Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard (RU)
Requirement 7.3.1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 4 п.п. 13
7.4.13. В организации БС РФ должны применяться меры, направленные на обеспечение защиты от НСД, повреждения или нарушения целостности данных о действиях и операциях, а также меры по защите информации, необходимой для идентификации, аутентификации и (или) авторизации клиентов и работников организации БС РФ. Все попытки НСД к такой информации должны регистрироваться. Доступ к данным о действиях и операциях предоставляется только с целью выполнения служебных обязанностей.
При увольнении или изменении должностных обязанностей работников организации БС РФ, имевших доступ к указанным данным, необходимо выполнить регламентированные процедуры соответствующего пересмотра прав доступа.
При увольнении или изменении должностных обязанностей работников организации БС РФ, имевших доступ к указанным данным, необходимо выполнить регламентированные процедуры соответствующего пересмотра прав доступа.
Р. 7 п. 6 п.п. 7
7.6.7. Все операции клиентов в течение всего сеанса работы с системами дистанционного банковского обслуживания, в том числе операции по переводу денежных средств, должны выполняться только после выполнения процедур идентификации, аутентификации и авторизации. В случаях нарушения или разрыва соединения необходимо обеспечить закрытие текущей сессии и повторное выполнение процедур идентификации, аутентификации и авторизации.
Для доступа пользователей к системам дистанционного банковского обслуживания рекомендуется использовать специализированное клиентское программное обеспечение.
Для доступа пользователей к системам дистанционного банковского обслуживания рекомендуется использовать специализированное клиентское программное обеспечение.
CIS Critical Security Controls v8 (The 18 CIS CSC):
12.5
12.5 Centralize Network Authentication, Authorization, and Auditing (AAA)
Centralize network AAA.
Centralize network AAA.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ЗУД.2
ЗУД.2 Аутентификация мобильных (переносных) устройств удаленного доступа
3-Т 2-Т 1-Т
3-Т 2-Т 1-Т
РД.7
РД.7 Аутентификация АРМ пользователей, используемых для осуществления логического доступа
3-Н 2-Н 1-Т
3-Н 2-Н 1-Т
РД.5
РД.5 Аутентификация программных сервисов, осуществляющих логический доступ с использованием технических учетных записей
3-Т 2-Т 1-Т
3-Т 2-Т 1-Т
РД.1
РД.1 Идентификация и однофакторная аутентификация пользователей
3-Т 2-Т 1-Н
3-Т 2-Т 1-Н
РД.6
РД.6 Аутентификация АРМ эксплуатационного персонала, используемых для осуществления логического доступа
3-Н 2-Т 1-Т
3-Н 2-Т 1-Т
РД.2
РД.2 Идентификация и многофакторная аутентификация пользователей
3-Н 2-Н 1-Т
3-Н 2-Н 1-Т
РД.4
РД.4 Идентификация и многофакторная аутентификация эксплуатационного персонала
3-Н 2-Т 1-Т
3-Н 2-Т 1-Т
РД.3
РД.3 Идентификация и однофакторная аутентификация эксплуатационного персонала
3-Т 2-Н 1-Н
3-Т 2-Н 1-Н
ЗУД.5
ЗУД.5 Идентификация, двухфакторная аутентификация и авторизация субъектов доступа после установления защищенного сетевого взаимодействия, выполнения аутентификации, предусмотренной мерами ЗУД.2 и ЗУД.4.
3-Т 2-Т 1-Т
3-Т 2-Т 1-Т
ЗСВ.5
ЗСВ.5 Идентификация и аутентификация пользователей серверными компонентами виртуализации и (или) средствами централизованных сервисов аутентификации при предоставлении доступа к виртуальным машинам
3-Т 2-Т 1-Т
3-Т 2-Т 1-Т
NIST Cybersecurity Framework (RU):
PR.AC-7
PR.AC-7: Пользователи, устройства и другие активы проходят аутентификацию (например, однофакторную, многофакторную), соизмеримую с риском транзакции (например, рисками безопасности и конфиденциальности отдельных лиц и другими организационными рисками)
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ИАФ.6
ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)
ЗСВ.1
ЗСВ.1 Идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации
ИАФ.1
ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора
ИАФ.2
ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
12.5
12.5 Реализована централизованная аутентификация, авторизация и аудит/контроль (AAA) на уровне сети
Внедрить централизованную сетевую аутентификацию, авторизацию и аудит (AAA)
Внедрить централизованную сетевую аутентификацию, авторизацию и аудит (AAA)
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 7.3.1
7.3.1
Defined Approach Requirements:
An access control system(s) is in place that restricts access based on a user’s need to know and covers all system components.
Customized Approach Objective:
Access rights and privileges are managed via mechanisms intended for that purpose.
