Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 8.3.1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
CIS Critical Security Controls v8 (The 18 CIS CSC):
6.5
6.5 Require MFA for Administrative Access
Require MFA for all administrative access accounts, where supported, on all enterprise assets, whether managed on-site or through a third-party provider.
Require MFA for all administrative access accounts, where supported, on all enterprise assets, whether managed on-site or through a third-party provider.
6.4
6.4 Require MFA for Remote Network Access
Require MFA for remote network access.
Require MFA for remote network access.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
РД.1
РД.1 Идентификация и однофакторная аутентификация пользователей
3-Т 2-Т 1-Н
3-Т 2-Т 1-Н
РД.6
РД.6 Аутентификация АРМ эксплуатационного персонала, используемых для осуществления логического доступа
3-Н 2-Т 1-Т
3-Н 2-Т 1-Т
РД.2
РД.2 Идентификация и многофакторная аутентификация пользователей
3-Н 2-Н 1-Т
3-Н 2-Н 1-Т
РД.4
РД.4 Идентификация и многофакторная аутентификация эксплуатационного персонала
3-Н 2-Т 1-Т
3-Н 2-Т 1-Т
ЗУД.5
ЗУД.5 Идентификация, двухфакторная аутентификация и авторизация субъектов доступа после установления защищенного сетевого взаимодействия, выполнения аутентификации, предусмотренной мерами ЗУД.2 и ЗУД.4.
3-Т 2-Т 1-Т
3-Т 2-Т 1-Т
ЗСВ.5
ЗСВ.5 Идентификация и аутентификация пользователей серверными компонентами виртуализации и (или) средствами централизованных сервисов аутентификации при предоставлении доступа к виртуальным машинам
3-Т 2-Т 1-Т
3-Т 2-Т 1-Т
NIST Cybersecurity Framework (RU):
PR.AC-7
PR.AC-7: Пользователи, устройства и другие активы проходят аутентификацию (например, однофакторную, многофакторную), соизмеримую с риском транзакции (например, рисками безопасности и конфиденциальности отдельных лиц и другими организационными рисками)
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ИАФ.6
ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)
ИАФ.1
ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
6.5
6.5 Требуется многофакторная аутентификация для доступа с использованием прав администратора
Запрашивать многофакторную аутентификацию для доступа с правами администратора.
Запрашивать многофакторную аутентификацию для доступа с правами администратора.
6.4
6.4 Требуется многофакторная аутентификация для удаленного доступа к сети
Запрашивать многофакторную аутентификацию для удаленного доступа к сети.
Запрашивать многофакторную аутентификацию для удаленного доступа к сети.
Guideline for a healthy information system v.2.0 (EN):
13 STANDARD
/STANDARD
The implementation of a two-factor authentication is strongly recommended, requiring the use of two different authentication factors from among the following:
The implementation of a two-factor authentication is strongly recommended, requiring the use of two different authentication factors from among the following:
- something I know (password, unlock pattern, signature);
- something I have (smart card, USB token, magnetic card, RFID, a phone to receive an SMS);
- something I am (a digital fingerprint)
13 STRENGTHENED
/STRENGTHENED
Smart cards must be encouraged or, by default, one-time passwords with a physical token. Encryption operations implemented with two-factor authentication generally offer good security results.
Smart cards can be more complex to implement as they require an adapted key management structure. However, they have the advantage of being re-usable for various purposes: encryption, message authentication, authentication on the workstation, etc.
Smart cards must be encouraged or, by default, one-time passwords with a physical token. Encryption operations implemented with two-factor authentication generally offer good security results.
Smart cards can be more complex to implement as they require an adapted key management structure. However, they have the advantage of being re-usable for various purposes: encryption, message authentication, authentication on the workstation, etc.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.9.3.1
A.9.3.1 Использование секретной аутентификационной информации
Мера обеспечения информационной безопасности: При использовании секретной аутентификационной информации пользователи должны выполнять установленные в организации правила
Мера обеспечения информационной безопасности: При использовании секретной аутентификационной информации пользователи должны выполнять установленные в организации правила
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 16.3
CSC 16.3 Require Multi-Factor Authentication
Require multi-factor authentication for all user accounts, on all systems, whether managed on-site or by a third-party provider.
Require multi-factor authentication for all user accounts, on all systems, whether managed on-site or by a third-party provider.
CSC 12.11
CSC 12.11 Require All Remote Login to Use Multi-Factor Authentication
Require all remote login access to the organization's network to encrypt data in transit and use multi-factor authentication.
Require all remote login access to the organization's network to encrypt data in transit and use multi-factor authentication.
CSC 4.5
CSC 4.5 Use Multi-Factor Authentication for All Administrative Access
Use multi-factor authentication and encrypted channels for all administrative account access.
Use multi-factor authentication and encrypted channels for all administrative account access.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 8.3.1
8.3.1
Определенные Требования к Подходу:
Весь пользовательский доступ к системным компонентам для пользователей и администраторов проверяется с помощью по крайней мере одного из следующих факторов аутентификации:
Определенные Требования к Подходу:
Весь пользовательский доступ к системным компонентам для пользователей и администраторов проверяется с помощью по крайней мере одного из следующих факторов аутентификации:
- Что-то, что вы знаете, например, пароль или кодовую фразу.
