Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 9.3.2
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
NIST Cybersecurity Framework (RU):
PR.IP-5
PR.IP-5: Соблюдаются политика и положения физической безопасности для организационных активов
Guideline for a healthy information system v.2.0 (EN):
26 STANDARD
/STANDARD
Physical security mechanisms must be a key part of information systems security and be up to date to ensure that they cannot be bypassed easily by a hacker. It is, therefore, advisable to identify the suitable physical security measures and to raise users’ awareness continuously of the risks caused by bypassing these rules.
Access to server rooms and technical areas must be controlled with the assistance of locks or access control mechanisms such as badges. The unaccompanied access of external service providers to sever rooms and technical areas must be prohibited, except if it is possible to strictly monitor the access and limit it to given time intervals. A regular review of the access rights must be carried out, in order to identify any unauthorised access.
When an employee leaves or there is a change of service provider, the access rights must be withdrawn or the access codes changed.
Finally, the network sockets in areas open to the public (meeting room, reception hall, corridors, etc.) must be restricted or deactivated in order to stop a hacker easily gaining access to the company’s network.
Physical security mechanisms must be a key part of information systems security and be up to date to ensure that they cannot be bypassed easily by a hacker. It is, therefore, advisable to identify the suitable physical security measures and to raise users’ awareness continuously of the risks caused by bypassing these rules.
Access to server rooms and technical areas must be controlled with the assistance of locks or access control mechanisms such as badges. The unaccompanied access of external service providers to sever rooms and technical areas must be prohibited, except if it is possible to strictly monitor the access and limit it to given time intervals. A regular review of the access rights must be carried out, in order to identify any unauthorised access.
When an employee leaves or there is a change of service provider, the access rights must be withdrawn or the access codes changed.
Finally, the network sockets in areas open to the public (meeting room, reception hall, corridors, etc.) must be restricted or deactivated in order to stop a hacker easily gaining access to the company’s network.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.3.2
9.3.2
Определенные Требования к Подходу:
Внедрены процедуры авторизации и управления доступом посетителей к CDE, включая:
Определенные Требования к Подходу:
Внедрены процедуры авторизации и управления доступом посетителей к CDE, включая:
- Посетители проходят авторизацию перед входом.
- Посетителей постоянно сопровождают.
- Посетители четко идентифицируются и получают бейдж или другое удостоверение личности, срок действия которого истекает.
- Бейджи посетителей или другие удостоверения личности заметно отличают посетителей от персонала.
Цель Индивидуального подхода:
Требования к доступу посетителей к CDE определены и соблюдаются. Посетители не могут превышать любой разрешенный физический доступ, разрешенный во время пребывания в CDE.
Определенные Процедуры Тестирования Подхода:
Требования к доступу посетителей к CDE определены и соблюдаются. Посетители не могут превышать любой разрешенный физический доступ, разрешенный во время пребывания в CDE.
Определенные Процедуры Тестирования Подхода:
- 9.3.2.a Изучить документированные процедуры и опросить персонал, чтобы убедиться, что процедуры определены для авторизации и управления доступом посетителей к CDE в соответствии со всеми элементами, указанными в этом требовании.
- 9.3.2.b Наблюдайте за процессами, когда посетители присутствуют в CDE, и опрашивайте персонал, чтобы убедиться, что посетители:
- Авторизованы перед входом в CDE.
- Сопровождаемый в любое время в пределах CDE.
- 9.3.2.c Наблюдайте за использованием бейджей для посетителей или других идентификационных данных, чтобы убедиться, что бейдж или другое удостоверение личности не допускают доступа в CDE без сопровождения.
- 9.3.2.d Наблюдать за посетителями в CDE, чтобы убедиться, что:
- Бейджи посетителей или другие удостоверения личности используются для всех посетителей.
- Бейджи или удостоверения личности посетителей легко отличают посетителей от персонала.
- 9.3.2.e Проверяйте бейджи посетителей или другие идентификационные данные и наблюдайте за доказательствами в системе бейджинга, чтобы проверить срок действия бейджей посетителей или других идентификационных данных.
Цель:
Контроль за посетителями важен для уменьшения возможностей несанкционированных и злонамеренных лиц получить доступ к объектам и, возможно, к данным о держателях карт.
Контроль посетителей гарантирует, что посетители идентифицируются как посетители, чтобы персонал мог отслеживать их действия, и что их доступ ограничен только продолжительностью их законного посещения.
Контроль за посетителями важен для уменьшения возможностей несанкционированных и злонамеренных лиц получить доступ к объектам и, возможно, к данным о держателях карт.
Контроль посетителей гарантирует, что посетители идентифицируются как посетители, чтобы персонал мог отслеживать их действия, и что их доступ ограничен только продолжительностью их законного посещения.
Стандарт Банка России № СТО БР ИББС-1.4-2018 от 01.07.2018 "Управление риском нарушения информационной безопасности при аутсорсинге":
Р. 6 п. 4
6.4. Основное требование 3. Организация БС РФ должна обеспечить выполнение своих обязательств перед клиентами и контрагентами, а также возможность проведения эффективного контроля выполнения требований в области защиты информации со стороны Банка России и уполномоченных органов исполнительной власти в рамках выполнения надзорных (контрольных) мероприятий в области защиты информации.
Организации БС РФ рекомендуется реализовать:
- регламентацию и применение организационных мер и технических средств, реализующих контроль доступа работников поставщика услуг и иных лиц к защищаемой информации, а также информационным (автоматизированным) обрабатывающим ее системам;
- обязательное сохранение за организацией БС РФ функций управления предоставлением доступа к защищаемой информации, а при технической невозможности (например, при использовании облачных вычислений по модели SaaS) - контроль выполнения функций по управлению предоставлением доступа к защищаемой информации поставщиком услуг.
Привлечение поставщиков услуг для выполнения работ не должно оказывать влияния на законодательно закрепленные права клиентов по отношению к организации БС РФ, включая право на возврат денежных средств при использовании электронного средства платежа без согласия клиента, установленное статьей 9 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе".
NIST Cybersecurity Framework (EN):
PR.IP-5
PR.IP-5: Policy and regulations regarding the physical operating environment for organizational assets are met
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.