Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 3.4.2
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
CIS Critical Security Controls v8 (The 18 CIS CSC):
3.12
3.12 Segment Data Processing and Storage Based on Sensitivity
Segment data processing and storage based on the sensitivity of the data. Do not process sensitive data on enterprise assets intended for lower sensitivity data.
Segment data processing and storage based on the sensitivity of the data. Do not process sensitive data on enterprise assets intended for lower sensitivity data.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ЗУД.1
ЗУД.1 Определение правил удаленного доступа и перечня ресурсов доступа, к которым предоставляется удаленный доступ
3-О 2-О 1-О
3-О 2-О 1-О
УЗП.17
УЗП.17 Реализация возможности определения состава предоставленных прав логического доступа для конкретного ресурса доступа
3-О 2-Т 1-Т
3-О 2-Т 1-Т
УЗП.18
УЗП.18 Реализация возможности определения состава предоставленных прав логического доступа для конкретного субъекта логического доступа
3-О 2-Т 1-Т
3-О 2-Т 1-Т
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
3.12
3.12 Реализовано разделение обработки и хранения данных в соответствии с классом/категорией информации
Сегментировать обработку и хранение данных в зависимости от уровня конфиденциальности
Сегментировать обработку и хранение данных в зависимости от уровня конфиденциальности
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 3.4.2
3.4.2
Определенные Требования к Подходу:
При использовании технологий удаленного доступа технические средства контроля предотвращают копирование и/или перемещение PAN для всего персонала, за исключением тех, у кого есть документально подтвержденное, четкое разрешение и законная, определенная деловая потребность.
Цель Индивидуального подхода:
PAN не может быть скопирован или перемещен неавторизованным персоналом с использованием технологий удаленного доступа.
Примечания по применению:
Хранение или перемещение PAN на локальные жесткие диски, съемные электронные носители и другие устройства хранения данных позволяет использовать эти устройства для PCI DSS.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
При использовании технологий удаленного доступа технические средства контроля предотвращают копирование и/или перемещение PAN для всего персонала, за исключением тех, у кого есть документально подтвержденное, четкое разрешение и законная, определенная деловая потребность.
Цель Индивидуального подхода:
PAN не может быть скопирован или перемещен неавторизованным персоналом с использованием технологий удаленного доступа.
Примечания по применению:
Хранение или перемещение PAN на локальные жесткие диски, съемные электронные носители и другие устройства хранения данных позволяет использовать эти устройства для PCI DSS.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 3.4.2.a Изучить документированные политики и процедуры и документированные доказательства технических средств контроля, которые предотвращают копирование и/или перемещение PAN при использовании технологий удаленного доступа на локальные жесткие диски или съемные электронные носители, чтобы убедиться в следующем:
- Технические средства контроля запрещают любому персоналу, не имеющему специального разрешения, копировать и/или перемещать PAN.
- Ведется список персонала, имеющего разрешение на копирование и/или перемещение PAN, вместе с документированным, четким разрешением и законными, определенными бизнес-потребностями.
- 3.4.2.b Изучите конфигурации для технологий удаленного доступа, чтобы убедиться, что технические средства контроля предотвращают копирование и/или перемещение PAN для всего персонала, если это явно не разрешено.
- 3.4.2.c Наблюдайте за процессами и проводите собеседования с персоналом, чтобы убедиться, что только персонал с документированным, четким разрешением и законной, определенной бизнес-потребностью имеет разрешение на копирование и/или перемещение PAN при использовании технологий удаленного доступа.
Цель:
Перемещение PAN на несанкционированные устройства хранения является распространенным способом получения и использования этих данных мошенническим путем.
Методы обеспечения того, чтобы копировать или перемещать PAN могли только те, у кого есть явное разрешение и законные деловые причины, сводят к минимуму риск получения доступа к PAN посторонними лицами.
Надлежащая практика:
Копирование и перемещение PAN следует выполнять только на устройства хранения, которые разрешены и разрешены для данного пользователя.
Определения:
Виртуальный рабочий стол - это пример технологии удаленного доступа. Устройства хранения данных включают, но не ограничиваются ими, локальные жесткие диски, виртуальные диски, съемные электронные носители, сетевые диски и облачные хранилища.
Дополнительная информация:
Документация поставщика для используемой технологии удаленного доступа содержит информацию о системных настройках, необходимых для реализации этого требования.
Перемещение PAN на несанкционированные устройства хранения является распространенным способом получения и использования этих данных мошенническим путем.
Методы обеспечения того, чтобы копировать или перемещать PAN могли только те, у кого есть явное разрешение и законные деловые причины, сводят к минимуму риск получения доступа к PAN посторонними лицами.
Надлежащая практика:
Копирование и перемещение PAN следует выполнять только на устройства хранения, которые разрешены и разрешены для данного пользователя.
Определения:
Виртуальный рабочий стол - это пример технологии удаленного доступа. Устройства хранения данных включают, но не ограничиваются ими, локальные жесткие диски, виртуальные диски, съемные электронные носители, сетевые диски и облачные хранилища.
Дополнительная информация:
Документация поставщика для используемой технологии удаленного доступа содержит информацию о системных настройках, необходимых для реализации этого требования.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
УПД.2
УПД.2 Реализация политик управления доступа
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
УПД.2
УПД.2 Реализация модели управления доступом
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.