Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 8.6.1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
NIST Cybersecurity Framework (RU):
PR.AC-1
PR.AC-1: Для авторизованных устройств, пользователей и процессов выдаются, управляются, верифицируются, аннулируются и проверяются идентификационные и учетные данные
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.9.2.4
A.9.2.4 Процесс управления секретной аутентификационной информацией пользователей
Мера обеспечения информационной безопасности: Предоставление секретной аутентификационной информации должно контролироваться посредством формального процесса управления.
Мера обеспечения информационной безопасности: Предоставление секретной аутентификационной информации должно контролироваться посредством формального процесса управления.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 8.6.1
8.6.1
Определенные Требования к Подходу:
Если учетные записи, используемые системами или приложениями, могут использоваться для интерактивного входа в систему, управление ими осуществляется следующим образом:
Определенные Требования к Подходу:
Если учетные записи, используемые системами или приложениями, могут использоваться для интерактивного входа в систему, управление ими осуществляется следующим образом:
- Интерактивное использование запрещено, за исключением случаев, когда это необходимо в исключительных обстоятельствах.
- Интерактивное использование ограничено временем, необходимым для исключительных обстоятельств.
- Бизнес-обоснование интерактивного использования задокументировано.
- Интерактивное использование явно одобрено руководством.
- Индивидуальная идентификация пользователя подтверждается до предоставления доступа к учетной записи.
- Каждое предпринятое действие относится к отдельному пользователю.
Цель Индивидуального подхода:
При интерактивном использовании все действия с учетными записями, обозначенными как учетные записи системы или приложения, разрешены и относятся к отдельному лицу.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
При интерактивном использовании все действия с учетными записями, обозначенными как учетные записи системы или приложения, разрешены и относятся к отдельному лицу.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 8.6.1 Изучите учетные записи приложений и систем, которые можно использовать в интерактивном режиме, и опросите административный персонал, чтобы убедиться, что управление учетными записями приложений и систем осуществляется в соответствии со всеми элементами, указанными в этом требовании.
Цель:
Как и учетные записи отдельных пользователей, учетные записи системы и приложений требуют подотчетности и строгого управления, чтобы гарантировать, что они используются только по назначению и не используются не по назначению.
Злоумышленники часто компрометируют учетные записи системы или приложений, чтобы получить доступ к данным о держателях карт.
Надлежащая практика:
По возможности настройте учетные записи системы и приложений так, чтобы запретить интерактивный вход в систему, чтобы неавторизованные пользователи не могли входить в систему и использовать учетную запись с соответствующими системными привилегиями, а также ограничить количество компьютеров и устройств, на которых может использоваться учетная запись.
Определения:
Системные или прикладные учетные записи - это учетные записи, которые выполняют процессы или задачи в компьютерной системе или приложении и обычно не являются учетными записями, в которые пользователь входит. Эти учетные записи обычно имеют повышенные привилегии, необходимые для выполнения специализированных задач или функций.
Интерактивный вход в систему - это возможность для пользователя войти в учетную запись системы или приложения таким же образом, как и обычная учетная запись пользователя. Использование учетных записей системы и приложений таким образом означает отсутствие подотчетности и отслеживания действий, предпринятых пользователем.
Как и учетные записи отдельных пользователей, учетные записи системы и приложений требуют подотчетности и строгого управления, чтобы гарантировать, что они используются только по назначению и не используются не по назначению.
Злоумышленники часто компрометируют учетные записи системы или приложений, чтобы получить доступ к данным о держателях карт.
Надлежащая практика:
По возможности настройте учетные записи системы и приложений так, чтобы запретить интерактивный вход в систему, чтобы неавторизованные пользователи не могли входить в систему и использовать учетную запись с соответствующими системными привилегиями, а также ограничить количество компьютеров и устройств, на которых может использоваться учетная запись.
Определения:
Системные или прикладные учетные записи - это учетные записи, которые выполняют процессы или задачи в компьютерной системе или приложении и обычно не являются учетными записями, в которые пользователь входит. Эти учетные записи обычно имеют повышенные привилегии, необходимые для выполнения специализированных задач или функций.
Интерактивный вход в систему - это возможность для пользователя войти в учетную запись системы или приложения таким же образом, как и обычная учетная запись пользователя. Использование учетных записей системы и приложений таким образом означает отсутствие подотчетности и отслеживания действий, предпринятых пользователем.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.17
А.5.17 Аутентификационная информация
Распределение и управление аутентификационной информацией должно контролироваться процессом управления, включая информирование персонала о надлежащем обращении с аутентификационной информацией.
Распределение и управление аутентификационной информацией должно контролироваться процессом управления, включая информирование персонала о надлежащем обращении с аутентификационной информацией.
А.8.5
А.8.5 Безопасная аутентификация
Технологии и процедуры безопасной аутентификации должны быть внедрены на основании ограничений доступа к информации и специфической тематической политики по контролю доступа.
Технологии и процедуры безопасной аутентификации должны быть внедрены на основании ограничений доступа к информации и специфической тематической политики по контролю доступа.
NIST Cybersecurity Framework (EN):
PR.AC-1
PR.AC-1: Identities and credentials are issued, managed, verified, revoked, and audited for authorized devices, users and processes
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
9.2.4
9.2.4 Процесс управления секретной аутентификационной информацией пользователей
Мера обеспечения ИБ
Предоставление секретной аутентификационной информации должно контролироваться посредством формального процесса управления.
Руководство по применению
Этот процесс должен включать в себя следующие требования:
- a) пользователи должны подписывать соглашение о сохранении конфиденциальности личной секретной аутентификационной информации и секретной аутентификационной информации группы (то есть совместно используемой информации) исключительно в пределах группы; это подписанное соглашение может быть включено в правила и условия работы (см. 7.1.2);
- b) в тех случаях, когда пользователи должны сами обеспечивать сохранность своей секретной аутентификационной информации, им вначале должна быть выдана временная секретная информация аутентификации, которую они должны изменить при первом использовании;
- c) должны быть установлены процедуры для проверки личности пользователя перед предоставлением новой (в том числе временной) секретной аутентификационной информации или заменой старой информации;
- d) временная секретная аутентификационная информация должна передаваться пользователю безопасным способом; следует избегать использования третьих сторон или незащищенного (открытого) текста сообщений электронной почты;
- e) временная секретная аутентификационная информация должна быть уникальной для конкретного пользователя и не должна быть легко угадываемой;
- f) пользователи должны подтвердить получение секретной аутентификационной информации;
- g) секретная аутентификационная информация, установленная по умолчанию производителем, должна быть изменена после установки системы или программного обеспечения.
Дополнительная информация
Пароли являются широко используемым типом секретной аутентификационной информации и распространенным средством проверки подлинности пользователя. Другим типом секретной аутентификационной информации являются криптографические ключи и другие данные, хранящиеся на аппаратных токенах (например, смарт-картах), которые генерируют коды аутентификации.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.17
А.5.17 Authentication information
Allocation and management of authentication information shall be controlled by a management process, including advising personnel of appropriate handling of authentication information.
Allocation and management of authentication information shall be controlled by a management process, including advising personnel of appropriate handling of authentication information.
А.8.5
А.8.5 Secure authentication
Secure authentication technologies and procedures shall be implemented based on information access restrictions and the topic-specific policy on access control.
Secure authentication technologies and procedures shall be implemented based on information access restrictions and the topic-specific policy on access control.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.