Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

NIST Cybersecurity Framework (EN)

Framework

PR.IP-11

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

CIS Critical Security Controls v8 (The 18 CIS CSC):
6.2
6.2 Establish an Access Revoking Process 
Establish and follow a process, preferably automated, for revoking access to enterprise assets, through disabling accounts immediately upon termination, rights revocation, or role change of a user. Disabling accounts, instead of deleting accounts, may be necessary to preserve audit trails. 
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 10 п. 2
 10.2 Постоянное улучшение
Организация должна постоянно улучшать пригодность, адекватность и результативность СМНД на основе качественных и количественных показателей. Организация должна рассмотреть результаты анализа и оценки, а также результаты анализа со стороны руководства, чтобы определить потребности или возможности, связанные с работой организации в целом или с СМНД, которые следует использовать для постоянного улучшения.

Примечание — Организация может использовать процессы СМНД. такие как лидерство руководства, плакирование и оценка результативности для достижения улучшения. 
NIST Cybersecurity Framework (RU):
PR.IP-11
PR.IP-11: Кибербезопасность включена в практику работы с персоналом (например, ограничение доступа, проверка персонала) 
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
УПД.5 УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
РВН.1
РВН.1 Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска внутреннего нарушителя, применяемых в отношении работников финансовой организации, деятельность которых может оказать влияние на риск реализации информационных угроз:
  • при приеме на работу кандидатов на замещение должностей в финансовой организации;
  • в рамках исполнения работниками своих должностных обязанностей;
  • в случае прекращения трудовых отношений или изменения должностных обязанностей работников.
РВН.2.2
РВН.2.2 Выявление факторов, являющихся побудительными или стимулирующими к использованию кандидатом предоставленных полномочий для реализации информационных угроз.
РВН.2.4
РВН.2.4 Рассмотрение рекомендаций предыдущих работодателей, в случае необходимости.
РВН.2.3
РВН.2.3 Проверку подлинности предоставленных кандидатом документов, заявленного уровня квалификации, точности и полноты предоставленных данных.
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
6.2
6.2 Реализован процесс отзыва прав доступа
Блокирование учетных записей используется вместо удаления, чтобы сохранить журналы аудита.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.7.1
12.7.1
Defined Approach Requirements: 
Potential personnel who will have access to the CDE are screened, within the constraints of local laws, prior to hire to minimize the risk of attacks from internal sources. 

Customized Approach Objective:
The risk related to allowing new members of staff access to the CDE is understood and managed. 

Applicability Notes:
For those potential personnel to be hired for positions such as store cashiers, who only have access to one card number at a time when facilitating a transaction, this requirement is a recommendation only. 

Defined Approach Testing Procedures:
  • 12.7.1 Interview responsible Human Resource department management to verify that screening is conducted, within the constraints of local laws, prior to hiring potential personnel who will have access to the CDE. 
Purpose:
Performing thorough screening prior to hiring potential personnel who are expected to be given access to the CDE provides entities with the information necessary to make informed risk decisions regarding personnel they hire that will have access to the CDE. 
Other benefits of screening potential personnel include helping to ensure workplace safety and confirming information provided by prospective employees on their resumes. 

Good Practice:
Entities should consider screening for existing personnel anytime they transfer into roles where they have access to the CDE from roles where they did not have this access. 
To be effective, the level of screening should be appropriate for the position. For example, positions requiring greater responsibility or that have administrative access to critical data or systems may warrant more detailed or more frequent screening than positions with less responsibility and access. 

Examples:
Screening options can include, as appropriate for the entity’s region, previous employment history, review of public information/social media resources, criminal record, credit history, and reference checks. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.7.3.1
A.7.3.1  Прекращение или изменение трудовых обязанностей 
Мера обеспечения информационной безопасности: Ответственность и обязанности, относящиеся к информационной безопасности, которые сохраняются после увольнения или смены места работы, должны быть определены, доведены до сведения работника или подрядчика и оформлены юридически 
A.7.2.1
A.7.2.1  Обязанности руководства организации 
Мера обеспечения информационной безопасности: Руководство организации должно требовать от всех работников и подрядчиков соблюдения информационной безопасности в соответствии с установленными в организации политиками и процедурами 
A.7.1.1
A.7.1.1  Проверка 
Мера обеспечения информационной безопасности: Проверку всех кандидатов при приеме на работу следует осуществлять согласно соответствующим законам, правилам и этическим нормам. Проверка должна быть соразмерна требованиям бизнеса, категории информации, которая будет доступна, и предполагаемым рискам информационной безопасности 
A.7.1.2
A.7.1.2  Правила и условия работы
Мера обеспечения информационной безопасности: В договорных соглашениях с работниками и подрядчиками должны быть установлены их обязанности и обязанности организации по обеспечению информационной безопасности 
A.7.2.2
A.7.2.2  Осведомленность, обучение и практическая подготовка (тренинги) в области информационной безопасности 
Мера обеспечения информационной безопасности: Все работники организации и при необходимости подрядчики должны быть надлежащим образом обучены, практически подготовлены и на регулярной основе осведомлены об обновлениях политик и процедур информационной безопасности организации, необходимых для выполнения их функциональных обязанностей 
A.8.1.4
A.8.1.4  Возврат активов 
Мера обеспечения информационной безопасности: Все работники и внешние пользователи должны возвратить все активы организации, находящиеся в их пользовании, после увольнения, истечения срока действия договора или соглашения 
A.7.2.3
A.7.2.3  Дисциплинарный процесс 
Мера обеспечения информационной безопасности: Должен существовать формализованный и доведенный до персонала дисциплинарный процесс по принятию мер в отношении работников, совершивших нарушение информационной безопасности 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 16.7 CSC 16.7 Establish Process for Revoking Access
Establish and follow an automated process for revoking system access by disabling accounts immediately upon termination or change of responsibilities of an employee or contractor . Disabling these accounts, instead of deleting accounts, allows preservation of audit trails.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.7.1
12.7.1
Определенные Требования к Подходу:
Потенциальный персонал, который будет иметь доступ к CDE, проходит проверку в рамках ограничений местного законодательства перед наймом, чтобы свести к минимуму риск атак из внутренних источников.

