Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

NIST Cybersecurity Framework (EN)

Framework

PR.AT-2

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

NIST Cybersecurity Framework (RU):
PR.AT-2
PR.AT-2: Привилегированные пользователи понимают роли и ответственность 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 3.7.8
3.7.8
Defined Approach Requirements: 
Key management policies and procedures are implemented to include that cryptographic key custodians formally acknowledge (in writing or electronically) that they understand and accept their key-custodian responsibilities. 

Customized Approach Objective:
Key custodians are knowledgeable about their responsibilities in relation to cryptographic operations and can access assistance and guidance when required. 

Defined Approach Testing Procedures:
  • 3.7.8.a Examine the documented key-management policies and procedures for keys used for protection of stored account data and verify that they define acknowledgments for key custodians in accordance with all elements specified in this requirement. 
  • 3.7.8.b Examine documentation or other evidence showing that key custodians have provided acknowledgments in accordance with all elements specified in this requirement. 
Purpose:
This process will help ensure individuals that act as key custodians commit to the key-custodian role and understand and accept the responsibilities. An annual reaffirmation can help remind key custodians of their responsibilities. 

Further Information:
Industry guidance for key custodians and their roles and responsibilities includes: 
  • NIST SP 800-130 A Framework for Designing Cryptographic Key Management Systems [5. Roles and Responsibilities (especially) for Key Custodians] 
  • ISO 11568-1 Banking -- Key management (retail) -- Part 1: Principles [5 Principles of key management (especially b)] 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.7.2.2
A.7.2.2  Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности 
Мера обеспечения информационной безопасности: Все работники организации и при необходимости подрядчики должны быть надлежащим образом обучены, практически подготовлены и на регулярной основе осведомлены об обновлениях политик и процедур информационной безопасности организации, необходимых для выполнения их функциональных обязанностей 
A.6.1.1
A.6.1.1 Должностные функции и обязанности, связанные с информационной безопасностью 
Мера обеспечения информационной безопасности: Средства реализации: Должны быть определены и назначены все обязанности, связанные с информационной безопасностью
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 3.7.8
3.7.8
Определенные Требования к Подходу:
Политики и процедуры управления ключами внедрены таким образом, чтобы ответственные за хранение криптографических ключей официально подтверждали (в письменной или электронной форме), что они понимают и принимают свои обязанности по хранению ключей.

Цель Индивидуального подхода:
Хранители ключей осведомлены о своих обязанностях в отношении криптографических операций и при необходимости могут получить помощь и рекомендации.

Определенные Процедуры Тестирования Подхода:
  • 3.7.8.a Изучите документированные политики и процедуры управления ключами для ключей, используемых для защиты хранимых данных учетной записи, и убедитесь, что они определяют подтверждения для хранителей ключей в соответствии со всеми элементами, указанными в этом требовании.
  • 3.7.8.b Изучите документацию или другие доказательства, свидетельствующие о том, что хранители ключей предоставили подтверждения в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Этот процесс поможет гарантировать, что лица, выполняющие функции ключевых хранителей, будут выполнять роль ключевых хранителей, а также понимать и принимать ответственность. Ежегодное подтверждение может помочь напомнить ключевым хранителям об их обязанностях.

Дополнительная информация:
Отраслевые рекомендации для ключевых хранителей, а также их роли и обязанности включают:
  • NIST SP 800-130 Фреймворк для проектирования систем управления криптографическими ключами [5. Роли и обязанности (особенно) Ключевых хранителей]
  • ISO 11568-1 Банковское дело - Управление ключами (розничная торговля) - Часть 1: Принципы [5 Принципов управления ключами (особенно b)]
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.2
А.5.2 Роли и ответственность в области ИБ
В соответствии с потребностями организации должны быть определены и распределены роли и ответственность в области ИБ.
А.6.3
А.6.3 Осведомленность, образование и обучение в области ИБ
Персонал организации и релевантные заинтересованные стороны, соответственно их рабочим обязанностям, должны получать соответствующие информацию, повышение осведомленности, образование и обучение в области ИБ, а также регулярные обновления политики ИБ организации, специфических тематических политик и процедур.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИПО.4 ИПО.4 Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ИПО.4 ИПО.4 Контроль осведомленности персонала об угрозах безопасности информации и о правилах безопасной работы
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.6.3
А.6.3 Information security awareness, education and training
Personnel of the organization and relevant interested parties shall receive appropriate information security awareness, education and training and regular updates of the organization's information security policy, topic-specific policies and procedures, as relevant for their job function.
А.5.2
А.5.2 Information security roles and responsibilities
Information security roles and responsibilities shall be defined and allocated according to the organization needs.