Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 8.3.8
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
CIS Critical Security Controls v8 (The 18 CIS CSC):
14.3
14.3 Train Workforce Members on Authentication Best Practices
Train workforce members on authentication best practices. Example topics include MFA, password composition, and credential management.
Train workforce members on authentication best practices. Example topics include MFA, password composition, and credential management.
NIST Cybersecurity Framework (RU):
PR.AT-1
PR.AT-1: Все пользователи проинформированы и обучены
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
14.3
14.3 Реализовано обучение работников лучшим практикам аутентификации
Сотрудники получают знания о многофакторной аутентификации, создании сильных паролей и управлении учетными записями.
Сотрудники получают знания о многофакторной аутентификации, создании сильных паролей и управлении учетными записями.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
7.3 Осведомленность
7.3 Осведомленность
Лица, выполняющие работу под контролем организации, должны быть осведомлены в отношении:
Лица, выполняющие работу под контролем организации, должны быть осведомлены в отношении:
- a) политики информационной безопасности;
- b) их вклада в эффективность систему менеджмента информационной безопасности, включая выгод от улучшения исполнения информационной безопасности; а также
- c) последствий несоответствия требованиям системы менеджмента информационной безопасности.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.5.1.1
A.5.1.1 Политики информационной безопасности
Мера обеспечения информационной безопасности: Совокупность политик информационной безопасности должна быть определена, утверждена руководством, опубликована и доведена до сведения всех работников организации и соответствующих внешних сторон
Мера обеспечения информационной безопасности: Совокупность политик информационной безопасности должна быть определена, утверждена руководством, опубликована и доведена до сведения всех работников организации и соответствующих внешних сторон
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
7.3 Awareness
7.3 Awareness
Persons doing work under the organization’s control shall be aware of:
Persons doing work under the organization’s control shall be aware of:
- a) the information security policy;
- b) their contribution to the effectiveness of the information security management system, including the benefits of improved information security performance; and
- c) the implications of not conforming with the information security management system requirements.
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 17.5
CSC 17.5 Train Workforce on Secure Authentication
Train workforce members on the importance of enabling and utilizing secure authentication.
Train workforce members on the importance of enabling and utilizing secure authentication.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 8.3.8
8.3.8
Определенные Требования к Подходу:
Политики и процедуры аутентификации документируются и доводятся до сведения всех пользователей, включая:
Определенные Требования к Подходу:
Политики и процедуры аутентификации документируются и доводятся до сведения всех пользователей, включая:
- Руководство по выбору надежных факторов аутентификации.
- Руководство по тому, как пользователи должны защищать свои факторы аутентификации.
- Инструкции не использовать повторно ранее использованные пароли / парольные фразы.
- Инструкции по смене паролей/парольных фраз, если есть какие-либо подозрения или сведения о том, что пароль/парольные фразы были скомпрометированы, и как сообщить об инциденте.
Цель Индивидуального подхода:
Пользователи осведомлены о правильном использовании факторов аутентификации и при необходимости могут получить доступ к помощи и рекомендациям.
Определенные Процедуры Тестирования Подхода:
Пользователи осведомлены о правильном использовании факторов аутентификации и при необходимости могут получить доступ к помощи и рекомендациям.
Определенные Процедуры Тестирования Подхода:
- 8.3.8.a Изучить процедуры и опросить персонал, чтобы убедиться, что политики и процедуры аутентификации распространены среди всех пользователей.
- 8.3.8.b Просмотрите политики и процедуры аутентификации, которые распространяются среди пользователей, и убедитесь, что они включают элементы, указанные в этом требовании.
- 8.3.8.c Опрашивать пользователей, чтобы убедиться, что они знакомы с политиками и процедурами аутентификации.
Цель:
Доведение политик и процедур аутентификации до сведения всех пользователей помогает им понять эти политики и соблюдать их.
Надлежащая практика:
Руководство по выбору надежных паролей может включать рекомендации, помогающие персоналу выбирать пароли, которые трудно угадать, которые не содержат словарных слов или информации о пользователе, такой как идентификатор пользователя, имена членов семьи, дата рождения и т.д.
Рекомендации по защите факторов аутентификации могут включать в себя отказ от записи паролей или их сохранения в небезопасных файлах, а также предупреждение о злоумышленниках, которые могут попытаться использовать их пароли (например, позвонив сотруднику и попросив его пароль, чтобы вызывающий абонент мог “устранить проблему”).
В качестве альтернативы, организации могут реализовать процессы для подтверждения соответствия паролей политике паролей, например, путем сравнения выбранных паролей со списком неприемлемых паролей и предоставления пользователям возможности выбрать новый пароль для любого, который совпадает с одним из них в списке. Указание пользователям сменить пароли, если есть вероятность, что пароль больше не является безопасным, может помешать злоумышленникам использовать законный пароль для получения несанкционированного доступа.
Доведение политик и процедур аутентификации до сведения всех пользователей помогает им понять эти политики и соблюдать их.
Надлежащая практика:
Руководство по выбору надежных паролей может включать рекомендации, помогающие персоналу выбирать пароли, которые трудно угадать, которые не содержат словарных слов или информации о пользователе, такой как идентификатор пользователя, имена членов семьи, дата рождения и т.д.