Цель Индивидуального подхода:
Риск, связанный с предоставлением новым сотрудникам доступа к CDE, осознается и управляется.

Примечания по применению:
Для тех потенциальных сотрудников, которые будут наняты на такие должности, как кассиры магазинов, которые имеют доступ только к одному номеру карты одновременно при проведении транзакции, это требование является только рекомендацией.

Определенные Процедуры Тестирования Подхода:
  • 12.7.1 Перед наймом потенциального персонала, который будет иметь доступ к CDE, проведите собеседование с ответственным руководством отдела кадров, чтобы убедиться, что проверка проводится в рамках ограничений местного законодательства.
Цель:
Проведение тщательной проверки перед наймом потенциального персонала, которому, как ожидается, будет предоставлен доступ к CDE, предоставляет организациям информацию, необходимую для принятия обоснованных решений о рисках в отношении персонала, которого они нанимают, который будет иметь доступ к CDE.
Другие преимущества отбора потенциальных сотрудников включают помощь в обеспечении безопасности на рабочем месте и подтверждение информации, предоставленной потенциальными сотрудниками в их резюме.

Надлежащая практика:
Организациям следует рассмотреть возможность проверки существующего персонала в любое время, когда они переходят на роли, где у них есть доступ к CDE, с ролей, где у них не было такого доступа.
Чтобы быть эффективным, уровень отбора должен соответствовать занимаемой должности. Например, должности, требующие большей ответственности или имеющие административный доступ к критически важным данным или системам, могут требовать более детальной или более частой проверки, чем должности с меньшей ответственностью и доступом.

Примеры:
Варианты проверки могут включать, в зависимости от региона организации, предыдущую историю работы, просмотр общедоступной информации / ресурсов социальных сетей, судимость, кредитную историю и проверку рекомендаций.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
УПД.5 УПД.5 Назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование информационной системы
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.6.5
А.6.5 Ответственность после увольнения или изменения участка работы
Обязанности и ответственность в области ИБ, которые остаются в силе после увольнения или изменения участка работы, должны быть определены, обеспечено их выполнение, а также доведены до соответствующего персонала и иных заинтересованных сторон.
А.6.1
А.6.1 Проверка
До приема на работу в организацию и на постоянной основе в отношении всех кандидатов на должность в организации должны проводиться проверки достоверности сведений об их прошлом; такие проверки должны проводиться с учетом применимых требований законодательства, нормативных документов и этических норм, а также должны соответствовать бизнес-требованиям, категории информации, к которой необходимо получить доступ, а также осознаваемым рискам.
А.6.2
А.6.2 Сроки и условия найма
Трудовые договоры должны включать и устанавливать обязанности персонала и организации по обеспечению ИБ.
SWIFT Customer Security Controls Framework v2022:
5 - 5.3A Staff Screening Process
5.3A Staff Screening Process
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
УПД.5 УПД.5 Назначение минимально необходимых прав и привилегий
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
УПД.5 УПД.5 Назначение минимально необходимых прав и привилегий
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.6.5
А.6.5 Responsibilities after termination or change of employment
Information security responsibilities and duties that remain valid after termination or change of employment shall be defined, enforced and communicated to relevant personnel and other interested parties.
А.6.1
А.6.1 Screening
Background verification checks on all candidates to become personnel shall be carried out prior to joining the organization and on an ongoing basis taking into consideration applicable laws, regulations and ethics and be proportional to the business requirements, the classification of the information to be accessed and the perceived risks.
А.6.2
А.6.2 Terms and conditions of employment
The employment contractual agreements shall state the personnel’s and the organization’s responsibilities for information security.

Связанные защитные меры

Ничего не найдено