Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard (RU)
Requirement 7.2.5.1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
УЗП.2
УЗП.2 Контроль соответствия фактического состава разблокированных учетных записей фактическому составу легальных субъектов логического доступа
3-О 2-О 1-Т
3-О 2-О 1-Т
УЗП.16
УЗП.16 Реализация контроля со стороны распорядителя логического доступа целесообразности дальнейшего предоставления прав логического доступа, не использованных субъектами на протяжении периода времени, указанного в мерах УЗП.14, УЗП.15 настоящей таблицы
3-О 2-О 1-О
3-О 2-О 1-О
УЗП.17
УЗП.17 Реализация возможности определения состава предоставленных прав логического доступа для конкретного ресурса доступа
3-О 2-Т 1-Т
3-О 2-Т 1-Т
УЗП.4
УЗП.4 Контроль отсутствия незаблокированных учетных записей неопределенного целевого назначения
3-О 2-О 1-О
3-О 2-О 1-О
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 7.2.5.1
7.2.5.1
Defined Approach Requirements:
All access by application and system accounts and related access privileges are reviewed as follows:
Defined Approach Requirements:
All access by application and system accounts and related access privileges are reviewed as follows:
- Periodically (at the frequency defined in the entity’s targeted risk analysis, which is performed according to all elements specified in Requirement 12.3.1).
- The application/system access remains appropriate for the function being performed.
- Any inappropriate access is addressed.
- Management acknowledges that access remains appropriate.
Customized Approach Objective:
Application and system account privilege assignments are verified periodically by management as correct, and nonconformities are remediated.
Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment.
Defined Approach Testing Procedures:
Application and system account privilege assignments are verified periodically by management as correct, and nonconformities are remediated.
Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment.
Defined Approach Testing Procedures:
- 7.2.5.1.a Examine policies and procedures to verify they define processes to review all application and system accounts and related access privileges in accordance with all elements specified in this requirement.
- 7.2.5.1.b Examine the entity’s targeted risk analysis for the frequency of periodic reviews of application and system accounts and related access privileges to verify the risk analysis was performed in accordance with all elements specified in Requirement 12.3.1.
- 7.2.5.1.c Interview responsible personnel and examine documented results of periodic reviews of system and application accounts and related privileges to verify that the reviews occur in accordance with all elements specified in this requirement.
Purpose:
Regular review of access rights helps to detect excessive access rights remaining after system functions change, or other application or system modifications occur. If excessive rights are not removed when no longer needed, they may be used by malicious users for unauthorized access.
Regular review of access rights helps to detect excessive access rights remaining after system functions change, or other application or system modifications occur. If excessive rights are not removed when no longer needed, they may be used by malicious users for unauthorized access.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.9.2.5
A.9.2.5 Пересмотр прав доступа пользователей
Мера обеспечения информационной безопасности: Владельцы активов должны регулярно пересматривать права доступа пользователей
Мера обеспечения информационной безопасности: Владельцы активов должны регулярно пересматривать права доступа пользователей
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
9.2.5
9.2.5 Пересмотр прав доступа пользователей
Мера обеспечения ИБ
Владельцы активов должны регулярно пересматривать права доступа пользователей.
Руководство по применению
При пересмотре прав доступа следует учитывать следующее:
- a) права доступа пользователей следует пересматривать как через определенные интервалы времени, так и после любых изменений, таких как повышение или понижение в должности, или увольнение (раздел 7);
- b) права доступа пользователя следует пересматривать и переназначать в случае изменения его роли в организации;
- c) полномочия для привилегированных прав доступа следует пересматривать чаще;
- d) назначенные привилегии необходимо регулярно проверять для обеспечения уверенности в том, что никто не получил привилегий несанкционированным образом;
- e) изменения привилегированных учетных записей необходимо регистрировать для периодического анализа.
Дополнительная информация
Эта мера компенсирует возможные недостатки в выполнении мер обеспечения ИБ, приведенных в 9.2.1, 9.2.2, 9.2.6.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.