Требование 7: Ограничить доступ к Системным компонентам и Данным о держателях карт служебной необходимостью

Обзор:
Неавторизованные лица могут получить доступ к критически важным данным или системам из-за неэффективных правил и определений контроля доступа. Чтобы гарантировать, что доступ к критически важным данным может получить только уполномоченный персонал, должны быть созданы системы и процессы для ограничения доступа на основе необходимости знать и в соответствии с должностными обязанностями.
“Доступ” или “права доступа” создаются правилами, которые предоставляют пользователям доступ к системам, приложениям и данным, в то время как “привилегии” позволяют пользователю выполнять определенное действие или функцию в отношении этой системы, приложения или данных. Например, пользователь может иметь права доступа к определенным данным, но может ли он только читать эти данные или может также изменять или удалять данные, определяется назначенными привилегиями пользователя.
”Необходимость знать" относится к предоставлению доступа только к наименьшему объему данных, необходимых для выполнения задания.
“Наименьшие привилегии” означает предоставление только минимального уровня привилегий, необходимых для выполнения задания.
Эти требования применяются к учетным записям пользователей и доступу для сотрудников, подрядчиков, консультантов, а также внутренних и внешних поставщиков и других третьих сторон (например, для предоставления услуг поддержки или технического обслуживания). Определенные требования также применяются к учетным записям приложений и систем, используемым организацией (также называемым “учетными записями служб”).