Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям Framework № PCI DSS 4.0 от 01.... Requirement 7.2.5.1
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Framework № PCI DSS 4.0 от 01.03.2022

Payment Card Industry Data Security Standard

Requirement 7.2.5.1

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
УЗП.2
УЗП.2 Контроль соответствия фактического состава разблокированных учетных записей фактическому составу легальных субъектов логического доступа
3-О 2-О 1-Т
УЗП.16
УЗП.16 Реализация контроля со стороны распорядителя логического доступа целесообразности дальнейшего предоставления прав логического доступа, не использованных субъектами на протяжении периода времени, указанного в мерах УЗП.14, УЗП.15 настоящей таблицы
3-О 2-О 1-О
УЗП.17
УЗП.17 Реализация возможности определения состава предоставленных прав логического доступа для конкретного ресурса доступа
3-О 2-Т 1-Т
УЗП.4
УЗП.4 Контроль отсутствия незаблокированных учетных записей неопределенного целевого назначения
3-О 2-О 1-О
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.9.2.5
A.9.2.5 Пересмотр прав доступа пользователей 
Мера обеспечения информационной безопасности: Владельцы активов должны регулярно пересматривать права доступа пользователей 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 7.2.5.1
7.2.5.1
Определенные Требования к Подходу:
Все права доступа по учетным записям приложений и систем и связанные с ними права доступа проверяются следующим образом:
  • Периодически (с периодичностью, определенной в целевом анализе рисков организации, который выполняется в соответствии со всеми элементами, указанными в Требовании 12.3.1).
  • Доступ к приложению/системе остается соответствующим выполняемой функции.
  • Любой ненадлежащий доступ устраняется.
  • Руководство признает, что доступ остается надлежащим.
Цель Индивидуального подхода:
Назначение привилегий приложений и системных учетных записей периодически проверяется руководством на правильность, и несоответствия устраняются.

Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:
  • 7.2.5.1.a Изучите политики и процедуры, чтобы убедиться, что они определяют процессы для проверки всех учетных записей приложений и системы и связанных с ними привилегий доступа в соответствии со всеми элементами, указанными в этом требовании.
  • 7.2.5.1.b Изучите целевой анализ рисков организации на предмет частоты периодических проверок учетных записей приложений и систем и соответствующих привилегий доступа, чтобы убедиться, что анализ рисков был выполнен в соответствии со всеми элементами, указанными в Требовании 12.3.1.
  • 7.2.5.1.c Опросите ответственный персонал и изучите документированные результаты периодических проверок учетных записей системы и приложений и связанных с ними привилегий, чтобы убедиться, что проверки проводятся в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Регулярная проверка прав доступа помогает обнаружить избыточные права доступа, оставшиеся после изменения системных функций или других изменений приложения или системы. Если чрезмерные права не будут удалены, когда они больше не нужны, они могут быть использованы злоумышленниками для несанкционированного доступа.
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
9.2.5
9.2.5 Пересмотр прав доступа пользователей

Мера обеспечения ИБ
Владельцы активов должны регулярно пересматривать права доступа пользователей.

Руководство по применению
При пересмотре прав доступа следует учитывать следующее:
  • a) права доступа пользователей следует пересматривать как через определенные интервалы времени, так и после любых изменений, таких как повышение или понижение в должности, или увольнение (раздел 7);
  • b) права доступа пользователя следует пересматривать и переназначать в случае изменения его роли в организации;
  • c) полномочия для привилегированных прав доступа следует пересматривать чаще;
  • d) назначенные привилегии необходимо регулярно проверять для обеспечения уверенности в том, что никто не получил привилегий несанкционированным образом;
  • e) изменения привилегированных учетных записей необходимо регистрировать для периодического анализа.

Дополнительная информация
Эта мера компенсирует возможные недостатки в выполнении мер обеспечения ИБ, приведенных в 9.2.1, 9.2.2, 9.2.6.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.