Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014

Р. 8 п. 9 п.п. 7

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.5.1.3
9.5.1.3
Defined Approach Requirements: 
Training is provided for personnel in POI environments to be aware of attempted tampering or replacement of POI devices, and includes:
  • Verifying the identity of any third-party persons claiming to be repair or maintenance personnel, before granting them access to modify or troubleshoot devices.
  • Procedures to ensure devices are not installed, replaced, or returned without verification. 
  • Being aware of suspicious behavior around devices.
  • Reporting suspicious behavior and indications of device tampering or substitution to appropriate personnel. 
Customized Approach Objective:
Personnel are knowledgeable about the types of attacks against POI devices, the entity’s technical and procedural countermeasures, and can access assistance and guidance when required. 

Defined Approach Testing Procedures:
  • 9.5.1.3.a Review training materials for personnel in POI environments to verify they include all elements specified in this requirement. 
  • 9.5.1.3.b Interview personnel in POI environments to verify they have received training and know the procedures for all elements specified in this requirement. 
Purpose:
Criminals will often pose as authorized maintenance personnel to gain access to POI devices. 

Good Practice:
Personnel training should include being alert to and questioning anyone who shows up to do POI maintenance to ensure they are authorized and have a valid work order, including any agents, maintenance or repair personnel, technicians, service providers, or other third parties. All third parties requesting access to devices should always be verified before being provided access—for example, by checking with management or phoning the POI maintenance company, such as the vendor or acquirer, for verification. Many criminals will try to fool personnel by dressing for the part (for example, carrying toolboxes and dressed in work apparel), and could also be knowledgeable about locations of devices, so personnel should be trained to always follow procedures. 
Another trick that criminals use is to send a “new” POI device with instructions for swapping it with a legitimate device and “returning” the legitimate device. The criminals may even provide return postage to their specified address. Therefore, personnel should always verify with their manager or supplier that the device is legitimate and came from a trusted source before installing it or using it for business. 

Examples:
Suspicious behavior that personnel should be aware of includes attempts by unknown persons to unplug or open devices. 
Ensuring personnel are aware of mechanisms for reporting suspicious behavior and who to report such behavior to—for example, a manager or security officer—will help reduce the likelihood and potential impact of a device being tampered with or substituted. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.5.1.3
9.5.1.3
Определенные Требования к Подходу:
Для персонала, работающего в среде POI, проводится обучение, чтобы он был осведомлен о попытках взлома или замены устройств POI, и включает в себя:
  • Проверка личности любых сторонних лиц, утверждающих, что они являются ремонтным или обслуживающим персоналом, прежде чем предоставлять им доступ к модификации или устранению неполадок устройств.
  • Процедуры, гарантирующие, что устройства не будут установлены, заменены или возвращены без проверки.
  • Быть осведомленным о подозрительном поведении вокруг устройств.
  • Сообщать соответствующему персоналу о подозрительном поведении и признаках взлома или замены устройства.
Цель Индивидуального подхода:
Персонал осведомлен о типах атак на устройства POI, технических и процедурных контрмерах организации и при необходимости может получить помощь и рекомендации.

Определенные Процедуры Тестирования Подхода:
  • 9.5.1.3.a Просмотрите учебные материалы для персонала в средах POI, чтобы убедиться, что они включают все элементы, указанные в этом требовании.
  • 9.5.1.3.b Провести собеседование с персоналом в среде POI, чтобы убедиться, что он прошел обучение и знает процедуры для всех элементов, указанных в этом требовании.
Цель:
Преступники часто выдают себя за авторизованный обслуживающий персонал, чтобы получить доступ к устройствам POI.

Надлежащая практика:
Обучение персонала должно включать в себя предупреждение и опрос всех, кто приходит для обслуживания POI, чтобы убедиться, что они авторизованы и имеют действительный заказ на работу, включая любых агентов, обслуживающий или ремонтный персонал, техников, поставщиков услуг или других третьих лиц. Все третьи стороны, запрашивающие доступ к устройствам, всегда должны быть проверены перед предоставлением доступа — например, путем проверки у руководства или звонка в компанию по обслуживанию POI, такую как поставщик или покупатель, для проверки. Многие преступники будут пытаться обмануть персонал, одеваясь соответственно роли (например, носить ящики с инструментами и рабочую одежду), а также могут быть осведомлены о расположении устройств, поэтому персонал должен быть обучен всегда следовать процедурам.
Еще один трюк, который используют преступники, заключается в отправке “нового” POI-устройства с инструкциями по замене его на законное устройство и “возврату” законного устройства. Преступники могут даже предоставить обратную почтовую отправку по указанному ими адресу. Поэтому персонал всегда должен проверять у своего менеджера или поставщика, что устройство является законным и получено из надежного источника, прежде чем устанавливать его или использовать в коммерческих целях.

Примеры:
Подозрительное поведение, о котором должен знать персонал, включает попытки неизвестных лиц отключить или открыть устройства.
Информирование персонала о механизмах сообщения о подозрительном поведении и о том, кому сообщать о таком поведении — например, менеджеру или сотруднику службы безопасности, — поможет снизить вероятность и потенциальное воздействие подделки или замены устройства.

Связанные защитные меры

Ничего не найдено