Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 8.6.2
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
РД.17
РД.17 Запрет на использование технологии аутентификации с сохранением аутентификационных данных в открытом виде в СВТ
3-Т 2-Т 1-Т
3-Т 2-Т 1-Т
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ИАФ.4
ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 8.6.2
8.6.2
Определенные Требования к Подходу:
Пароли/парольные фразы для любых учетных записей приложений и систем, которые можно использовать для интерактивного входа в систему, не жестко закодированы в скриптах, файлах конфигурации/свойств или в специально разработанном и настраиваемом исходном коде.
Цель Индивидуального подхода:
Пароли/парольные фразы, используемые учетными записями приложений и систем, не могут быть использованы неавторизованным персоналом.
Примечания по применению:
Сохраненные пароли/парольные фразы должны быть зашифрованы в соответствии с требованием PCI DSS 8.3.2.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Пароли/парольные фразы для любых учетных записей приложений и систем, которые можно использовать для интерактивного входа в систему, не жестко закодированы в скриптах, файлах конфигурации/свойств или в специально разработанном и настраиваемом исходном коде.
Цель Индивидуального подхода:
Пароли/парольные фразы, используемые учетными записями приложений и систем, не могут быть использованы неавторизованным персоналом.
Примечания по применению:
Сохраненные пароли/парольные фразы должны быть зашифрованы в соответствии с требованием PCI DSS 8.3.2.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 8.6.2.a Провести собеседование с персоналом и изучить процедуры разработки системы, чтобы убедиться, что процессы определены для учетных записей приложений и системы, которые могут использоваться для интерактивного входа в систему, указав, что пароли / парольные фразы не жестко закодированы в сценариях, файлах конфигурации / свойств или заказном и пользовательском исходном коде.
- 8.6.2.b Изучите сценарии, файлы конфигурации/свойств, а также индивидуальный и пользовательский исходный код для учетных записей приложений и систем, которые могут использоваться для интерактивного входа в систему, чтобы убедиться, что пароли / парольные фразы для этих учетных записей отсутствуют.
Цель:
Ненадлежащая защита паролей/парольных фраз, используемых учетными записями приложений и систем, особенно если эти учетные записи могут использоваться для интерактивного входа в систему, увеличивает риск и успех несанкционированного использования этих привилегированных учетных записей.
Надлежащая практика:
Изменение этих значений из-за предполагаемого или подтвержденного раскрытия информации может быть особенно трудным для реализации.
Инструменты могут облегчить как управление, так и безопасность факторов аутентификации для учетных записей приложений и систем. Например, рассмотрите хранилища паролей или другие управляемые системой элементы управления.
Ненадлежащая защита паролей/парольных фраз, используемых учетными записями приложений и систем, особенно если эти учетные записи могут использоваться для интерактивного входа в систему, увеличивает риск и успех несанкционированного использования этих привилегированных учетных записей.
Надлежащая практика:
Изменение этих значений из-за предполагаемого или подтвержденного раскрытия информации может быть особенно трудным для реализации.
Инструменты могут облегчить как управление, так и безопасность факторов аутентификации для учетных записей приложений и систем. Например, рассмотрите хранилища паролей или другие управляемые системой элементы управления.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ИАФ.4
ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИАФ.4
ИАФ.4 Управление средствами аутентификации
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ИАФ.4
ИАФ.4 Управление средствами аутентификации
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.