8.4.3
Определенные требования к подходу:
Многофакторная аутентификация (MFA) реализована для всего удаленного доступа, происходящего из-за пределов сети организации, который может получить доступ к CDE или повлиять на него.
Цель Индивидуального подхода:
Удаленный доступ к сети организации не может быть получен с использованием одного фактора аутентификации.
Примечания по применимости:
Требование MFA для удаленного доступа, исходящего за пределы сети организации, применяется ко всем учетным записям пользователей, которые могут удаленно подключиться к сети, если этот удаленный доступ может привести к доступу в CDE или повлиять на него. Это включает удаленный доступ для персонала (пользователей и администраторов), а также для третьих сторон (включая, но не ограничиваясь, поставщиками, поставщиками услуг, обслуживающими организациями и клиентами).
Если удаленный доступ осуществляется к части сети организации, которая должным образом сегментирована от CDE и не может быть использована для доступа к CDE, то MFA для удаленного доступа к этой части сети не требуется. Однако MFA требуется для любого удаленного доступа к сетям с доступом к CDE, и рекомендуется для всего удаленного доступа в сеть организации.
Требования MFA применяются ко всем типам компонентов системы, включая облачные и хостинговые системы, а также локальные приложения, сетевые устройства безопасности, рабочие станции, серверы и конечные устройства. Это включает как прямой доступ к сетям и системам организации, так и веб-доступ к приложениям или функциям.
Определенные Процедуры Тестирования Подхода:
- 8.4.3.a Изучите конфигурации сети и/или системы для удаленных серверов и систем доступа, чтобы убедиться, что MFA требуется в соответствии со всеми элементами, указанными в этом требовании.
- 8.4.3.b Наблюдайте за персоналом (например, пользователями и администраторами) и третьими сторонами, подключающимися удаленно к сети, и убедитесь, что требуется многофакторная аутентификация.
Цель:
Требование более чем одного типа аутентификационного фактора снижает вероятность того, что злоумышленник сможет получить доступ к системе, выдав себя за законного пользователя, поскольку для этого ему нужно скомпрометировать несколько факторов аутентификации. Это особенно актуально в средах, где традиционно использовался только один фактор аутентификации, например, пароль или фраза-пароль.
Определения:
Многофакторная аутентификация (MFA) требует от человека представления минимум двух из трех факторов аутентификации, указанных в Требовании 8.3.1, прежде чем будет предоставлен доступ.
Использование одного фактора дважды (например, использование двух отдельных паролей) не считается многофакторной аутентификацией.