Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 10.6.3
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
NIST Cybersecurity Framework (RU):
PR.AC-4
PR.AC-4: При предоставлении разрешения на доступ и авторизации используется принцип наименьших привилегий и разделения обязанностей
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.9.4.1
A.9.4.1 Ограничение доступа к информации
Мера обеспечения информационной безопасности: Доступ к информации и функциям прикладных систем должен быть ограничен в соответствии с политикой управления доступом
Мера обеспечения информационной безопасности: Доступ к информации и функциям прикладных систем должен быть ограничен в соответствии с политикой управления доступом
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 10.6.3
10.6.3
Определенные Требования к Подходу:
Настройки и данные синхронизации времени защищены следующим образом:
Определенные Требования к Подходу:
Настройки и данные синхронизации времени защищены следующим образом:
- Доступ к данным о времени ограничен только персоналом, имеющим деловые потребности.
- Любые изменения настроек времени в критически важных системах регистрируются, отслеживаются и анализируются.
Цель Индивидуального подхода:
Настройки системного времени не могут быть изменены неавторизованным персоналом.
Определенные Процедуры Тестирования Подхода:
Настройки системного времени не могут быть изменены неавторизованным персоналом.
Определенные Процедуры Тестирования Подхода:
- 10.6.3.a Изучите системные конфигурации и настройки синхронизации времени, чтобы убедиться, что доступ к данным о времени ограничен только персоналом с бизнес-потребностями.
- 10.6.3.b Изучайте системные конфигурации и настройки синхронизации времени, а также журналы и наблюдайте за процессами, чтобы убедиться, что любые изменения настроек времени в критически важных системах регистрируются, отслеживаются и анализируются.
Цель:
Злоумышленники попытаются изменить временные настройки, чтобы скрыть свою активность. Следовательно, ограничение администраторам возможности изменять или изменять конфигурации синхронизации времени или системное время уменьшит вероятность успешного изменения злоумышленником временных конфигураций.
Злоумышленники попытаются изменить временные настройки, чтобы скрыть свою активность. Следовательно, ограничение администраторам возможности изменять или изменять конфигурации синхронизации времени или системное время уменьшит вероятность успешного изменения злоумышленником временных конфигураций.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.3
А.8.3 Ограничение доступа к информации
Доступ к информационным и иным связанным с ними активам должен быть ограничен в соответствии с установленной специфической тематической политикой управления доступом.
Доступ к информационным и иным связанным с ними активам должен быть ограничен в соответствии с установленной специфической тематической политикой управления доступом.
SWIFT Customer Security Controls Framework v2022:
5 - 5.1 Logical Access Control
5.1 Logical Access Control
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
УПД.2
УПД.2 Реализация политик управления доступа
NIST Cybersecurity Framework (EN):
PR.AC-4
PR.AC-4: Access permissions and authorizations are managed, incorporating the principles of least privilege and separation of duties
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
УПД.2
УПД.2 Реализация модели управления доступом
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
9.4.1
9.4.1 Ограничение доступа к информации
Мера обеспечения ИБ
Доступ к информации и функциям прикладных систем должен быть ограничен в соответствии с политикой управления доступом.
Руководство по применению
Ограничения доступа должны основываться на требованиях конкретных бизнес-приложений и соответствовать установленной политике управления доступом.
Для обеспечения выполнения требований по ограничению доступа следует учитывать следующее:
- a) предоставление меню для управления доступом к функциям прикладных систем;
- b) управление тем, какие данные могут быть доступны конкретному пользователю;
- c) управление правами доступа пользователей, например чтение, запись, удаление и выполнение;
- d) управление правами доступа других приложений;
- e) ограничение информации, содержащейся в выходных данных;
- f) обеспечение физических или логических мер управления доступом для изоляции чувствительных приложений, данных или систем.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.3
А.8.3 Information access restriction
Access to information and other associated assets shall be restricted in accordance with the established topic-specific policy on access control.
Access to information and other associated assets shall be restricted in accordance with the established topic-specific policy on access control.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.