Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Russian Unified Cyber Security Framework (на основе The 18 CIS CSC)



Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

NIST Cybersecurity Framework (RU):
PR.AC-1: Для авторизованных устройств, пользователей и процессов выдаются, управляются, верифицируются, аннулируются и проверяются идентификационные и учетные данные
PR.IP-11: Кибербезопасность включена в практику работы с персоналом (например, ограничение доступа, проверка персонала) 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 7.2.4
Defined Approach Requirements: 
All user accounts and related access privileges, including third-party/vendor accounts, are reviewed as follows:
  • At least once every six months.
  • To ensure user accounts and access remain appropriate based on job function.
  • Any inappropriate access is addressed.
  • Management acknowledges that access remains appropriate. 
Customized Approach Objective:
Account privilege assignments are verified periodically by management as correct, and nonconformities are remediated. 

Applicability Notes:
This requirement applies to all user accounts and related access privileges, including those used by personnel and third parties/vendors, and accounts used to access third-party cloud services. 
See Requirements 7.2.5 and and 8.6.1 through 8.6.3 for controls for application and system accounts. 
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment. 

Defined Approach Testing Procedures:
  • 7.2.4.a Examine policies and procedures to verify they define processes to review all user accounts and related access privileges, including thirdparty/vendor accounts, in accordance with all elements specified in this requirement. 
  • 7.2.4.b Interview responsible personnel and examine documented results of periodic reviews of user accounts to verify that all the results are in accordance with all elements specified in this requirement. 
Regular review of access rights helps to detect excessive access rights remaining after user job responsibilities change, system functions change, or other modifications. If excessive user rights are not revoked in due time, they may be used by malicious users for unauthorized access. 
This review provides another opportunity to ensure that accounts for all terminated users have been removed (if any were missed at the time of termination), as well as to ensure that any third parties that no longer need access have had their access terminated. 

Good Practice:
When a user transfers into a new role or a new department, typically the privileges and access associated with their former role are no longer required. Continued access to privileges or functions that are no longer required may introduce the risk of misuse or errors. Therefore, when responsibilities change, processes that revalidate access help to ensure user access is appropriate for the user’s new responsibilities. 
Entities can consider implementing a regular, repeatable process for conducting reviews of access rights, and assigning “data owners” that are responsible for managing and monitoring access to data related to their job function and that also ensure user access remains current and appropriate. As an example, a direct manager could review team access monthly, while the senior manager reviews their groups’ access quarterly, both making updates to access as needed. The intent of these best practices is to support and facilitate conducting the reviews at least once every 6 months. 
Requirement 7.2.1
Defined Approach Requirements: 
An access control model is defined and includes granting access as follows: 
  • Appropriate access depending on the entity’s business and access needs.
  • Access to system components and data resources that is based on users’ job classification and functions.
  • The least privileges required (for example, user, administrator) to perform a job function. 
Customized Approach Objective:
Access requirements are established according to job functions following least-privilege and need-toknow principles 

Defined Approach Testing Procedures:
  • 7.2.1.a Examine documented policies and procedures and interview personnel to verify the access control model is defined in accordance with all elements specified in this requirement. 
  • 7.2.1.b Examine access control model settings and verify that access needs are appropriately defined in accordance with all elements specified in this requirement. 
Defining an access control model that is appropriate for the entity’s technology and access control philosophy supports a consistent and uniform way of allocating access and reduces the possibility of errors such as the granting of excessive rights. 

Good Practice:
A factor to consider when defining access needs is the separation of duties principle. This principle is intended to prevent fraud and misuse or theft of resources. For example, 1) dividing missioncritical functions and information system support functions among different individuals and/or functions, 2) establishing roles such that information system support activities are performed by different functions/individuals (for example, system management, programming, configuration management, quality assurance and testing, and network security), and 3) ensuring security personnel administering access control functions do not also administer audit functions. 
In environments where one individual performs multiple functions, such as administration and security operations, duties may be assigned so that no single individual has end-to-end control of a process without an independent checkpoint. For example, responsibility for configuration and responsibility for approving changes could be assigned to separate individuals. 

