Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Методика экспресс-оценки уровня кибербезопасности организации РезБез

Framework

6. Управление доступом

Для проведения оценки соответствия по документу войдите в систему.

Список требований

ДОМЕН: 6. УПРАВЛЕНИЕ ДОСТУПОМ
6.1. Процесс
Процедуры управления доступом регламентированы как в верхнеуровневых документах (политиках), так и в операционных (регламентах, процедурах, инструкциях). Документы актуальны и достаточны для работы участников процесса.
Определены роли и назначены ответственные за управление доступом (например, владелец/менеджер процесса, аналитики, технические специалисты и т. д.).
Для оценки эффективности процесса установлены и применяются показатели (метрики). Показатели (метрики) процесса пересматриваются на регулярной основе.
Процесс не формализован, выполняются отдельные операции процесса

Обязательно для уровня кибербезопасности Базовый
Процесс формализован частично в верхнеуровневых документах и исполняется

Обязательно для уровня кибербезопасности Средний
Роли по процессу закреплены за участниками, однако функции и обязанности не детализированы

Обязательно для уровня кибербезопасности Высокий Средний
Процесс формализован в верхнеуровневых документах и исполняется

Обязательно для уровня кибербезопасности Высокий
Показатели (метрики) процесса пересматриваются на регулярной основе

Обязательно для уровня кибербезопасности Продвинутый
Для оценки процесса установлены и применяются показатели (метрики)

Обязательно для уровня кибербезопасности Продвинутый Высокий
Все участники процесса знают свои роли и задачи

Обязательно для уровня кибербезопасности Продвинутый
Документы актуальны и достаточны для работы участников процесса

Обязательно для уровня кибербезопасности Продвинутый
Процесс формализован, автоматизирован и исполняется в соответствии с регламентами

Обязательно для уровня кибербезопасности Продвинутый
6.2. Права доступа и учетные записи
Назначение прав доступа осуществляется согласно роли и должностным (функциональным) обязанностям. Для каждой роли установлены минимально необходимые права доступа.
Предоставление доступа осуществляется автоматизированно с использованием решения класса identity management (IDM).
Контроль действий привилегированных пользователей осуществляется на регулярной основе и автоматизирован с помощью решения класса privileged account management (PAM).
Доступ к административным и сервисным УЗ строго ограничен. Для работы с системами используются отдельные персонифицированные УЗ с определенными наборами ролей и прав доступа к системам.
Блокирование (отключение) учетных записей осуществляется не позднее 24 часов после прекращения или изменения обязанностей сотрудника (или подрядчика). Отключение учетных записей осуществляется после определенного периода бездействия.
Пересмотр активных учетных записей и прав доступа осуществляется на регулярной основе.
Порядок назначения прав доступа не формализован, назначение прав доступа осуществляется по запросу сотрудника или его руководителя

Обязательно для уровня кибербезопасности Базовый
Пересмотр активных учетных записей и прав доступа осуществляется периодически

Обязательно для уровня кибербезопасности Средний
Контроль действий привилегированных пользователей осуществляется периодически

Обязательно для уровня кибербезопасности Высокий
Назначение и предоставление прав доступа осуществляется согласно роли и должностным (функциональным) обязанностям

Обязательно для уровня кибербезопасности Высокий Средний
Пересмотр активных учетных записей и прав доступа осуществляется на регулярной основе

Обязательно для уровня кибербезопасности Продвинутый Высокий
Отключение учетных записей осуществляется после определенного периода бездействия

Обязательно для уровня кибербезопасности Продвинутый Высокий Средний
Блокирование (отключение) учетных записей осуществляется не позднее 24 часов после прекращения или изменения обязанностей сотрудника (или подрядчика)

Обязательно для уровня кибербезопасности Продвинутый Высокий
Доступ к административным и сервисным УЗ строго ограничен. Для работы с системами используются отдельные персонифицированные УЗ с определенными наборами ролей и прав доступа к системам

Обязательно для уровня кибербезопасности Продвинутый
Контроль действий привилегированных пользователей осуществляется на регулярной основе и автоматизирован с помощью решения класса privileged account management (PAM)

Обязательно для уровня кибербезопасности Продвинутый
Предоставление доступа осуществляется автоматизированно с использованием решения класса identity management (IdM)

Обязательно для уровня кибербезопасности Продвинутый
Назначение прав доступа осуществляется согласно роли и должностным (функциональным) обязанностям. Для каждой роли установлены минимально необходимые права доступа

Обязательно для уровня кибербезопасности Продвинутый
6.3. Удаленный доступ
Разработаны и внедрены сценарные условия удаленного доступа к системам и приложениям организации.
Удаленный доступ к системам и приложениям осуществляется с использованием специализированных механизмов защиты (VPN).
Для удаленного доступа к системам и приложениям используется многофакторная аутентификация.
Осуществляется отключение сеансов удаленного доступа после определенного периода бездействия.
Осуществляется блокирование одновременных удаленных сеансов пользователя.
Удаленный доступ к системам и приложениям осуществляется стандартными средствами, без использования дополнительных механизмов защиты

Обязательно для уровня кибербезопасности Базовый
Осуществляется блокирование одновременных удаленных сеансов пользователя

Обязательно для уровня кибербезопасности Продвинутый Высокий
Осуществляется отключение сеансов удаленного доступа после определенного периода бездействия

Обязательно для уровня кибербезопасности Продвинутый Высокий Средний
Для удаленного доступа к системам и приложениям используется многофакторная аутентификация

Обязательно для уровня кибербезопасности Продвинутый Высокий
Удаленный доступ к системам и приложениям осуществляется с использованием специализированных механизмов защиты (VPN)

Обязательно для уровня кибербезопасности Продвинутый Высокий Средний
Разработаны и внедрены сценарные условия удаленного доступа к системам и приложениям организации

Обязательно для уровня кибербезопасности Продвинутый

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.