- Что-то, что у вас есть, например, токен-устройство или смарт-карта.
- Что-то, чем вы являетесь, например, биометрический элемент.
Цель Индивидуального подхода:
Доступ к учетной записи возможен только с использованием комбинации идентификатора пользователя и фактора аутентификации.
Примечания по применению:
Это требование не предназначено для применения к учетным записям пользователей в торговых терминалах, которые имеют доступ только к одному номеру карты одновременно для облегчения одной транзакции (например, идентификаторы, используемые кассирами в торговых терминалах).
Это требование не заменяет требования к многофакторной аутентификации (MFA), но применяется к тем системам, которые в других случаях не подпадают под требования MFA.
Цифровой сертификат является допустимым вариантом для “того, что у вас есть”, если он уникален для конкретного пользователя.
Определенные Процедуры Тестирования Подхода:
Доступ к учетной записи возможен только с использованием комбинации идентификатора пользователя и фактора аутентификации.
Примечания по применению:
Это требование не предназначено для применения к учетным записям пользователей в торговых терминалах, которые имеют доступ только к одному номеру карты одновременно для облегчения одной транзакции (например, идентификаторы, используемые кассирами в торговых терминалах).
Это требование не заменяет требования к многофакторной аутентификации (MFA), но применяется к тем системам, которые в других случаях не подпадают под требования MFA.
Цифровой сертификат является допустимым вариантом для “того, что у вас есть”, если он уникален для конкретного пользователя.
Определенные Процедуры Тестирования Подхода:
- 8.3.1.a Изучить документацию, описывающую фактор (ы) аутентификации, используемый(ые) для проверки того, что доступ пользователя к компонентам системы аутентифицируется по крайней мере с помощью одного фактора аутентификации, указанного в этом требовании.
- 8.3.1.b Для каждого типа фактора аутентификации, используемого с каждым типом системного компонента, соблюдайте аутентификацию, чтобы убедиться, что аутентификация работает в соответствии с задокументированным фактором (факторами) аутентификации.
Цель:
При использовании в дополнение к уникальным идентификаторам фактор аутентификации помогает защитить идентификаторы пользователей от взлома, поскольку злоумышленнику необходимо иметь уникальный идентификатор и скомпрометировать связанные с ним факторы аутентификации.
Надлежащая практика:
Распространенный подход злоумышленника к компрометации системы заключается в использовании слабых или несуществующих факторов аутентификации (например, паролей/парольных фраз). Требование надежных факторов аутентификации помогает защититься от этой атаки.
Дополнительная информация:
См. fidoalliance.org дополнительные сведения об использовании токенов, смарт-карт или биометрических данных в качестве факторов аутентификации см.
При использовании в дополнение к уникальным идентификаторам фактор аутентификации помогает защитить идентификаторы пользователей от взлома, поскольку злоумышленнику необходимо иметь уникальный идентификатор и скомпрометировать связанные с ним факторы аутентификации.
Надлежащая практика:
Распространенный подход злоумышленника к компрометации системы заключается в использовании слабых или несуществующих факторов аутентификации (например, паролей/парольных фраз). Требование надежных факторов аутентификации помогает защититься от этой атаки.
Дополнительная информация:
См. fidoalliance.org дополнительные сведения об использовании токенов, смарт-карт или биометрических данных в качестве факторов аутентификации см.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ИАФ.6
ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей)
ИАФ.1
ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора
SWIFT Customer Security Controls Framework v2022:
4 - 4.2 Multi-Factor Authentication
4.2 Multi-Factor Authentication
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИАФ.1
ИАФ.1 Идентификация и аутентификация пользователей и инициируемых ими процессов
ИАФ.6
ИАФ.6 Двусторонняя аутентификация
ИАФ.5
ИАФ.5 Идентификация и аутентификация внешних пользователей
Положение Банка России № 757-П от 20.04.2021 "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций":
1.10.
1.10. Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать регламентацию, реализацию, контроль (мониторинг) технологии безопасной обработки защищаемой информации, указанной в абзацах втором - четвертом пункта 1.1 настоящего Положения:
- при идентификации, аутентификации и авторизации своих клиентов в целях осуществления финансовых операций;
- при формировании (подготовке), передаче и приеме электронных сообщений;
- при удостоверении права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом;
- при осуществлении финансовой операции, учете результатов ее осуществления (при наличии учета);
- при хранении электронных сообщений и информации об осуществленных финансовых операциях (далее при совместном упоминании - технологические участки) на основе анализа рисков с соблюдением следующих требований.
NIST Cybersecurity Framework (EN):
PR.AC-7
PR.AC-7: Users, devices, and other assets are authenticated (e.g., single-factor, multi-factor) commensurate with the risk of the transaction (e.g., individuals’ security and privacy risks and other organizational risks)
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ИАФ.1
ИАФ.1 Идентификация и аутентификация пользователей и инициируемых ими процессов
ИАФ.6
ИАФ.6 Двусторонняя аутентификация
ИАФ.5
ИАФ.5 Идентификация и аутентификация внешних пользователей
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.