Рекомендации по защите факторов аутентификации могут включать в себя отказ от записи паролей или их сохранения в небезопасных файлах, а также предупреждение о злоумышленниках, которые могут попытаться использовать их пароли (например, позвонив сотруднику и попросив его пароль, чтобы вызывающий абонент мог “устранить проблему”).
В качестве альтернативы, организации могут реализовать процессы для подтверждения соответствия паролей политике паролей, например, путем сравнения выбранных паролей со списком неприемлемых паролей и предоставления пользователям возможности выбрать новый пароль для любого, который совпадает с одним из них в списке. Указание пользователям сменить пароли, если есть вероятность, что пароль больше не является безопасным, может помешать злоумышленникам использовать законный пароль для получения несанкционированного доступа.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.1
А.5.1 Политики в области ИБ
Политика ИБ, а также специфические тематические политики должны быть определены, утверждены руководством, опубликованы, доведены до сведения соответствующего персонала и заинтересованных сторон, признаны ими; также эти политики должны пересматриваться через запланированные интервалы времени и в случае возникновения существенных изменений.
Политика ИБ, а также специфические тематические политики должны быть определены, утверждены руководством, опубликованы, доведены до сведения соответствующего персонала и заинтересованных сторон, признаны ими; также эти политики должны пересматриваться через запланированные интервалы времени и в случае возникновения существенных изменений.
SWIFT Customer Security Controls Framework v2022:
7 - 7.2 Security Training and Awareness
7.2 Security Training and Awareness
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИАФ.0
ИАФ.0 Разработка политики идентификации и аутентификации
NIST Cybersecurity Framework (EN):
PR.AT-1
PR.AT-1: All users are informed and trained
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ИАФ.0
ИАФ.0 Регламентация правил и процедур идентификации и аутентификации
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
5.1.1
5.1.1 Политики информационной безопасности
Мера обеспечения ИБ
Мера обеспечения ИБ
Совокупность политик ИБ должна быть определена, утверждена руководством, опубликована и доведена до сведения всех работников организации и соответствующих внешних сторон.
Руководство по применению
Руководство по применению
На высоком уровне организация должна определить "политику ИБ", которую утверждает руководство и в которой изложен подход организации к достижению целей ИБ.
Политики ИБ должны учитывать требования, порождаемые:
- a) бизнес-стратегией;
- b) нормативными актами, требованиями регуляторов, договорами;
- c) текущей и прогнозируемой средой угроз ИБ.
Политика ИБ должна содержать положения, касающиеся:
- a) определения ИБ, целей и принципов, которыми необходимо руководствоваться в рамках деятельности, связанной с ИБ;
- b) определения ролей по менеджменту ИБ и распределения общих и конкретных обязанностей;
- c) процессов обработки отклонений и исключений;
- d) лиц, несущих ответственность за неисполнение политик ИБ.
На более низком уровне политику ИБ необходимо поддерживать политиками, относящимися к конкретным направлениям в обеспечении ИБ, которые далее предусматривают внедрение мер обеспечения ИБ и, как правило, структурируются для удовлетворения потребностей определенных групп в организации или для охвата определенных областей.
Примерами таких областей политик могут быть:
- a) управление доступом (раздел 9);
- b) категорирование и обработка информации (см. 8.2);
- c) физическая безопасность и защита от воздействия окружающей среды (раздел 11);
- d) области, ориентированные на конечного пользователя:
- допустимое использование активов (см. 8.1.3);
- "чистый стол" и "чистый экран" (см. 11.2.9);
- передача информации (см. 13.2.1);
- мобильные устройства и дистанционная работа (см. 6.2);
- ограничения на установку и использование программного обеспечения (см. 12.6.2);
- e) резервное копирование (см. 12.3);
- f) передача информации (см. 13.2);
- g) защита от вредоносных программ (см. 12.2);
- h) управление техническими уязвимостями (см. 12.6.1);
- i) криптография (раздел 10);
- j) безопасность коммуникаций (раздел 13);
- k) конфиденциальность и защита персональных данных (см. 18.1.4);
- l) взаимоотношения с поставщиками (раздел 15).
Эти политики должны быть доведены до сведения всех работников и причастных внешних сторон в актуальной, доступной и понятной для предполагаемого читателя форме, например в контексте "программы информирования, обучения и практической подготовки (тренинги) в области информационной безопасности" (см. 7.2.2).
Дополнительная информация
Дополнительная информация
Потребность во внутренних политиках ИБ варьируется в зависимости от организации. Внутренние политики особенно полезны в крупных организациях, где лица, определяющие и утверждающие необходимый уровень мер обеспечения ИБ, отделены от лиц, реализующих эти меры; или в ситуациях, когда политика распространяется на многих людей или на многие функции в организации. Политики ИБ могут быть оформлены в виде единого документа, например "Политика информационной безопасности", или в виде набора отдельных, но связанных документов.
Если какие-либо политики ИБ распространяются за пределы организации, то следует следить за тем, чтобы никакая конфиденциальная информация не была разглашена.
Некоторые организации используют другие термины для документов-политик, например "Стандарты", "Инструкции", "Правила".
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.1
А.5.1 Policies for information security
Information security policy and topic-specific policies shall be defined, approved by management, published, communicated to and acknowledged by relevant personnel and relevant interested parties, and reviewed at planned intervals and if significant changes occur.
Information security policy and topic-specific policies shall be defined, approved by management, published, communicated to and acknowledged by relevant personnel and relevant interested parties, and reviewed at planned intervals and if significant changes occur.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.