Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям Framework № PCI DSS 4.0 от 01.... Requirement 7.2.4
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Framework № PCI DSS 4.0 от 01.03.2022

Payment Card Industry Data Security Standard (RU)

Requirement 7.2.4

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

CIS Critical Security Controls v8 (The 18 CIS CSC):
6.2
6.2 Establish an Access Revoking Process 
Establish and follow a process, preferably automated, for revoking access to enterprise assets, through disabling accounts immediately upon termination, rights revocation, or role change of a user. Disabling accounts, instead of deleting accounts, may be necessary to preserve audit trails. 
6.1
6.1 Establish an Access Granting Process 
Establish and follow a process, preferably automated, for granting access to enterprise assets upon new hire, rights grant, or role change of a user. 
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
УЗП.2
УЗП.2 Контроль соответствия фактического состава разблокированных учетных записей фактическому составу легальных субъектов логического доступа
3-О 2-О 1-Т
УЗП.1
УЗП.1 Осуществление логического доступа пользователями и эксплуатационным персоналом под уникальными и персонифицированными учетными записями
3-Т 2-Т 1-Т
УЗП.16
УЗП.16 Реализация контроля со стороны распорядителя логического доступа целесообразности дальнейшего предоставления прав логического доступа, не использованных субъектами на протяжении периода времени, указанного в мерах УЗП.14, УЗП.15 настоящей таблицы
3-О 2-О 1-О
УЗП.15
УЗП.15 Установление фактов неиспользования субъектами логического доступа предоставленных им прав на осуществление логического доступа на протяжении периода времени, превышающего 45 дней
3-Н 2-Н 1-Т
УЗП.З
УЗП.З Контроль отсутствия незаблокированных учетных записей:
  •  уволенных работников;
  •  работников, отсутствующих на рабочем месте более 90 календарных дней;
  •  работников внешних (подрядных) организаций, прекративших свою деятельность в организации
3-О 2-О 1-Т
УЗП.17
УЗП.17 Реализация возможности определения состава предоставленных прав логического доступа для конкретного ресурса доступа
3-О 2-Т 1-Т
УЗП.12
УЗП.12 Контроль необходимости отзыва прав субъектов логического доступа при изменении их должностных обязанностей
3-О 2-О 1-О
УЗП.4
УЗП.4 Контроль отсутствия незаблокированных учетных записей неопределенного целевого назначения
3-О 2-О 1-О
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
6.2
6.2 Реализован процесс отзыва прав доступа
Блокирование учетных записей используется вместо удаления, чтобы сохранить журналы аудита.
6.1
6.1 Реализован процесс предоставления доступа
Процесс запускается при приеме нового сотрудника, изменении должности или роли (желательно автоматически).
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 7.2.4
7.2.4
Defined Approach Requirements: 
All user accounts and related access privileges, including third-party/vendor accounts, are reviewed as follows:
  • At least once every six months.
  • To ensure user accounts and access remain appropriate based on job function.
  • Any inappropriate access is addressed.
  • Management acknowledges that access remains appropriate. 
Customized Approach Objective:
Account privilege assignments are verified periodically by management as correct, and nonconformities are remediated. 

Applicability Notes:
This requirement applies to all user accounts and related access privileges, including those used by personnel and third parties/vendors, and accounts used to access third-party cloud services. 
See Requirements 7.2.5 and 7.2.5.1 and 8.6.1 through 8.6.3 for controls for application and system accounts. 
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 

Defined Approach Testing Procedures:
  • 7.2.4.a Examine policies and procedures to verify they define processes to review all user accounts and related access privileges, including thirdparty/vendor accounts, in accordance with all elements specified in this requirement. 
  • 7.2.4.b Interview responsible personnel and examine documented results of periodic reviews of user accounts to verify that all the results are in accordance with all elements specified in this requirement. 
Purpose:
Regular review of access rights helps to detect excessive access rights remaining after user job responsibilities change, system functions change, or other modifications. If excessive user rights are not revoked in due time, they may be used by malicious users for unauthorized access. 
This review provides another opportunity to ensure that accounts for all terminated users have been removed (if any were missed at the time of termination), as well as to ensure that any third parties that no longer need access have had their access terminated. 

Good Practice:
When a user transfers into a new role or a new department, typically the privileges and access associated with their former role are no longer required. Continued access to privileges or functions that are no longer required may introduce the risk of misuse or errors. Therefore, when responsibilities change, processes that revalidate access help to ensure user access is appropriate for the user’s new responsibilities. 
Entities can consider implementing a regular, repeatable process for conducting reviews of access rights, and assigning “data owners” that are responsible for managing and monitoring access to data related to their job function and that also ensure user access remains current and appropriate. As an example, a direct manager could review team access monthly, while the senior manager reviews their groups’ access quarterly, both making updates to access as needed. The intent of these best practices is to support and facilitate conducting the reviews at least once every 6 months. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.9.2.5
A.9.2.5 Пересмотр прав доступа пользователей 
Мера обеспечения информационной безопасности: Владельцы активов должны регулярно пересматривать права доступа пользователей 
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
9.2.5
9.2.5 Пересмотр прав доступа пользователей

Мера обеспечения ИБ
Владельцы активов должны регулярно пересматривать права доступа пользователей.

Руководство по применению
При пересмотре прав доступа следует учитывать следующее:
  • a) права доступа пользователей следует пересматривать как через определенные интервалы времени, так и после любых изменений, таких как повышение или понижение в должности, или увольнение (раздел 7);
  • b) права доступа пользователя следует пересматривать и переназначать в случае изменения его роли в организации;
  • c) полномочия для привилегированных прав доступа следует пересматривать чаще;
  • d) назначенные привилегии необходимо регулярно проверять для обеспечения уверенности в том, что никто не получил привилегий несанкционированным образом;
  • e) изменения привилегированных учетных записей необходимо регистрировать для периодического анализа.

Дополнительная информация
Эта мера компенсирует возможные недостатки в выполнении мер обеспечения ИБ, приведенных в 9.2.1, 9.2.2, 9.2.6.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.