Куда я попал?
Стандарт Банка России № СТО БР ИББС-1.4-2018 от 01.07.2018
Управление риском нарушения информационной безопасности при аутсорсинге
Р. 6 п. 4
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
6.4. Основное требование 3. Организация БС РФ должна обеспечить выполнение своих обязательств перед клиентами и контрагентами, а также возможность проведения эффективного контроля выполнения требований в области защиты информации со стороны Банка России и уполномоченных органов исполнительной власти в рамках выполнения надзорных (контрольных) мероприятий в области защиты информации.Организации БС РФ рекомендуется реализовать:
- регламентацию и применение организационных мер и технических средств, реализующих контроль доступа работников поставщика услуг и иных лиц к защищаемой информации, а также информационным (автоматизированным) обрабатывающим ее системам;
- обязательное сохранение за организацией БС РФ функций управления предоставлением доступа к защищаемой информации, а при технической невозможности (например, при использовании облачных вычислений по модели SaaS) - контроль выполнения функций по управлению предоставлением доступа к защищаемой информации поставщиком услуг.
Привлечение поставщиков услуг для выполнения работ не должно оказывать влияния на законодательно закрепленные права клиентов по отношению к организации БС РФ, включая право на возврат денежных средств при использовании электронного средства платежа без согласия клиента, установленное статьей 9 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе".
Похожие требования
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 9.3.3
9.3.3
Defined Approach Requirements:
Visitor badges or identification are surrendered or deactivated before visitors leave the facility or at the date of expiration.
Customized Approach Objective:
Visitor identification or badges cannot be reused after expiration.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Visitor badges or identification are surrendered or deactivated before visitors leave the facility or at the date of expiration.
Customized Approach Objective:
Visitor identification or badges cannot be reused after expiration.
Defined Approach Testing Procedures:
- 9.3.3 Observe visitors leaving the facility and interview personnel to verify visitor badges or other identification are surrendered or deactivated before visitors leave the facility or at the date of expiration upon departure or expiration.
Purpose:
Ensuring that visitor badges are returned or deactivated upon expiry or completion of the visit prevents malicious persons from using a previously authorized pass to gain physical access into the building after the visit has ended.
Ensuring that visitor badges are returned or deactivated upon expiry or completion of the visit prevents malicious persons from using a previously authorized pass to gain physical access into the building after the visit has ended.
Requirement 9.3.2
9.3.2
Defined Approach Requirements:
Procedures are implemented for authorizing and managing visitor access to the CDE, including:
Defined Approach Requirements:
Procedures are implemented for authorizing and managing visitor access to the CDE, including:
- Visitors are authorized before entering.
- Visitors are escorted at all times.
- Visitors are clearly identified and given a badge or other identification that expires.
- Visitor badges or other identification visibly distinguishes visitors from personnel.
Customized Approach Objective:
Requirements for visitor access to the CDE are defined and enforced. Visitors cannot exceed any authorized physical access allowed while in the CDE.
Defined Approach Testing Procedures:
Requirements for visitor access to the CDE are defined and enforced. Visitors cannot exceed any authorized physical access allowed while in the CDE.
Defined Approach Testing Procedures:
- 9.3.2.a Examine documented procedures and interview personnel to verify procedures are defined for authorizing and managing visitor access to the CDE in accordance with all elements specified in this requirement.
- 9.3.2.b Observe processes when visitors are present in the CDE and interview personnel to verify that visitors are:
- Authorized before entering the CDE.
- Escorted at all times within the CDE.
- 9.3.2.c Observe the use of visitor badges or other identification to verify that the badge or other identification does not permit unescorted access to the CDE.
- 9.3.2.d Observe visitors in the CDE to verify that:
- Visitor badges or other identification are being used for all visitors.
- Visitor badges or identification easily distinguish visitors from personnel.
- 9.3.2.e Examine visitor badges or other identification and observe evidence in the badging system to verify visitor badges or other identification expires.
Purpose:
Visitor controls are important to reduce the ability of unauthorized and malicious persons to gain access to facilities and potentially to cardholder data.
Visitor controls ensure visitors are identifiable as visitors so personnel can monitor their activities, and that their access is restricted to just the duration of their legitimate visit.
Visitor controls are important to reduce the ability of unauthorized and malicious persons to gain access to facilities and potentially to cardholder data.
