Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard (RU)
Requirement 8.3.5
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
РД.25
РД.25 Обеспечение возможности самостоятельной смены субъектами логического доступа своих паролей
3-Т 2-Т 1-Т
3-Т 2-Т 1-Т
РД.9
РД.9 Запрет использования учетных записей субъектов логического доступа с незаданными аутентификационными данными или заданными по умолчанию разработчиком ресурса доступа, в том числе разработчиком АС
3-О 2-О 1-О
3-О 2-О 1-О
FDA 21 CFR part 11 (EN):
Sec. 11.300 p. 1 sp. a
(a) Maintaining the uniqueness of each combined identification code and password, such that no two individuals have the same combination of identification code and password.
NIST Cybersecurity Framework (RU):
PR.AC-1
PR.AC-1: Для авторизованных устройств, пользователей и процессов выдаются, управляются, верифицируются, аннулируются и проверяются идентификационные и учетные данные
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
АНЗ.5
АНЗ.5 Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационной системе
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 8.3.5
8.3.5
Defined Approach Requirements:
If passwords/passphrases are used as authentication factors to meet Requirement 8.3.1, they are set and reset for each user as follows:
Defined Approach Requirements:
If passwords/passphrases are used as authentication factors to meet Requirement 8.3.1, they are set and reset for each user as follows:
- Set to a unique value for first-time use and upon reset.
- Forced to be changed immediately after the first use.
Customized Approach Objective:
An initial or reset password/passphrase assigned to a user cannot be used by an unauthorized user.
Defined Approach Testing Procedures:
An initial or reset password/passphrase assigned to a user cannot be used by an unauthorized user.
Defined Approach Testing Procedures:
- 8.3.5 Examine procedures for setting and resetting passwords/passphrases (if used as authentication factors to meet Requirement 8.3.1) and observe security personnel to verify that passwords/passphrases are set and reset in accordance with all elements specified in this requirement.
Purpose:
If the same password/passphrase is used for every new user, an internal user, former employee, or malicious individual may know or easily discover the value and use it to gain access to accounts before the authorized user attempts to use the password.
If the same password/passphrase is used for every new user, an internal user, former employee, or malicious individual may know or easily discover the value and use it to gain access to accounts before the authorized user attempts to use the password.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.9.4.3
A.9.4.3 Система управления паролями
Мера обеспечения информационной безопасности: Системы управления паролями должны быть интерактивными и должны обеспечивать уверенность в качестве паролей
Мера обеспечения информационной безопасности: Системы управления паролями должны быть интерактивными и должны обеспечивать уверенность в качестве паролей
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 4.4
CSC 4.4 Use Unique Passwords
Where multi-factor authentication is not supported (such as local administrator, root, or service accounts), accounts will use passwords that are unique to that system.
Where multi-factor authentication is not supported (such as local administrator, root, or service accounts), accounts will use passwords that are unique to that system.
CSC 4.2
CSC 4.2 Change Default Passwords
Before deploying any new asset, change all default passwords to have values consistent with administrative level accounts.
Before deploying any new asset, change all default passwords to have values consistent with administrative level accounts.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
АНЗ.5
АНЗ.5 Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе
SWIFT Customer Security Controls Framework v2022:
4 - 4.1 Password Policy
4.1 Password Policy
FDA 21 CFR part 11 (RU):
Sec. 11.300 p. 1 sp. a
(a) Поддержание уникальности каждого комбинированного идентификационного кода и пароля таким образом, чтобы никакие два человека не имели одинаковые комбинации идентификационного кода и пароля.
NIST Cybersecurity Framework (EN):
PR.AC-1
PR.AC-1: Identities and credentials are issued, managed, verified, revoked, and audited for authorized devices, users and processes
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
9.4.3
9.4.3 Система управления паролями
Мера обеспечения ИБ
Системы управления паролями должны быть интерактивными и должны обеспечивать уверенность в качестве паролей.
Руководство по применению
Система управления паролями должна:
- a) обеспечить использование индивидуальных пользовательских идентификаторов и паролей для обеспечения отслеживаемости;
- b) позволять пользователям выбирать и изменять свои собственные пароли и включать процедуру подтверждения для обеспечения возможности исправления ошибок ввода;
- c) обеспечивать выбор качественных паролей;
- d) заставлять пользователей изменять свои пароли при первом входе в систему;
- e) агитировать регулярно или по мере необходимости менять пароли;
- f) вести учет ранее использованных паролей и предотвращать их повторное использование;
- g) не отображать пароли на экране при их вводе;
- h) хранить файлы с паролями отдельно от данных прикладных систем;
- i) хранить и передавать пароли в защищенном виде.
Дополнительная информация
Некоторые приложения требуют, чтобы пароли пользователей назначались независимой стороной; в таких случаях пункты b), d) и e) вышеуказанного руководства к системе не применяются. В большинстве случаев пароли выбирают и меняют пользователи.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.