Куда я попал?
Стандарт Банка России № РС БР ИББС-2.5-2014 от 01.06.2014
Менеджмент инцидентов информационной безопасности
Р. 7 п. 1 п.п. 5
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 6. п.п. 6
6.6. Кредитные организации в части нейтрализации информационных угроз со стороны внутреннего нарушителя разрабатывают и принимают организационные и технические меры в отношении субъектов доступа, привлекаемых в рамках выполнения технологических процессов, направленные на исключение возможности несанкционированного использования предоставленных указанным субъектам доступа полномочий.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 7.2.3
7.2.3
Defined Approach Requirements:
Required privileges are approved by authorized personnel
Customized Approach Objective:
Access privileges cannot be granted to users without appropriate, documented authorization.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Required privileges are approved by authorized personnel
Customized Approach Objective:
Access privileges cannot be granted to users without appropriate, documented authorization.
Defined Approach Testing Procedures:
- 7.2.3.a Examine policies and procedures to verify they define processes for approval of all privileges by authorized personnel.
- 7.2.3.b Examine user IDs and assigned privileges, and compare with documented approvals to verify that:
- Documented approval exists for the assigned privileges.
- The approval was by authorized personnel.
- Specified privileges match the roles assigned to the individual.
Purpose:
Documented approval (for example, in writing or electronically) assures that those with access and privileges are known and authorized by management, and that their access is necessary for their job function.
Documented approval (for example, in writing or electronically) assures that those with access and privileges are known and authorized by management, and that their access is necessary for their job function.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 7.2.3
7.2.3
Определенные Требования к Подходу:
Необходимые привилегии утверждаются уполномоченным персоналом
Цель Индивидуального подхода:
Права доступа не могут быть предоставлены пользователям без соответствующей документированной авторизации.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Необходимые привилегии утверждаются уполномоченным персоналом
Цель Индивидуального подхода:
Права доступа не могут быть предоставлены пользователям без соответствующей документированной авторизации.
Определенные Процедуры Тестирования Подхода:
- 7.2.3.a Изучите политики и процедуры, чтобы убедиться, что они определяют процессы утверждения всех привилегий уполномоченным персоналом.
- 7.2.3.b Проверьте идентификаторы пользователей и назначенные привилегии и сравните с документально подтвержденными утверждениями, чтобы убедиться, что:
- Для присвоенных привилегий существует документально подтвержденное утверждение.
- Одобрение было получено уполномоченным персоналом.
- Указанные привилегии соответствуют ролям, назначенным данному лицу.
Цель:
Документально оформленное одобрение (например, в письменной или электронной форме) гарантирует, что лица, обладающие доступом и привилегиями, известны и авторизованы руководством, и что их доступ необходим для выполнения их должностных функций.
Документально оформленное одобрение (например, в письменной или электронной форме) гарантирует, что лица, обладающие доступом и привилегиями, известны и авторизованы руководством, и что их доступ необходим для выполнения их должностных функций.
Положение Банка России № 779-П от 15.11.2021 "Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"":
п. 1.9.
1.9. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны принимать организационные и технические меры в отношении субъектов доступа, являющихся работниками указанных некредитных финансовых организаций и работниками поставщиков услуг, привлекаемых в рамках выполнения технологических процессов, предусмотренных в приложении к настоящему Положению, направленные на управление риском реализации информационных угроз, обусловленным возможностью несанкционированного использования предоставленных указанным субъектам доступа полномочий.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.