Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям Framework № PCI DSS 4.0 от 01.... Requirement 9.3.1
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Framework № PCI DSS 4.0 от 01.03.2022

Payment Card Industry Data Security Standard (RU)

Requirement 9.3.1

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ФД.2
ФД.2 Контроль перечня лиц, которым предоставлено право самостоятельного физического доступа в помещения
3-О 2-О 1-Т
ФД.7
ФД.7 Предоставление права самостоятельного физического доступа в помещения по решению распорядителя физического доступа
3-О 2-О 1-О
ФД.3
ФД.3 Контроль самостоятельного физического доступа в помещения для лиц, не являющихся работниками финансовой организации
3-Н 2-О 1-Т
NIST Cybersecurity Framework (RU):
PR.AC-2
PR.AC-2: Управляется и защищен физический доступ к активам 
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
РВН.1
РВН.1 Планирование, реализация, контроль и совершенствование мероприятий, направленных на уменьшение негативного влияния риска внутреннего нарушителя, применяемых в отношении работников финансовой организации, деятельность которых может оказать влияние на риск реализации информационных угроз:
  • при приеме на работу кандидатов на замещение должностей в финансовой организации;
  • в рамках исполнения работниками своих должностных обязанностей;
  • в случае прекращения трудовых отношений или изменения должностных обязанностей работников.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.3.1
9.3.1
Defined Approach Requirements: 
Procedures are implemented for authorizing and managing physical access of personnel to the CDE, including:
  • Identifying personnel.
  • Managing changes to an individual’s physical access requirements.
  • Revoking or terminating personnel identification.
  • Limiting access to the identification process or system to authorized personnel. 
Customized Approach Objective:
Requirements for access to the physical CDE are defined and enforced to identify and authorize personnel. 

Defined Approach Testing Procedures:
  • 9.3.1.a Examine documented procedures to verify that procedures to authorize and manage physical access of personnel to the CDE are defined in accordance with all elements specified in this requirement. 
  • 9.3.1.b Observe identification methods, such as ID badges, and processes to verify that personnel in the CDE are clearly identified. 
  • 9.3.1.c Observe processes to verify that access to the identification process, such as a badge system, is limited to authorized personnel. 
Purpose:
Establishing procedures for granting, managing, and removing access when it is no longer needed ensures non-authorized individuals are prevented from gaining access to areas containing cardholder data. In addition, it is important to limit access to the actual badging system and badging materials to prevent unauthorized personnel from making their own badges and/or setting up their own access rules. 

Good Practice:
It is important to visually identify the personnel that are physically present, and whether the individual is a visitor or an employee. 

Examples:
One way to identify personnel is to assign them badges. 
SWIFT Customer Security Controls Framework v2022:
3 - 3.1 Physical Security
3.1 Physical Security
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ЗТС.3 ЗТС.3 Управление физическим доступом
NIST Cybersecurity Framework (EN):
PR.AC-2 PR.AC-2: Physical access to assets is managed and protected
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ЗТС.3 ЗТС.3 Управление физическим доступом

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.