Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 9.3.3
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
NIST Cybersecurity Framework (RU):
PR.IP-5
PR.IP-5: Соблюдаются политика и положения физической безопасности для организационных активов
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.3.3
9.3.3
Определенные Требования к Подходу:
Бейджи или удостоверения личности посетителей сдаются или деактивируются до того, как посетители покидают заведение, или в день истечения срока их действия.
Цель Индивидуального подхода:
Удостоверение личности посетителя или бейджи не могут быть использованы повторно по истечении срока действия.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Бейджи или удостоверения личности посетителей сдаются или деактивируются до того, как посетители покидают заведение, или в день истечения срока их действия.
Цель Индивидуального подхода:
Удостоверение личности посетителя или бейджи не могут быть использованы повторно по истечении срока действия.
Определенные Процедуры Тестирования Подхода:
- 9.3.3 Наблюдать за посетителями, покидающими заведение, и опрашивать персонал, чтобы убедиться, что бейджи посетителей или другие удостоверения личности сданы или деактивированы до того, как посетители покинут заведение, или в день истечения срока действия при выезде или истечении срока действия.
Цель:
Обеспечение возврата или деактивации бейджей посетителей по истечении срока действия или завершения посещения не позволяет злоумышленникам использовать ранее авторизованный пропуск для получения физического доступа в здание после завершения посещения.
Обеспечение возврата или деактивации бейджей посетителей по истечении срока действия или завершения посещения не позволяет злоумышленникам использовать ранее авторизованный пропуск для получения физического доступа в здание после завершения посещения.
Стандарт Банка России № СТО БР ИББС-1.4-2018 от 01.07.2018 "Управление риском нарушения информационной безопасности при аутсорсинге":
Р. 6 п. 4
6.4. Основное требование 3. Организация БС РФ должна обеспечить выполнение своих обязательств перед клиентами и контрагентами, а также возможность проведения эффективного контроля выполнения требований в области защиты информации со стороны Банка России и уполномоченных органов исполнительной власти в рамках выполнения надзорных (контрольных) мероприятий в области защиты информации.
Организации БС РФ рекомендуется реализовать:
- регламентацию и применение организационных мер и технических средств, реализующих контроль доступа работников поставщика услуг и иных лиц к защищаемой информации, а также информационным (автоматизированным) обрабатывающим ее системам;
- обязательное сохранение за организацией БС РФ функций управления предоставлением доступа к защищаемой информации, а при технической невозможности (например, при использовании облачных вычислений по модели SaaS) - контроль выполнения функций по управлению предоставлением доступа к защищаемой информации поставщиком услуг.
Привлечение поставщиков услуг для выполнения работ не должно оказывать влияния на законодательно закрепленные права клиентов по отношению к организации БС РФ, включая право на возврат денежных средств при использовании электронного средства платежа без согласия клиента, установленное статьей 9 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе".
NIST Cybersecurity Framework (EN):
PR.IP-5
PR.IP-5: Policy and regulations regarding the physical operating environment for organizational assets are met
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.