Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 8.2.2
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
УПД.1
УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 8.2.2
8.2.2
Определенные Требования к Подходу:
Групповые, общие или общие учетные записи или другие общие учетные данные для проверки подлинности используются только при необходимости в исключительных случаях и управляются следующим образом:
Определенные Требования к Подходу:
Групповые, общие или общие учетные записи или другие общие учетные данные для проверки подлинности используются только при необходимости в исключительных случаях и управляются следующим образом:
- Использование учетной записи запрещено, за исключением случаев, когда это необходимо в исключительных обстоятельствах.
- Использование ограничено временем, необходимым для исключительных обстоятельств.
- Бизнес-обоснование использования задокументировано.
- Использование явно одобрено руководством.
- Индивидуальная идентификация пользователя подтверждается до предоставления доступа к учетной записи.
- Каждое предпринятое действие относится к отдельному пользователю.
Цель Индивидуального подхода:
Все действия, выполняемые пользователями с общими, системными или общими идентификаторами, относятся к отдельному лицу.
Примечания по применению:
Это требование не предназначено для применения к учетным записям пользователей в торговых терминалах, которые имеют доступ только к одному номеру карты одновременно для облегчения одной транзакции (например, идентификаторы, используемые кассирами в торговых терминалах).
Определенные Процедуры Тестирования Подхода:
Все действия, выполняемые пользователями с общими, системными или общими идентификаторами, относятся к отдельному лицу.
Примечания по применению:
Это требование не предназначено для применения к учетным записям пользователей в торговых терминалах, которые имеют доступ только к одному номеру карты одновременно для облегчения одной транзакции (например, идентификаторы, используемые кассирами в торговых терминалах).
Определенные Процедуры Тестирования Подхода:
- 8.2.2.a Изучите списки учетных записей пользователей в системных компонентах и соответствующую документацию, чтобы убедиться, что общие учетные данные для аутентификации используются только при необходимости, в исключительных случаях и управляются в соответствии со всеми элементами, указанными в этом требовании.
- 8.2.2.b Изучите политики и процедуры аутентификации, чтобы убедиться, что процессы определены для общих учетных данных аутентификации таким образом, что они используются только при необходимости, в исключительных случаях, и управляются в соответствии со всеми элементами, указанными в этом требовании.
- 8.2.2.c Опросите системных администраторов, чтобы убедиться, что общие учетные данные для аутентификации используются только при необходимости, в порядке исключения, и управляются в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Групповые, общие или общие учетные записи (или учетные записи по умолчанию) обычно поставляются с программным обеспечением или операционными системами — например, root или с привилегиями, связанными с определенной функцией, например, с правами администратора.
Если несколько пользователей используют одни и те же учетные данные для аутентификации (например, учетную запись пользователя и пароль), становится невозможным отслеживать доступ к системе и действия отдельного пользователя. В свою очередь, это препятствует тому, чтобы организация назначала ответственность за действия отдельного лица или эффективно регистрировала их, поскольку данное действие могло быть выполнено любым членом группы, знающим идентификатор пользователя и связанные с ним факторы аутентификации.
Возможность привязывать отдельных лиц к действиям, выполняемым с помощью учетной записи, имеет важное значение для обеспечения индивидуальной подотчетности и отслеживания того, кто выполнил действие, какое действие было выполнено и когда это действие произошло.
Надлежащая практика:
Если по какой-либо причине используются общие учетные записи, необходимо установить строгий управленческий контроль для поддержания индивидуальной подотчетности и отслеживания.
Примеры:
Инструменты и методы могут облегчить как управление, так и безопасность этих типов учетных записей, а также подтвердить индивидуальную личность пользователя до предоставления доступа к учетной записи. Сущности могут использовать хранилища паролей или другие управляемые системой элементы управления, такие как команда sudo. Примером исключительного обстоятельства является ситуация, когда все другие методы аутентификации завершились неудачей, и общая учетная запись необходима для экстренного использования или доступа администратора “разбить стекло”.
Групповые, общие или общие учетные записи (или учетные записи по умолчанию) обычно поставляются с программным обеспечением или операционными системами — например, root или с привилегиями, связанными с определенной функцией, например, с правами администратора.
Если несколько пользователей используют одни и те же учетные данные для аутентификации (например, учетную запись пользователя и пароль), становится невозможным отслеживать доступ к системе и действия отдельного пользователя. В свою очередь, это препятствует тому, чтобы организация назначала ответственность за действия отдельного лица или эффективно регистрировала их, поскольку данное действие могло быть выполнено любым членом группы, знающим идентификатор пользователя и связанные с ним факторы аутентификации.
Возможность привязывать отдельных лиц к действиям, выполняемым с помощью учетной записи, имеет важное значение для обеспечения индивидуальной подотчетности и отслеживания того, кто выполнил действие, какое действие было выполнено и когда это действие произошло.
Надлежащая практика:
Если по какой-либо причине используются общие учетные записи, необходимо установить строгий управленческий контроль для поддержания индивидуальной подотчетности и отслеживания.
Примеры:
Инструменты и методы могут облегчить как управление, так и безопасность этих типов учетных записей, а также подтвердить индивидуальную личность пользователя до предоставления доступа к учетной записи. Сущности могут использовать хранилища паролей или другие управляемые системой элементы управления, такие как команда sudo. Примером исключительного обстоятельства является ситуация, когда все другие методы аутентификации завершились неудачей, и общая учетная запись необходима для экстренного использования или доступа администратора “разбить стекло”.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
УПД.1
УПД.1 Управление (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей
SWIFT Customer Security Controls Framework v2022:
5 - 5.1 Logical Access Control
5.1 Logical Access Control
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
УПД.1
УПД.1 Управление учетными записями пользователей
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
УПД.1
УПД.1 Управление учетными записями пользователей
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.