Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

NIST Cybersecurity Framework (EN)

Framework

PR.IP-5

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

NIST Cybersecurity Framework (RU):
PR.IP-5
PR.IP-5: Соблюдаются политика и положения физической безопасности для организационных активов 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.1.1
9.1.1
Defined Approach Requirements: 
All security policies and operational procedures that are identified in Requirement 9 are: 
  • Documented.
  • Kept up to date.
  • In use.
  • Known to all affected parties. 
Customized Approach Objective:
Expectations, controls, and oversight for meeting activities within Requirement 9 are defined and adhered to by affected personnel. All supporting activities are repeatable, consistently applied, and conform to management’s intent. 

Defined Approach Testing Procedures:
  • 9.1.1 Examine documentation and interview personnel to verify that security policies and operational procedures identified in Requirement 9 are managed in accordance with all elements specified in this requirement. 
Purpose:
Requirement 9.1.1 is about effectively managing and maintaining the various policies and procedures specified throughout Requirement 9. While it is important to define the specific policies or procedures called out in Requirement 9, it is equally important to ensure they are properly documented, maintained, and disseminated. 

Good Practice:
It is important to update policies and procedures as needed to address changes in processes, technologies, and business objectives. For this reason, consider updating these documents as soon as possible after a change occurs and not only on a periodic cycle. 

Definitions:
Security policies define the entity’s security objectives and principles. Operational procedures describe how to perform activities, and define the controls, methods, and processes that are followed to achieve the desired result in a consistent manner and in accordance with policy objectives. 
Policies and procedures, including updates, are actively communicated to all affected personnel, and are supported by operating procedures describing how to perform activities. 
Requirement 9.3.3
9.3.3
Defined Approach Requirements: 
Visitor badges or identification are surrendered or deactivated before visitors leave the facility or at the date of expiration. 

Customized Approach Objective:
Visitor identification or badges cannot be reused after expiration. 

Defined Approach Testing Procedures:
  • 9.3.3 Observe visitors leaving the facility and interview personnel to verify visitor badges or other identification are surrendered or deactivated before visitors leave the facility or at the date of expiration upon departure or expiration. 
Purpose:
Ensuring that visitor badges are returned or deactivated upon expiry or completion of the visit prevents malicious persons from using a previously authorized pass to gain physical access into the building after the visit has ended. 
Requirement 9.2.1
9.2.1
Defined Approach Requirements: 
Appropriate facility entry controls are in place to restrict physical access to systems in the CDE. 

Customized Approach Objective:
System components in the CDE cannot be physically accessed by unauthorized personnel. 

Defined Approach Testing Procedures:
  • 9.2.1 Observe entry controls and interview responsible personnel to verify that physical security controls are in place to restrict access to systems in the CDE. 
Purpose:
Without physical access controls, unauthorized persons could potentially gain access to the CDE and sensitive information, or could alter system configurations, introduce vulnerabilities into the network, or destroy or steal equipment. Therefore, the purpose of this requirement is that physical access to the CDE is controlled via physical security controls such as badge readers or other mechanisms such as lock and key. 

Good Practice:
Whichever mechanism meets this requirement, it must be sufficient for the organization to verify that only authorized personnel are granted access. 

Examples:
Facility entry controls include physical security controls at each computer room, data center, and other physical areas with systems in the CDE. It can also include badge readers or other devices that manage physical access controls, such as lock and key with a current list of all individuals holding the keys. 
Requirement 9.3.2
9.3.2
Defined Approach Requirements: 
Procedures are implemented for authorizing and managing visitor access to the CDE, including:
  • Visitors are authorized before entering.
  • Visitors are escorted at all times.
  • Visitors are clearly identified and given a badge or other identification that expires.
  • Visitor badges or other identification visibly distinguishes visitors from personnel. 
Customized Approach Objective:
Requirements for visitor access to the CDE are defined and enforced. Visitors cannot exceed any authorized physical access allowed while in the CDE. 