Key elements of an access control model include:
  • Resources to be protected (the systems/devices/data to which access is needed), 
  • Job functions that need access to the resource (for example, system administrator, call-center personnel, store clerk), and 
  • Which activities each job function needs to perform (for example, read/write or query). 
Once job functions, resources, and activities per job functions are defined, individuals can be granted access accordingly. 

Access control models that entities can consider include role-based access control (RBAC) and attribute-based access control (ABAC). The access control model used by a given entity depends on their business and access needs. 
Requirement 8.2.6
Defined Approach Requirements: 
Inactive user accounts are removed or disabled within 90 days of inactivity. 

Customized Approach Objective:
Inactive user accounts cannot be used 

Defined Approach Testing Procedures:
  • 8.2.6 Examine user accounts and last logon information, and interview personnel to verify that any inactive user accounts are removed or disabled within 90 days of inactivity. 
Accounts that are not used regularly are often targets of attack since it is less likely that any changes, such as a changed password, will be noticed. As such, these accounts may be more easily exploited and used to access cardholder data. 

Good Practice:
Where it may be reasonably anticipated that an account will not be used for an extended period of time, such as an extended leave of absence, the account should be disabled as soon as the leave begins, rather than waiting 90 days. 
Guideline for a healthy information system v.2.0 (EN):
The staff of an organization, whether public or private, is constantly changing : arrivals, departures, internal mobility. Therefore it is necessary to update the rights and accesses to the information system in accordance with these developments. It is essential that all of the rights granted to an individual are revoked when he or she leaves or changes position. The arrival and departure procedures must therefore be defined, in accordance with the human resources department. They must, as a minimum, take into account:
  • the creation and deletion of IT accounts and their corresponding mailboxes;
  • the rights and accesses to grant to, or remove from, an individual whose role changes;
  • the management of physical accesses to premises (granting and return of badges and keys, etc.);
  • the allocation of mobile devices (laptops, USB sticks, hard drives, smartphone, etc.);
  • the management of sensitive documents and information (transferring passwords, changing passwords or codes in existing systems). 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.9.2.6 Аннулирование или корректировка прав доступа 
Мера обеспечения информационной безопасности: Права доступа всех работников и внешних пользователей к информации и средствам ее обработки должны быть аннулированы (после их увольнения, истечения срока действия договора или соглашения) либо скорректированы в случае необходимости 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 16.7 CSC 16.7 Establish Process for Revoking Access
Establish and follow an automated process for revoking system access by disabling accounts immediately upon termination or change of responsibilities of an employee or contractor . Disabling these accounts, instead of deleting accounts, allows preservation of audit trails.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 7.2.1
Определенные Требования к Подходу:
Определена модель управления доступом, которая включает в себя предоставление доступа следующим образом:
  • Соответствующий доступ в зависимости от бизнеса организации и потребностей в доступе.
  • Доступ к системным компонентам и ресурсам данных, основанный на классификации и функциях пользователей.
  • Наименьшие привилегии, необходимые (например, пользователь, администратор) для выполнения рабочей функции.
Цель Индивидуального подхода:
Требования к доступу устанавливаются в соответствии с должностными функциями в соответствии с принципами наименьших привилегий и необходимости знать

Определенные Процедуры Тестирования Подхода:
  • 7.2.1.a Изучите документированные политики и процедуры и опросите персонал, чтобы убедиться, что модель контроля доступа определена в соответствии со всеми элементами, указанными в этом требовании.
  • 7.2.1.b Изучите настройки модели управления доступом и убедитесь, что потребности в доступе определены надлежащим образом в соответствии со всеми элементами, указанными в этом требовании.
Определение модели управления доступом, соответствующей технологии организации и философии управления доступом, поддерживает последовательный и единообразный способ распределения доступа и снижает вероятность ошибок, таких как предоставление чрезмерных прав.

