Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Framework № PCI DSS 4.0 от 01.03.2022

Payment Card Industry Data Security Standard

Requirement 7.2.4

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

CIS Critical Security Controls v8 (The 18 CIS CSC):
6.2
6.2 Establish an Access Revoking Process 
Establish and follow a process, preferably automated, for revoking access to enterprise assets, through disabling accounts immediately upon termination, rights revocation, or role change of a user. Disabling accounts, instead of deleting accounts, may be necessary to preserve audit trails. 
6.1
6.1 Establish an Access Granting Process 
Establish and follow a process, preferably automated, for granting access to enterprise assets upon new hire, rights grant, or role change of a user. 
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
УЗП.2
УЗП.2 Контроль соответствия фактического состава разблокированных учетных записей фактическому составу легальных субъектов логического доступа
3-О 2-О 1-Т
УЗП.15
УЗП.15 Установление фактов неиспользования субъектами логического доступа предоставленных им прав на осуществление логического доступа на протяжении периода времени, превышающего 45 дней
3-Н 2-Н 1-Т
УЗП.З
УЗП.З Контроль отсутствия незаблокированных учетных записей:
  •  уволенных работников;
  •  работников, отсутствующих на рабочем месте более 90 календарных дней;
  •  работников внешних (подрядных) организаций, прекративших свою деятельность в организации
3-О 2-О 1-Т
УЗП.17
УЗП.17 Реализация возможности определения состава предоставленных прав логического доступа для конкретного ресурса доступа
3-О 2-Т 1-Т
УЗП.12
УЗП.12 Контроль необходимости отзыва прав субъектов логического доступа при изменении их должностных обязанностей
3-О 2-О 1-О
УЗП.4
УЗП.4 Контроль отсутствия незаблокированных учетных записей неопределенного целевого назначения
3-О 2-О 1-О
УЗП.16
УЗП.16 Реализация контроля со стороны распорядителя логического доступа целесообразности дальнейшего предоставления прав логического доступа, не использованных субъектами на протяжении периода времени, указанного в мерах УЗП.14, УЗП.15 настоящей таблицы
3-О 2-О 1-О
УЗП.1
УЗП.1 Осуществление логического доступа пользователями и эксплуатационным персоналом под уникальными и персонифицированными учетными записями
3-Т 2-Т 1-Т
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
6.2
6.2 Реализован процесс отзыва прав доступа
Блокирование учетных записей используется вместо удаления, чтобы сохранить журналы аудита.
6.1
6.1 Реализован процесс предоставления доступа
Процесс запускается при приеме нового сотрудника, изменении должности или роли (желательно автоматически).
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.9.2.5
A.9.2.5 Пересмотр прав доступа пользователей 
Мера обеспечения информационной безопасности: Владельцы активов должны регулярно пересматривать права доступа пользователей 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 7.2.4
7.2.4
Определенные Требования к Подходу:
Все учетные записи пользователей и связанные с ними права доступа, включая учетные записи третьих лиц/поставщиков, проверяются следующим образом:
  • По крайней мере, раз в полгода.
  • Чтобы гарантировать, что учетные записи пользователей и доступ остаются соответствующими в зависимости от выполняемой работы.
  • Любой ненадлежащий доступ устраняется.
  • Руководство признает, что доступ остается надлежащим.
Цель Индивидуального подхода:
Присвоение привилегий учетной записи периодически проверяется руководством на правильность, и несоответствия устраняются.

Примечания по применению:
Это требование применяется ко всем учетным записям пользователей и связанным с ними привилегиям доступа, включая учетные записи, используемые персоналом и третьими лицами/поставщиками, а также учетные записи, используемые для доступа к сторонним облачным сервисам.
См. Требования 7.2.5 и 7.2.5.1 и 8.6.1-8.6.3 для элементов управления учетными записями приложений и систем.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:
  • 7.2.4.a Изучите политики и процедуры, чтобы убедиться, что они определяют процессы для проверки всех учетных записей пользователей и связанных с ними прав доступа, включая учетные записи третьих лиц/поставщиков, в соответствии со всеми элементами, указанными в этом требовании.
  • 7.2.4.b Опросите ответственный персонал и изучите документированные результаты периодических проверок учетных записей пользователей, чтобы убедиться, что все результаты соответствуют всем элементам, указанным в этом требовании.
Цель:
Регулярная проверка прав доступа помогает обнаружить избыточные права доступа, оставшиеся после изменения должностных обязанностей пользователя, изменения системных функций или других изменений. Если чрезмерные права пользователя не будут отозваны своевременно, они могут быть использованы злоумышленниками для несанкционированного доступа.
Эта проверка предоставляет еще одну возможность убедиться, что учетные записи всех прекращенных пользователей были удалены (если таковые были пропущены во время прекращения), а также убедиться, что доступ любых третьих лиц, которым больше не нужен доступ, был прекращен.

Надлежащая практика:
Когда пользователь переходит на новую роль или в новый отдел, обычно привилегии и доступ, связанные с его прежней ролью, больше не требуются. Постоянный доступ к привилегиям или функциям, которые больше не требуются, может привести к риску неправильного использования или ошибок. Поэтому, когда обязанности меняются, процессы, которые повторно проверяют доступ, помогают гарантировать, что доступ пользователя соответствует новым обязанностям пользователя.
Организации могут рассмотреть возможность внедрения регулярного, повторяющегося процесса для проведения проверок прав доступа и назначения “владельцев данных”, которые отвечают за управление и мониторинг доступа к данным, связанным с их должностной функцией, и которые также обеспечивают, чтобы доступ пользователей оставался актуальным и надлежащим. В качестве примера, непосредственный руководитель может ежемесячно проверять доступ к группе, в то время как старший менеджер проверяет доступ своих групп ежеквартально, внося обновления в доступ по мере необходимости. Цель этих рекомендаций состоит в том, чтобы поддерживать и облегчать проведение обзоров не реже одного раза в 6 месяцев.

Связанные защитные меры

Ничего не найдено