Defined Approach Testing Procedures:
  • 9.3.2.a Examine documented procedures and interview personnel to verify procedures are defined for authorizing and managing visitor access to the CDE in accordance with all elements specified in this requirement. 
  • 9.3.2.b Observe processes when visitors are present in the CDE and interview personnel to verify that visitors are: 
    • Authorized before entering the CDE.
    • Escorted at all times within the CDE. 
  • 9.3.2.c Observe the use of visitor badges or other identification to verify that the badge or other identification does not permit unescorted access to the CDE. 
  • 9.3.2.d Observe visitors in the CDE to verify that:
    • Visitor badges or other identification are being used for all visitors.
    • Visitor badges or identification easily distinguish visitors from personnel. 
  • 9.3.2.e Examine visitor badges or other identification and observe evidence in the badging system to verify visitor badges or other identification expires. 
Purpose:
Visitor controls are important to reduce the ability of unauthorized and malicious persons to gain access to facilities and potentially to cardholder data. 
Visitor controls ensure visitors are identifiable as visitors so personnel can monitor their activities, and that their access is restricted to just the duration of their legitimate visit. 
Requirement 9.3.4
9.3.4
Defined Approach Requirements: 
A visitor log is used to maintain a physical record of visitor activity within the facility and within sensitive areas, including:
  • The visitor’s name and the organization represented.
  • The date and time of the visit.
  • The name of the personnel authorizing physical access.
  • Retaining the log for at least three months, unless otherwise restricted by law. 
Customized Approach Objective:
 Records of visitor access that enable the identification of individuals are maintained. 

Defined Approach Testing Procedures:
  • 9.3.4.a Examine the visitor log and interview responsible personnel to verify that a visitor log is used to record physical access to the facility and sensitive areas. 
  • 9.3.4.b Examine the visitor log and verify that the log contains:
    • The visitor’s name and the organization represented.
    • The personnel authorizing physical access.
    • Date and time of visit. 
  • 9.3.4.c Examine visitor log storage locations and interview responsible personnel to verify that the log is retained for at least three months, unless otherwise restricted by law. 
Purpose:
A visitor log documenting minimum information about the visitor is easy and inexpensive to maintain. It will assist in identifying historical physical access to a building or room and potential access to cardholder data. 

Good Practice:
When logging the date and time of visit, including both in and out times is considered a best practice, since it provides helpful tracking information and provides assurance that a visitor has left at the end of the day. It is also good to verify that a visitor’s ID (driver’s license, etc.) matches the name they put on the visitor log. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.11.2.2
A.11.2.2 Вспомогательные услуги 
Мера обеспечения информационной безопасности: Оборудование должно быть защищено от сбоев электропитания и других сбоев, вызванных отказами в предоставлении вспомогательных услуг 
A.11.1.4
A.11.1.4 Защита от внешних угроз и угроз со стороны окружающей среды 
Мера обеспечения информационной безопасности: Должны быть разработаны и реализованы меры физической защиты от стихийных бедствий, злоумышленных атак или аварий 
A.11.2.1
A.11.2.1 Размещение и защита оборудования 
Мера обеспечения информационной безопасности: Оборудование должно быть размещено и защищено таким образом, чтобы снизить риски информационной безопасности от угроз и опасностей со стороны окружающей среды и возможности несанкционированного доступа 
A.11.2.3
A.11.2.3 Безопасность кабельной сети 
Мера обеспечения информационной безопасности: Кабели питания и телекоммуникационные кабели, используемые для передачи данных или для поддержки информационных сервисов, должны быть защищены от перехвата информации, помех или повреждения 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.2.1
9.2.1
Определенные Требования к Подходу:
Для ограничения физического доступа к системам в CDE предусмотрены соответствующие средства контроля доступа на объекты.

Цель Индивидуального подхода:
Компоненты системы в CDE не могут быть физически доступны неавторизованному персоналу.