Надлежащая практика:
Фактором, который следует учитывать при определении потребностей в доступе, является принцип разделения обязанностей. Этот принцип предназначен для предотвращения мошенничества и неправильного использования или кражи ресурсов. Например, 1) разделение критически важных функций и функций поддержки информационной системы между различными лицами и/или функциями, 2) установление ролей таким образом, чтобы деятельность по поддержке информационной системы выполнялась различными функциями/лицами (например, управление системой, программирование, управление конфигурацией, обеспечение качества и тестирование, а также сетевая безопасность), и 3) обеспечение того, чтобы сотрудники службы безопасности, выполняющие функции контроля доступа, не выполняли также функции аудита.
В средах, где один человек выполняет несколько функций, таких как администрирование и операции безопасности, обязанности могут быть распределены таким образом, чтобы ни один отдельный человек не имел сквозного контроля над процессом без независимой контрольной точки. Например, ответственность за настройку и ответственность за утверждение изменений могут быть возложены на отдельных лиц.

Ключевые элементы модели контроля доступа включают в себя:
  • Ресурсы, подлежащие защите (системы/устройства/данные, к которым необходим доступ),
  • Рабочие функции, которым требуется доступ к ресурсу (например, системный администратор, персонал колл-центра, продавец в магазине), и
  • Какие действия должна выполнять каждая функция задания (например, чтение /запись или запрос).
Как только рабочие функции, ресурсы и действия для каждой рабочей функции определены, отдельным лицам может быть предоставлен соответствующий доступ.

Модели управления доступом, которые могут учитывать организации, включают управление доступом на основе ролей (RBAC) и управление доступом на основе атрибутов (ABAC). Модель управления доступом, используемая данной организацией, зависит от их бизнеса и потребностей в доступе.
Requirement 8.2.6
Определенные Требования к Подходу:
Неактивные учетные записи пользователей удаляются или отключаются в течение 90 дней бездействия.

Цель Индивидуального подхода:
Неактивные учетные записи пользователей не могут быть использованы

Определенные Процедуры Тестирования Подхода:
  • 8.2.6 Проверьте учетные записи пользователей и информацию о последнем входе в систему, а также опросите персонал, чтобы убедиться, что все неактивные учетные записи пользователей удалены или отключены в течение 90 дней бездействия.
Учетные записи, которые не используются регулярно, часто становятся объектами атак, поскольку менее вероятно, что какие-либо изменения, такие как изменение пароля, будут замечены. Таким образом, эти учетные записи могут быть более легко использованы для доступа к данным о держателях карт.

Надлежащая практика:
Если можно обоснованно предположить, что учетная запись не будет использоваться в течение длительного периода времени, например, в течение длительного отпуска, учетная запись должна быть отключена сразу после начала отпуска, а не ждать 90 дней.
Requirement 7.2.4
Определенные Требования к Подходу:
Все учетные записи пользователей и связанные с ними права доступа, включая учетные записи третьих лиц/поставщиков, проверяются следующим образом:
  • По крайней мере, раз в полгода.
  • Чтобы гарантировать, что учетные записи пользователей и доступ остаются соответствующими в зависимости от выполняемой работы.
  • Любой ненадлежащий доступ устраняется.
  • Руководство признает, что доступ остается надлежащим.
Цель Индивидуального подхода:
Присвоение привилегий учетной записи периодически проверяется руководством на правильность, и несоответствия устраняются.

Примечания по применению:
Это требование применяется ко всем учетным записям пользователей и связанным с ними привилегиям доступа, включая учетные записи, используемые персоналом и третьими лицами/поставщиками, а также учетные записи, используемые для доступа к сторонним облачным сервисам.
См. Требования 7.2.5 и и 8.6.1-8.6.3 для элементов управления учетными записями приложений и систем.
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:
  • 7.2.4.a Изучите политики и процедуры, чтобы убедиться, что они определяют процессы для проверки всех учетных записей пользователей и связанных с ними прав доступа, включая учетные записи третьих лиц/поставщиков, в соответствии со всеми элементами, указанными в этом требовании.
  • 7.2.4.b Опросите ответственный персонал и изучите документированные результаты периодических проверок учетных записей пользователей, чтобы убедиться, что все результаты соответствуют всем элементам, указанным в этом требовании.
Регулярная проверка прав доступа помогает обнаружить избыточные права доступа, оставшиеся после изменения должностных обязанностей пользователя, изменения системных функций или других изменений. Если чрезмерные права пользователя не будут отозваны своевременно, они могут быть использованы злоумышленниками для несанкционированного доступа.
Эта проверка предоставляет еще одну возможность убедиться, что учетные записи всех прекращенных пользователей были удалены (если таковые были пропущены во время прекращения), а также убедиться, что доступ любых третьих лиц, которым больше не нужен доступ, был прекращен.

