Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Framework № PCI DSS 4.0 от 01.03.2022

Payment Card Industry Data Security Standard

Requirement 8.5.1

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ЗВС.1
ЗВС.1 Применение сетевых протоколов, обеспечивающих защиту подлинности сетевого соединения, контроль целостности сетевого взаимодействия и реализацию технологии двухсторонней аутентификации при осуществлении логического доступа с использованием телекоммуникационных каналов и (или) линий связи, не контролируемых финансовой организацией
3-Т 2-Т 1-Т
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 8.5.1
8.5.1
Определенные Требования к Подходу:
Системы MFA реализуются следующим образом:
  • Система MFA не подвержена повторным атакам.
  • Системы MFA не могут быть обойдены никакими пользователями, включая административных пользователей, если это специально не задокументировано и не разрешено руководством в порядке исключения в течение ограниченного периода времени.
  • Используются по меньшей мере два различных типа факторов аутентификации.
  • Для предоставления доступа требуется успешное выполнение всех факторов аутентификации.
Цель Индивидуального подхода:
Системы MFA устойчивы к атакам и строго контролируют любые административные переопределения.

Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:
  • 8.5.1.a Изучите системную документацию поставщика, чтобы убедиться, что система MFA не подвержена повторным атакам.
  • 8.5.1.b Изучите системные конфигурации для реализации MFA, чтобы убедиться, что она настроена в соответствии со всеми элементами, указанными в этом требовании.
  • 8.5.1.c Проводить собеседования с ответственным персоналом и наблюдать за процессами, чтобы убедиться, что любые запросы на обход MFA специально документируются и разрешаются руководством в порядке исключения в течение ограниченного периода времени.
  • 8.5.1.d Наблюдайте за персоналом, входящим в системные компоненты в CDE, чтобы убедиться, что доступ предоставляется только после успешного выполнения всех факторов аутентификации.
  • 8.5.1.e Наблюдайте за персоналом, подключающимся удаленно из-за пределов сети организации, чтобы убедиться, что доступ предоставляется только после успешного выполнения всех факторов аутентификации.
Цель:
Злоумышленники могут обойти плохо настроенные системы MFA. Таким образом, это требование касается конфигурации системы (систем) MFA, которые предоставляют MFA для пользователей, получающих доступ к системным компонентам в CDE.

Определения:
Использование одного типа фактора дважды (например, использование двух отдельных паролей) не считается многофакторной аутентификацией.

Дополнительная информация:
Для получения дополнительной информации о системах и функциях MFA обратитесь к следующему:
  • Информационное дополнение PCI SSC: Многофакторная аутентификация
  • Часто задаваемые вопросы (часто задаваемые вопросы) PCI SSC по этой теме.

Связанные защитные меры

Ничего не найдено