Visitor controls ensure visitors are identifiable as visitors so personnel can monitor their activities, and that their access is restricted to just the duration of their legitimate visit.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 9.3.3
9.3.3
Определенные Требования к Подходу:
Бейджи или удостоверения личности посетителей сдаются или деактивируются до того, как посетители покидают заведение, или в день истечения срока их действия.
Цель Индивидуального подхода:
Удостоверение личности посетителя или бейджи не могут быть использованы повторно по истечении срока действия.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Бейджи или удостоверения личности посетителей сдаются или деактивируются до того, как посетители покидают заведение, или в день истечения срока их действия.
Цель Индивидуального подхода:
Удостоверение личности посетителя или бейджи не могут быть использованы повторно по истечении срока действия.
Определенные Процедуры Тестирования Подхода:
- 9.3.3 Наблюдать за посетителями, покидающими заведение, и опрашивать персонал, чтобы убедиться, что бейджи посетителей или другие удостоверения личности сданы или деактивированы до того, как посетители покинут заведение, или в день истечения срока действия при выезде или истечении срока действия.
Цель:
Обеспечение возврата или деактивации бейджей посетителей по истечении срока действия или завершения посещения не позволяет злоумышленникам использовать ранее авторизованный пропуск для получения физического доступа в здание после завершения посещения.
Обеспечение возврата или деактивации бейджей посетителей по истечении срока действия или завершения посещения не позволяет злоумышленникам использовать ранее авторизованный пропуск для получения физического доступа в здание после завершения посещения.
Requirement 9.3.2
9.3.2
Определенные Требования к Подходу:
Внедрены процедуры авторизации и управления доступом посетителей к CDE, включая:
Определенные Требования к Подходу:
Внедрены процедуры авторизации и управления доступом посетителей к CDE, включая:
- Посетители проходят авторизацию перед входом.
- Посетителей постоянно сопровождают.
- Посетители четко идентифицируются и получают бейдж или другое удостоверение личности, срок действия которого истекает.
- Бейджи посетителей или другие удостоверения личности заметно отличают посетителей от персонала.
Цель Индивидуального подхода:
Требования к доступу посетителей к CDE определены и соблюдаются. Посетители не могут превышать любой разрешенный физический доступ, разрешенный во время пребывания в CDE.
Определенные Процедуры Тестирования Подхода:
Требования к доступу посетителей к CDE определены и соблюдаются. Посетители не могут превышать любой разрешенный физический доступ, разрешенный во время пребывания в CDE.
Определенные Процедуры Тестирования Подхода:
- 9.3.2.a Изучить документированные процедуры и опросить персонал, чтобы убедиться, что процедуры определены для авторизации и управления доступом посетителей к CDE в соответствии со всеми элементами, указанными в этом требовании.
- 9.3.2.b Наблюдайте за процессами, когда посетители присутствуют в CDE, и опрашивайте персонал, чтобы убедиться, что посетители:
- Авторизованы перед входом в CDE.
- Сопровождаемый в любое время в пределах CDE.
- 9.3.2.c Наблюдайте за использованием бейджей для посетителей или других идентификационных данных, чтобы убедиться, что бейдж или другое удостоверение личности не допускают доступа в CDE без сопровождения.
- 9.3.2.d Наблюдать за посетителями в CDE, чтобы убедиться, что:
- Бейджи посетителей или другие удостоверения личности используются для всех посетителей.
- Бейджи или удостоверения личности посетителей легко отличают посетителей от персонала.
- 9.3.2.e Проверяйте бейджи посетителей или другие идентификационные данные и наблюдайте за доказательствами в системе бейджинга, чтобы проверить срок действия бейджей посетителей или других идентификационных данных.
Цель:
Контроль за посетителями важен для уменьшения возможностей несанкционированных и злонамеренных лиц получить доступ к объектам и, возможно, к данным о держателях карт.
Контроль посетителей гарантирует, что посетители идентифицируются как посетители, чтобы персонал мог отслеживать их действия, и что их доступ ограничен только продолжительностью их законного посещения.
Контроль за посетителями важен для уменьшения возможностей несанкционированных и злонамеренных лиц получить доступ к объектам и, возможно, к данным о держателях карт.
Контроль посетителей гарантирует, что посетители идентифицируются как посетители, чтобы персонал мог отслеживать их действия, и что их доступ ограничен только продолжительностью их законного посещения.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.