Определенные Процедуры Тестирования Подхода:
  • 9.2.1 Соблюдайте контроль входа и опросите ответственный персонал, чтобы убедиться, что существуют средства физической безопасности для ограничения доступа к системам в CDE.
Цель:
Без контроля физического доступа неавторизованные лица потенциально могут получить доступ к CDE и конфиденциальной информации или могут изменить конфигурацию системы, внедрить уязвимости в сеть или уничтожить или украсть оборудование. Следовательно, цель этого требования состоит в том, чтобы физический доступ к CDE контролировался с помощью средств физической безопасности, таких как считыватели бейджей или другие механизмы, такие как замок и ключ.

Надлежащая практика:
Какой бы механизм ни отвечал этому требованию, организации должно быть достаточно убедиться в том, что доступ предоставляется только авторизованному персоналу.

Примеры:
Средства контроля доступа на объект включают средства контроля физической безопасности в каждом компьютерном зале, центре обработки данных и других физических зонах с системами в CDE. Он также может включать считыватели бейджей или другие устройства, которые управляют физическими средствами контроля доступа, такими как замок и ключ, с текущим списком всех лиц, владеющих ключами.
Requirement 9.3.3
9.3.3
Определенные Требования к Подходу:
Бейджи или удостоверения личности посетителей сдаются или деактивируются до того, как посетители покидают заведение, или в день истечения срока их действия.

Цель Индивидуального подхода:
Удостоверение личности посетителя или бейджи не могут быть использованы повторно по истечении срока действия.

Определенные Процедуры Тестирования Подхода:
  • 9.3.3 Наблюдать за посетителями, покидающими заведение, и опрашивать персонал, чтобы убедиться, что бейджи посетителей или другие удостоверения личности сданы или деактивированы до того, как посетители покинут заведение, или в день истечения срока действия при выезде или истечении срока действия.
Цель:
Обеспечение возврата или деактивации бейджей посетителей по истечении срока действия или завершения посещения не позволяет злоумышленникам использовать ранее авторизованный пропуск для получения физического доступа в здание после завершения посещения.
Requirement 9.3.4
9.3.4
Определенные Требования к Подходу:
Журнал посещений используется для ведения физического учета активности посетителей на объекте и в критичных зонах, включая:
  • Имя посетителя и представляемая организация.
  • Дата и время посещения.
  • Имя персонала, разрешающего физический доступ.
  • Хранение журнала не менее трех месяцев, если иное не запрещено законом.
Цель Индивидуального подхода:
Ведутся записи о доступе посетителей, которые позволяют идентифицировать отдельных лиц.

Определенные Процедуры Тестирования Подхода:
  • 9.3.4.a Изучите журнал посещений и опросите ответственный персонал, чтобы убедиться, что журнал посещений используется для записи физического доступа к объекту и критичным зонам.
  • 9.3.4.b Изучите журнал посещений и убедитесь, что журнал содержит:
    • Имя посетителя и представляемая организация.
    • Персонал, разрешающий физический доступ.
    • Дата и время посещения.
  • 9.3.4.c Осмотрите места хранения журнала посещений и опросите ответственный персонал, чтобы убедиться, что журнал хранится не менее трех месяцев, если иное не запрещено законом.
Цель:
Журнал посещений, документирующий минимальную информацию о посетителе, прост и недорог в обслуживании. Это поможет определить исторический физический доступ к зданию или помещению и потенциальный доступ к данным о держателях карт.

Надлежащая практика:
При регистрации даты и времени посещения, включая время входа и выхода, считается наилучшей практикой, поскольку это предоставляет полезную информацию для отслеживания и гарантирует, что посетитель ушел в конце дня. Также полезно убедиться, что идентификационный номер посетителя (водительские права и т.д.) Совпадает с именем, которое он внес в журнал посетителей.
Requirement 9.3.2
9.3.2
Определенные Требования к Подходу:
Внедрены процедуры авторизации и управления доступом посетителей к CDE, включая:
  • Посетители проходят авторизацию перед входом.
  • Посетителей постоянно сопровождают.
  • Посетители четко идентифицируются и получают бейдж или другое удостоверение личности, срок действия которого истекает.
  • Бейджи посетителей или другие удостоверения личности заметно отличают посетителей от персонала.
Цель Индивидуального подхода:
Требования к доступу посетителей к CDE определены и соблюдаются. Посетители не могут превышать любой разрешенный физический доступ, разрешенный во время пребывания в CDE.

