должно осуществляться в соответствии с планом реагирования организации на инциденты в соответствии с требованием 12.10.1.
Requirement 8.2.5
8.2.5
Определенные Требования к Подходу:
Доступ для прекращенных пользователей немедленно аннулируется.
Цель Индивидуального подхода:
Учетные записи прекращенных пользователей не могут быть использованы.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Доступ для прекращенных пользователей немедленно аннулируется.
Цель Индивидуального подхода:
Учетные записи прекращенных пользователей не могут быть использованы.
Определенные Процедуры Тестирования Подхода:
- 8.2.5.a Изучите источники информации о завершенных пользователях и просмотрите текущие списки доступа пользователей — как для локального, так и для удаленного доступа — чтобы убедиться, что идентификаторы завершенных пользователей были деактивированы или удалены из списков доступа.
- 8.2.5.b Опросите ответственный персонал, чтобы убедиться, что все физические факторы аутентификации — такие как смарт—карты, токены и т.д. - были возвращены или деактивированы для прекращенных пользователей.
Цель:
Если сотрудник или третья сторона/ поставщик покинули компанию и по—прежнему имеют доступ к сети через свою учетную запись пользователя, может возникнуть ненужный или злонамеренный доступ к данным о держателях карт - либо со стороны бывшего сотрудника, либо со стороны злоумышленника, который использует старую и/или неиспользуемую учетную запись.
Если сотрудник или третья сторона/ поставщик покинули компанию и по—прежнему имеют доступ к сети через свою учетную запись пользователя, может возникнуть ненужный или злонамеренный доступ к данным о держателях карт - либо со стороны бывшего сотрудника, либо со стороны злоумышленника, который использует старую и/или неиспользуемую учетную запись.
NIST Cybersecurity Framework (EN):
PR.AC-1
PR.AC-1: Identities and credentials are issued, managed, verified, revoked, and audited for authorized devices, users and processes
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.