Надлежащая практика:
Когда пользователь переходит на новую роль или в новый отдел, обычно привилегии и доступ, связанные с его прежней ролью, больше не требуются. Постоянный доступ к привилегиям или функциям, которые больше не требуются, может привести к риску неправильного использования или ошибок. Поэтому, когда обязанности меняются, процессы, которые повторно проверяют доступ, помогают гарантировать, что доступ пользователя соответствует новым обязанностям пользователя.
Организации могут рассмотреть возможность внедрения регулярного, повторяющегося процесса для проведения проверок прав доступа и назначения “владельцев данных”, которые отвечают за управление и мониторинг доступа к данным, связанным с их должностной функцией, и которые также обеспечивают, чтобы доступ пользователей оставался актуальным и надлежащим. В качестве примера, непосредственный руководитель может ежемесячно проверять доступ к группе, в то время как старший менеджер проверяет доступ своих групп ежеквартально, внося обновления в доступ по мере необходимости. Цель этих рекомендаций состоит в том, чтобы поддерживать и облегчать проведение обзоров не реже одного раза в 6 месяцев.
NIST Cybersecurity Framework (EN):
PR.IP-11 PR.IP-11: Cybersecurity is included in human resources practices (e.g., deprovisioning, personnel screening)
PR.AC-1 PR.AC-1: Identities and credentials are issued, managed, verified, revoked, and audited for authorized devices, users and processes
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
9.2.6 Аннулирование или корректировка прав доступа

Мера обеспечения ИБ
Права доступа всех работников и внешних пользователей к информации и средствам ее обработки должны быть аннулированы (после их увольнения, истечения срока действия договора или соглашения) либо скорректированы в случае необходимости.

Руководство по применению
После завершения трудовых отношений права доступа пользователя к информации и активам, связанным со средствами обработки информации и сервисов, должны быть удалены или приостановлены. Это определит, нужно ли удалять права доступа. Изменения в должности должны находить отражение в удалении всех прав доступа, которые не были одобрены для новой позиции. Права доступа, которые должны быть удалены или изменены, распространяются также на физический и логический доступ. Удаление или изменение прав доступа могут быть выполнены путем удаления, отзыва или замены ключей, идентификационных карточек, средств обработки информации или абонементов. Любая документация, определяющая права доступа работников и подрядчиков, должна отражать удаление или изменение прав доступа. Если работнику или внешнему пользователю, прекращающему работу, известны пароли для остающихся активными логинов пользователей, они должны быть изменены после прекращения или изменения трудовых отношений, контракта или соглашения.

Права доступа к информации и активам, связанным со средствами обработки информации, должны быть сокращены или удалены до прекращения трудовых отношений или их изменения в зависимости от оценки риска, связанного с такими факторами, как:
  • a) кем было инициировано прекращение или изменение трудовых отношений: работником, сторонним пользователем или руководством, а также причина прекращения отношений;
  • b) текущие обязанности работника, внешнего пользователя или любого другого пользователя;
  • c) ценность активов, находящихся в текущем доступе.

Дополнительная информация
В определенных обстоятельствах права доступа могут быть назначены более широкому кругу людей, нежели увольняемые работники или внешние пользователи, например с использованием групповых идентификаторов. В таком случае увольняемые работники должны быть удалены из любого списка группового доступа и должны быть приняты меры, чтобы уведомить всех других работников и внешних пользователей о том, чтобы не передавать более эту информацию лицу, покидающему организацию.
В том случае, когда увольнение инициировано руководством, недовольные работники или внешние пользователи могут намеренно повредить информацию или вывести из строя средства обработки информации. Уволившиеся или уволенные работники могут попытаться скопировать информацию для будущего использования.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.