Куда я попал?
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014
Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения
Р. 7 п. 4 п.п. 3
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
РВН.3.2
РВН.3.2 Проведение проверок на регулярной основе с учетом полномочий работников по доступу к объектам информатизации, задействованным при выполнении бизнес- и технологических процессов.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.2.4
9.2.4
Defined Approach Requirements:
Access to consoles in sensitive areas is restricted via locking when not in use.
Customized Approach Objective:
Physical consoles within sensitive areas cannot be used by unauthorized personnel.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Access to consoles in sensitive areas is restricted via locking when not in use.
Customized Approach Objective:
Physical consoles within sensitive areas cannot be used by unauthorized personnel.
Defined Approach Testing Procedures:
- 9.2.4 Observe a system administrator’s attempt to log into consoles in sensitive areas and verify that they are “locked” to prevent unauthorized use.
Purpose:
Locking console login screens prevents unauthorized persons from gaining access to sensitive information, altering system configurations, introducing vulnerabilities into the network, or destroying records.
Locking console login screens prevents unauthorized persons from gaining access to sensitive information, altering system configurations, introducing vulnerabilities into the network, or destroying records.
Guideline for a healthy information system v.2.0 (EN):
5 STANDARD
/STANDARD
Accounts benefiting from specific permissions are preferred targets for the attackers who want to obtain as wide an access as possible to the information system. They must therefore be subject to very specific attention. This involves carrying out an inventory of these accounts, updating it regularly and entering the following informations into it:
Accounts benefiting from specific permissions are preferred targets for the attackers who want to obtain as wide an access as possible to the information system. They must therefore be subject to very specific attention. This involves carrying out an inventory of these accounts, updating it regularly and entering the following informations into it:
- users with an administrator account or higher rights than those of a standard user in the information system;
- users with rights enough to access the work folders of top managers or all users;
- users using an unmanaged workstation which is not subject to the security measures detailed in the general security policy of the organization.
Carrying out a periodical review of these accounts is strongly recommended in order to ensure that the accesses to sensitive items (notably the work folders and electronic mailboxes of top managers) are controlled. These reviews will also be the opportunity to remove access rights that have become obsolete following the departure of a user, for example.
Lastly, defining and using a simple, clear nomenclature to identify system accounts and administration accounts is desirable. This will make review and intrusion detection easier.
Lastly, defining and using a simple, clear nomenclature to identify system accounts and administration accounts is desirable. This will make review and intrusion detection easier.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.8.1.3
A.8.1.3 Допустимое использование активов
Мера обеспечения информационной безопасности: Должны быть идентифицированы, документально оформлены и реализованы правила допустимого использования активов, включая информацию и средства ее обработки
Мера обеспечения информационной безопасности: Должны быть идентифицированы, документально оформлены и реализованы правила допустимого использования активов, включая информацию и средства ее обработки
A.9.2.1
A.9.2.1 Регистрация и отмена регистрации пользователей
Мера обеспечения информационной безопасности: Для назначения прав доступа должна быть реализована формализованная процедура регистрации и отмены регистрации пользователей
Мера обеспечения информационной безопасности: Для назначения прав доступа должна быть реализована формализованная процедура регистрации и отмены регистрации пользователей
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.2.4
9.2.4
Определенные Требования к Подходу:
Доступ к консолям в критических зонах ограничен блокировкой, когда они не используются.
Цель Индивидуального подхода:
Физические консоли в критических зонах не могут использоваться посторонним персоналом.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Доступ к консолям в критических зонах ограничен блокировкой, когда они не используются.
Цель Индивидуального подхода:
Физические консоли в критических зонах не могут использоваться посторонним персоналом.
Определенные Процедуры Тестирования Подхода:
- 9.2.4 Наблюдайте за попытками системного администратора войти в консоли в конфиденциальных областях и убедитесь, что они “заблокированы” для предотвращения несанкционированного использования.
Цель:
Блокировка экранов входа в консоль предотвращает несанкционированный доступ посторонних лиц к конфиденциальной информации, изменение системных конфигураций, внедрение уязвимостей в сеть или уничтожение записей.
Блокировка экранов входа в консоль предотвращает несанкционированный доступ посторонних лиц к конфиденциальной информации, изменение системных конфигураций, внедрение уязвимостей в сеть или уничтожение записей.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.10
А.5.10 Допустимое использование информационных и иных, связанных с ними активов
Должны быть идентифицированы, задокументированы и внедрены правила и процедуры по безопасному обращению с информационными и иными, связанными с ними активами.
Должны быть идентифицированы, задокументированы и внедрены правила и процедуры по безопасному обращению с информационными и иными, связанными с ними активами.
SWIFT Customer Security Controls Framework v2022:
5 - 5.1 Logical Access Control
5.1 Logical Access Control
Положение Банка России № 757-П от 20.04.2021 "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций":
1.9.
1.9. Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить целостность электронных сообщений и подтвердить их составление уполномоченным на это лицом.
В целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или иных СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.
Указанные в абзаце втором настоящего пункта требования по реализации мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или иных СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения, не применяются в случае, если в целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом при передаче электронных сообщений используются выделенные сегменты вычислительных сетей и указанные меры определены некредитными финансовыми организациями, реализующими усиленный и стандартный уровни защиты информации, как неактуальные в модели угроз и нарушителей безопасности информации.
Признание электронных сообщений, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, должно осуществляться в соответствии со статьей 6 Федерального закона "Об электронной подписи" (Собрание законодательства Российской Федерации, 2011, N 15, ст.2036; 2019, N 52, ст.7794).
В целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или иных СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.
Указанные в абзаце втором настоящего пункта требования по реализации мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или иных СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения, не применяются в случае, если в целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом при передаче электронных сообщений используются выделенные сегменты вычислительных сетей и указанные меры определены некредитными финансовыми организациями, реализующими усиленный и стандартный уровни защиты информации, как неактуальные в модели угроз и нарушителей безопасности информации.
Признание электронных сообщений, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, должно осуществляться в соответствии со статьей 6 Федерального закона "Об электронной подписи" (Собрание законодательства Российской Федерации, 2011, N 15, ст.2036; 2019, N 52, ст.7794).
1.10.
1.10. Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать регламентацию, реализацию, контроль (мониторинг) технологии безопасной обработки защищаемой информации, указанной в абзацах втором - четвертом пункта 1.1 настоящего Положения:
- при идентификации, аутентификации и авторизации своих клиентов в целях осуществления финансовых операций;
- при формировании (подготовке), передаче и приеме электронных сообщений;
- при удостоверении права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом;
- при осуществлении финансовой операции, учете результатов ее осуществления (при наличии учета);
- при хранении электронных сообщений и информации об осуществленных финансовых операциях (далее при совместном упоминании - технологические участки) на основе анализа рисков с соблюдением следующих требований.
Положение Банка России № 683-П от 17.04.2019 "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента":
5.2.2.
5.2.2. Кредитные организации должны обеспечивать регистрацию результатов выполнения действий, связанных с осуществлением доступа к защищаемой информации, на всех технологических участках, указанных в подпункте 5.2 настоящего пункта, которая включает регистрацию действий работников, а также регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.10
А.5.10 Acceptable use of information and other associated assets
Rules for the acceptable use and procedures for handling information and other associated assets shall be identified, documented and implemented.
Rules for the acceptable use and procedures for handling information and other associated assets shall be identified, documented and implemented.
Связанные защитные меры
Ничего не найдено