Определенные Процедуры Тестирования Подхода:
  • 9.3.2.a Изучить документированные процедуры и опросить персонал, чтобы убедиться, что процедуры определены для авторизации и управления доступом посетителей к CDE в соответствии со всеми элементами, указанными в этом требовании.
  • 9.3.2.b Наблюдайте за процессами, когда посетители присутствуют в CDE, и опрашивайте персонал, чтобы убедиться, что посетители:
    • Авторизованы перед входом в CDE.
    • Сопровождаемый в любое время в пределах CDE.
  • 9.3.2.c Наблюдайте за использованием бейджей для посетителей или других идентификационных данных, чтобы убедиться, что бейдж или другое удостоверение личности не допускают доступа в CDE без сопровождения.
  • 9.3.2.d Наблюдать за посетителями в CDE, чтобы убедиться, что:
    • Бейджи посетителей или другие удостоверения личности используются для всех посетителей.
    • Бейджи или удостоверения личности посетителей легко отличают посетителей от персонала.
  • 9.3.2.e Проверяйте бейджи посетителей или другие идентификационные данные и наблюдайте за доказательствами в системе бейджинга, чтобы проверить срок действия бейджей посетителей или других идентификационных данных.
Цель:
Контроль за посетителями важен для уменьшения возможностей несанкционированных и злонамеренных лиц получить доступ к объектам и, возможно, к данным о держателях карт.
Контроль посетителей гарантирует, что посетители идентифицируются как посетители, чтобы персонал мог отслеживать их действия, и что их доступ ограничен только продолжительностью их законного посещения.
Requirement 9.1.1
9.1.1
Определенные Требования к Подходу:
Все политики безопасности и операционные процедуры, указанные в Требовании 9:
  • Документированы.
  • Актуальны.
  • Используются. 
  • Известны всем затронутым сторонам.
Цель Индивидуального подхода:
Ожидания, средства контроля и надзор за выполнением мероприятий в рамках Требования 9 определяются и соблюдаются соответствующим персоналом. Все вспомогательные действия повторяемы, последовательно применяются и соответствуют намерениям руководства.

Определенные Процедуры Тестирования Подхода:
  • 9.1.1 Изучите документацию и опросите персонал, чтобы убедиться, что политика безопасности и операционные процедуры, указанные в Требовании 9, управляются в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Требование 9.1.1 касается эффективного управления и поддержания различных политик и процедур, указанных в Требовании 9. Хотя важно определить конкретные политики или процедуры, указанные в Требовании 9, не менее важно обеспечить их надлежащее документирование, поддержание и распространение.

Надлежащая практика:
Важно обновлять политику и процедуры по мере необходимости для учета изменений в процессах, технологиях и бизнес-целях. По этой причине рассмотрите возможность обновления этих документов как можно скорее после внесения изменений, а не только в периодическом цикле.

Определения:
Политики безопасности определяют цели и принципы обеспечения безопасности организации. Операционные процедуры описывают, как выполнять действия, и определяют средства контроля, методы и процессы, которые применяются для достижения желаемого результата последовательным образом и в соответствии с целями политики.
Политики и процедуры, включая обновления, активно доводятся до сведения всего затронутого персонала и поддерживаются операционными процедурами, описывающими, как выполнять действия.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗТС.3 ЗТС.3 Управление физическим доступом
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗТС.3 ЗТС.3 Управление физическим доступом

Связанные защитные меры

3
Ничего не найдено