Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 12.7.1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
NIST Cybersecurity Framework (RU):
PR.IP-11
PR.IP-11: Кибербезопасность включена в практику работы с персоналом (например, ограничение доступа, проверка персонала)
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.7.1
12.7.1
Определенные Требования к Подходу:
Потенциальный персонал, который будет иметь доступ к CDE, проходит проверку в рамках ограничений местного законодательства перед наймом, чтобы свести к минимуму риск атак из внутренних источников.
Цель Индивидуального подхода:
Риск, связанный с предоставлением новым сотрудникам доступа к CDE, осознается и управляется.
Примечания по применению:
Для тех потенциальных сотрудников, которые будут наняты на такие должности, как кассиры магазинов, которые имеют доступ только к одному номеру карты одновременно при проведении транзакции, это требование является только рекомендацией.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Потенциальный персонал, который будет иметь доступ к CDE, проходит проверку в рамках ограничений местного законодательства перед наймом, чтобы свести к минимуму риск атак из внутренних источников.
Цель Индивидуального подхода:
Риск, связанный с предоставлением новым сотрудникам доступа к CDE, осознается и управляется.
Примечания по применению:
Для тех потенциальных сотрудников, которые будут наняты на такие должности, как кассиры магазинов, которые имеют доступ только к одному номеру карты одновременно при проведении транзакции, это требование является только рекомендацией.
Определенные Процедуры Тестирования Подхода:
- 12.7.1 Перед наймом потенциального персонала, который будет иметь доступ к CDE, проведите собеседование с ответственным руководством отдела кадров, чтобы убедиться, что проверка проводится в рамках ограничений местного законодательства.
Цель:
Проведение тщательной проверки перед наймом потенциального персонала, которому, как ожидается, будет предоставлен доступ к CDE, предоставляет организациям информацию, необходимую для принятия обоснованных решений о рисках в отношении персонала, которого они нанимают, который будет иметь доступ к CDE.
Другие преимущества отбора потенциальных сотрудников включают помощь в обеспечении безопасности на рабочем месте и подтверждение информации, предоставленной потенциальными сотрудниками в их резюме.
Надлежащая практика:
Организациям следует рассмотреть возможность проверки существующего персонала в любое время, когда они переходят на роли, где у них есть доступ к CDE, с ролей, где у них не было такого доступа.
Чтобы быть эффективным, уровень отбора должен соответствовать занимаемой должности. Например, должности, требующие большей ответственности или имеющие административный доступ к критически важным данным или системам, могут требовать более детальной или более частой проверки, чем должности с меньшей ответственностью и доступом.
Примеры:
Варианты проверки могут включать, в зависимости от региона организации, предыдущую историю работы, просмотр общедоступной информации / ресурсов социальных сетей, судимость, кредитную историю и проверку рекомендаций.
Проведение тщательной проверки перед наймом потенциального персонала, которому, как ожидается, будет предоставлен доступ к CDE, предоставляет организациям информацию, необходимую для принятия обоснованных решений о рисках в отношении персонала, которого они нанимают, который будет иметь доступ к CDE.
Другие преимущества отбора потенциальных сотрудников включают помощь в обеспечении безопасности на рабочем месте и подтверждение информации, предоставленной потенциальными сотрудниками в их резюме.
Надлежащая практика:
Организациям следует рассмотреть возможность проверки существующего персонала в любое время, когда они переходят на роли, где у них есть доступ к CDE, с ролей, где у них не было такого доступа.
Чтобы быть эффективным, уровень отбора должен соответствовать занимаемой должности. Например, должности, требующие большей ответственности или имеющие административный доступ к критически важным данным или системам, могут требовать более детальной или более частой проверки, чем должности с меньшей ответственностью и доступом.
Примеры:
Варианты проверки могут включать, в зависимости от региона организации, предыдущую историю работы, просмотр общедоступной информации / ресурсов социальных сетей, судимость, кредитную историю и проверку рекомендаций.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.6.1
А.6.1 Проверка
До приема на работу в организацию и на постоянной основе в отношении всех кандидатов на должность в организации должны проводиться проверки достоверности сведений об их прошлом; такие проверки должны проводиться с учетом применимых требований законодательства, нормативных документов и этических норм, а также должны соответствовать бизнес-требованиям, категории информации, к которой необходимо получить доступ, а также осознаваемым рискам.
До приема на работу в организацию и на постоянной основе в отношении всех кандидатов на должность в организации должны проводиться проверки достоверности сведений об их прошлом; такие проверки должны проводиться с учетом применимых требований законодательства, нормативных документов и этических норм, а также должны соответствовать бизнес-требованиям, категории информации, к которой необходимо получить доступ, а также осознаваемым рискам.
SWIFT Customer Security Controls Framework v2022:
5 - 5.3A Staff Screening Process
5.3A Staff Screening Process
NIST Cybersecurity Framework (EN):
PR.IP-11
PR.IP-11: Cybersecurity is included in human resources practices (e.g., deprovisioning, personnel screening)
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.6.1
А.6.1 Screening
Background verification checks on all candidates to become personnel shall be carried out prior to joining the organization and on an ongoing basis taking into consideration applicable laws, regulations and ethics and be proportional to the business requirements, the classification of the information to be accessed and the perceived risks.
Background verification checks on all candidates to become personnel shall be carried out prior to joining the organization and on an ongoing basis taking into consideration applicable laws, regulations and ethics and be proportional to the business requirements, the classification of the information to be accessed and the perceived risks.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.