Defined Approach Testing Procedures:
Defined Approach Requirements:
An access control system(s) is in place that restricts access based on a user’s need to know and covers all system components.
Customized Approach Objective:
Access rights and privileges are managed via mechanisms intended for that purpose.
Defined Approach Testing Procedures:
- 7.3.1 Examine vendor documentation and system settings to verify that access is managed for each system component via an access control system(s) that restricts access based on a user’s need to know and covers all system components.
Purpose:
Without a mechanism to restrict access based on user’s need to know, a user may unknowingly be granted access to cardholder data. Access control systems automate the process of restricting access and assigning privileges.
Without a mechanism to restrict access based on user’s need to know, a user may unknowingly be granted access to cardholder data. Access control systems automate the process of restricting access and assigning privileges.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.9.3.1
A.9.3.1 Использование секретной аутентификационной информации
Мера обеспечения информационной безопасности: При использовании секретной аутентификационной информации пользователи должны выполнять установленные в организации правила
Мера обеспечения информационной безопасности: При использовании секретной аутентификационной информации пользователи должны выполнять установленные в организации правила
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 16.3
CSC 16.3 Require Multi-Factor Authentication
Require multi-factor authentication for all user accounts, on all systems, whether managed on-site or by a third-party provider.
Require multi-factor authentication for all user accounts, on all systems, whether managed on-site or by a third-party provider.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ИАФ.1
ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора
ИАФ.2
ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных
Strategies to Mitigate Cyber Security Incidents (EN):
2.3.
Multi-factor authentication including for VPNs, RDP, SSH and other remote access, and for all users when they perform a privileged action or access an important (sensitive/high-availability) data repository.
Relative Security Effectiveness: Essential | Potential User Resistance: Medium | Upfront Cost: High | Ongoing Maintenance Cost: Medium
Relative Security Effectiveness: Essential | Potential User Resistance: Medium | Upfront Cost: High | Ongoing Maintenance Cost: Medium
SWIFT Customer Security Controls Framework v2022:
4 - 4.2 Multi-Factor Authentication
4.2 Multi-Factor Authentication
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИАФ.1
ИАФ.1 Идентификация и аутентификация пользователей и инициируемых ими процессов
ИАФ.2
ИАФ.2 Идентификация и аутентификация устройств
NIST Cybersecurity Framework (EN):
PR.AC-7
PR.AC-7: Users, devices, and other assets are authenticated (e.g., single-factor, multi-factor) commensurate with the risk of the transaction (e.g., individuals’ security and privacy risks and other organizational risks)
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ИАФ.6
ИАФ.6 Двусторонняя аутентификация
ИАФ.5
ИАФ.5 Идентификация и аутентификация внешних пользователей
ИАФ.1
ИАФ.1 Идентификация и аутентификация пользователей и инициируемых ими процессов
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
9.3.1
9.3.1 Использование секретной аутентификационной информации
Мера обеспечения ИБ
При использовании секретной аутентификационной информации пользователи должны выполнять установленные в организации правила.
Руководство по применению
Всем пользователям должно быть рекомендовано:
- a) хранить секретную аутентификационную информацию в тайне, гарантируя, что она не будет разглашена никакой другой стороне, в том числе представителям органов власти;
- b) избегать хранения записей секретной аутентификационной информации (например на бумаге, в файле программного обеспечения или на мобильном устройстве), кроме тех случаев, когда эти записи могут быть надежно сохранены, а способ хранения одобрен (например хранилище паролей);
- c) изменять секретную аутентификационную информацию всякий раз, когда есть какие-либо признаки ее возможной компрометации;
- d) когда в качестве секретной аутентификационной информации используются пароли, необходимо выбирать стойкие пароли с достаточной минимальной длиной, которые:
- легко запомнить;
- не основаны на том, о чем кто-либо другой может легко догадаться или вычислить на основе личной информации, например имена, номера телефонов и даты рождения и т.д.;
- неуязвимы к атакам по словарю (т.е. не состоят из слов, включенных в словари);
- не содержат последовательности идентичных символов, не являются полностью цифровыми или буквенными;
- если являются временными, изменяются при первом входе в систему;
- не делятся секретной аутентификационной информацией;
- помогают обеспечить надлежащую защиту в тех случаях, когда пароли используются в качестве секретной аутентификационной информации в процедурах автоматического входа и хранятся в системе;
- e) не используют одну и ту же секретную аутентификационную информацию для деловых и частных целей.
Дополнительная информация
Применение технологии единого входа (англ. Single Sign-On, SSO) или других инструментов управления секретной аутентификационной информацией уменьшает объем секретной аутентификационной информации, которую пользователи должны защищать, и, таким образом, может повысить эффективность этой меры обеспечения ИБ. Однако эти инструменты также могут увеличить последствия от раскрытия секретной аутентификационной информации.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.