Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям Framework № PCI DSS 4.0 от 01.... Requirement 2.3.2
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Framework № PCI DSS 4.0 от 01.03.2022

Payment Card Industry Data Security Standard (RU)

Requirement 2.3.2

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 7 п.п. 10
7.7.10. Порядок применения СКЗИ определяется руководством организации БС РФ на основании указанных выше в данном разделе документов и должен включать:
  • порядок ввода в действие, включая процедуры встраивания СКЗИ в АБС;
  • порядок эксплуатации;
  • порядок восстановления работоспособности в аварийных случаях;
  • порядок внесения изменений;
  • порядок снятия с эксплуатации;
  • порядок управления ключевой системой;
  • порядок обращения с носителями ключевой информации, включая действия при смене и компрометации ключей.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
РД.29
РД.29 Смена аутентификационных данных в случае их компрометации
3-О 2-О 1-О
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ИАФ.4 ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 2.3.2
2.3.2
Defined Approach Requirements: 
For wireless environments connected to the CDE or transmitting account data, wireless encryption keys are changed as follows: 
  • Whenever personnel with knowledge of the key leave the company or the role for which the knowledge was necessary.
  • Whenever a key is suspected of or known to be compromised. 
Customized Approach Objective:
Knowledge of wireless encryption keys cannot allow unauthorized access to wireless networks. 

Defined Approach Testing Procedures:
  • 2.3.2 Interview responsible personnel and examine key-management documentation to verify that wireless encryption keys are changed in accordance with all elements specified in this requirement 
Purpose:
Changing wireless encryption keys whenever someone with knowledge of the key leaves the organization or moves to a role that no longer requires knowledge of the key, helps keep knowledge of keys limited to only those with a business need to know. 
Also, changing wireless encryption keys whenever a key is suspected or known to be comprised makes a wireless network more resistant to compromise. 

Good Practice:
This goal can be accomplished in multiple ways, including periodic changes of keys, changing keys via a defined “joiners-movers-leavers” (JML) process, implementing additional technical controls, and not using fixed pre-shared keys. 
In addition, any keys that are known to be, or suspected of being, compromised should be managed in accordance with the entity’s incident response plan at Requirement 12.10.1. 
Guideline for a healthy information system v.2.0 (EN):
6 STANDARD
/STANDARD
The staff of an organization, whether public or private, is constantly changing : arrivals, departures, internal mobility. Therefore it is necessary to update the rights and accesses to the information system in accordance with these developments. It is essential that all of the rights granted to an individual are revoked when he or she leaves or changes position. The arrival and departure procedures must therefore be defined, in accordance with the human resources department. They must, as a minimum, take into account:
  • the creation and deletion of IT accounts and their corresponding mailboxes;
  • the rights and accesses to grant to, or remove from, an individual whose role changes;
  • the management of physical accesses to premises (granting and return of badges and keys, etc.);
  • the allocation of mobile devices (laptops, USB sticks, hard drives, smartphone, etc.);
  • the management of sensitive documents and information (transferring passwords, changing passwords or codes in existing systems). 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.9.2.6
A.9.2.6 Аннулирование или корректировка прав доступа 
Мера обеспечения информационной безопасности: Права доступа всех работников и внешних пользователей к информации и средствам ее обработки должны быть аннулированы (после их увольнения, истечения срока действия договора или соглашения) либо скорректированы в случае необходимости 
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ИАФ.4 ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
FDA 21 CFR part 11 (RU):
Sec. 11.300 p. 1 sp. c
(c) Соблюдение процедур управления: деавторизации утерянных, украденных, пропавших или иным образом потенциально скомпрометированных токенов, карт и других устройств, которые несут или генерируют идентификационный код или пароль, а также для временной или постоянной замены с использованием подходящих и строгих мер контроля.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.