1. AC Управління доступом
1.1. AC-1 Політика та процедури управління доступом
1.2. AC-2 Управління обліковими записами
1.2.1. Визначити та задокументувати типи облікових записів системи, дозволених для використання в ІС для підтримки цілей, завдань, функцій і процесів організації.
1.2.2. Призначити менеджерів облікових записів для управління системними обліковими записами.
1.2.3. Створити умови для групового та рольового членства.
1.2.4. Визначити авторизованих користувачів інформаційної системи, членство в групі та ролі, а також дозволи доступу (наприклад, привілеї) та інші атрибути (за потреби) для кожного облікового запису.
1.2.5. Вимагати схвалення запитів на створення облікових записів системи.
1.2.6. Створювати, активувати, змінювати, деактивувати та видаляти системні облікові записи
1.2.7. Впровадити моніторинг використання облікових записів системи.
1.2.8. Повідомляти адміністраторів облікових записів у межах
1.2.8.1. 1. коли облікові записи більше не потрібні;
1.2.8.2. 2. коли користувачі звільнені чи переведені;
1.2.8.3. 3. коли використовуються індивідуальні системи або наявні зміни, які потребують нових знань.
1.2.9. Авторизувати доступ до системи на основі:
1.2.9.1. 1. Дійсної авторизації доступу
1.2.9.2. 2. Передбачуваного використання системи
1.2.9.3. 3. Інших атрибутів, що вимагаються організацією.
1.2.10. Проводити перегляд облікових записів на відповідність вимогам управління обліковими записами
1.2.11. Впровадити процес повторного випуску облікових даних спільного/групового облікового запису (якщо він буде розгорнутий), коли особи виходять з групи.
1.2.11.1. Узгодити процеси управління обліковими записами з процесами звільнення та переводу (передачі повноважень) персоналу.
1.3. AC-3 Забезпечення доступу
1.3.1. Застосовувати затверджені повноваження для логічного доступу до інформації та ресурсів системи відповідно до чинної політики (правил) управління доступом.
1.4. AC-4 Управління інформаційними потоками
1.4.1. Застосувати затверджені повноваження для управління потоком інформації всередині системи та між пов’язаними системами на основі [Призначення: визначеними організацією політиками управління інформаційним потоком].
1.5. AC-5 Розмежування обов’язків
1.5.1. Розмежувати і документувати [Призначення: визначені організацією обов’язки окремих осіб].
1.5.2. Установити правила авторизації доступу для підтримки розмежування обов’язків.
1.6. AC-6 Мінімізація повноважень
1.6.1. Впровадити принцип мінімізації повноважень, який дозволяє користувачам (або процесам, що діють від імені користувачів) здійснювати лише такі авторизовані звернення, які необхідні для виконання визначених завдань відповідно до цілей (призначення, місії) організації та функцій.
1.6.2. Авторизуваний доступ для [Призначення: особи або ролі, визначені організацією] до:
1.6.2.1. [Призначення: функції безпеки, визначені організацією (розгорнуті в апаратному, програмному та мікропрограмному забезпеченні)];
1.6.2.2. [Призначення: визначена організацією інформація, необхідна для забезпечення безпеки].
1.6.3. Вимагати від користувачів облікових записів системи або ролей, які мають доступ до [Призначення: визначених організацією функцій безпеки або інформації, що стосується безпеки], використовувати непривілейовані облікові записи чи ролі під час доступу до незахищених функцій.
1.6.4. Обмежити привілейовані облікові записи в системі згідно з [Призначення: визначеним організацією персоналом або ролями].
1.7. AC-7 Невдалі спроби входу в систему
1.7.1. Вжити заходи для запобігання можливості виконувати привілейовані функції непривілейованими користувачами.
1.7.1.1. Встановити обмеження на [Призначення: визначену організацією кількість] послідовних неуспішних спроб входу користувача в систему впродовж [Призначення: визначеного організацією часового періоду].
1.7.1.2. Автоматично виконати [Вибір (один або декілька): блокування облікового запису/вузла на [Призначення: визначений організацією часовий період]; блокування облікового запису/вузла, доки він не буде розблокований адміністратором; затримання наступної команди входу в систему за [Надання: визначеним організацією алгоритмом затримки]; виконати [Призначення: визначені організацією дії]], коли перевищено максимальну кількість невдалих спроб входу в систему.
1.8. AC-8 Попередження про використання системи
1.8.1. Демонструвати користувачам [Призначення: визначене організацією сповіщення або банер про використання системи] перед тим, як надавати доступ до системи, що забезпечує безпеку та приватність відповідно до чинних законів, нормативних документів, наказів, директив, політик, правил, стандартів і керівних принципів, які зазначають, що:
1.8.1.1. користувачі здійснюють доступ до урядової системи;
1.8.1.2. використання системи може контролюватися, реєструватися та підлягати аудиту;
1.8.1.3. несанкціоноване використання системи забороняється та приводить до кримінальної та цивільної відповідальності;
1.8.1.4. використання системи означає згоду на моніторинг і запис дій користувача.
1.8.2. Зберігати сповіщення або банер на екрані, доки користувачі не визнають умови використання та не приймуть явних дій для входу в систему або подальшого доступу до системи.
1.8.3. Для загальнодоступних систем:
1.8.3.1. демонструвати інформацію про умови використання системи [Призначення: визначені організацією умови], перш ніж надавати подальший доступ до загальнодоступної системи;
1.8.3.2. демонструвати посилання, якщо такі є, на моніторинг, запис або аудит, які узгоджуються з акомодацією приватності для таких систем, які зазвичай забороняють такі дії;
1.8.3.3. мати опис авторизованого використання системи.
1.9. AC-9 Сповіщення про попередній вхід (доступ)
1.10. AC-10 Управління паралельною сесією
1.11. AC-11 Блокування пристрою
1.11.1. Заборонити подальший доступ до системи шляхом ініціювання блокування пристрою після [Призначення: визначеного організацією періоду] бездіяльності або після отримання запиту від користувача
1.11.2. Зберігати блокування пристрою, поки користувач не відновить доступ, використовуючи встановлені процедури ідентифікації та автентифікації.
1.11.3. Приховувати, через блокування пристрою, інформацію, раніше видиму на дисплеї, із загальнодоступним зображенням.
1.12. AC-12 Припинення сеансу
1.12.1. Сеанс користувача має завершуватися автоматично після [Призначення: визначених організацією умов або тригерних подій, що вимагають припинення сеансу].
1.13. AC-13 Нагляд та огляд — управління доступом
1.14. AC-14 Дозволені дії без ідентифікації або автентифікації
1.15. AC-15 Автоматизоване маркування
1.16. AC-16 Атрибути безпеки та приватності
1.17. AC-17 Віддалений доступ
1.17.1. Встановити та задокументувати обмеження на використання, вимоги до конфігурації/підключення та рекомендації щодо здійснення кожного типу віддаленого доступу.
1.17.2. Авторизувати віддалений доступ до системи, перш ніж будуть дозволені такі підключення. Авторизовано віддалений доступ на основі прав користувача.
1.17.3. Виконувати маршрутизацію всього віддаленого доступу через авторизовані та керовані точки контролю управління доступом до мережі.
1.17.4. Авторизувати виконання привілейованих команд і доступ до інформації, що стосується безпеки, за допомогою віддаленого доступу тільки для [Призначення: визначених організацією потреб];
1.17.5. Задокументувати обґрунтування такого доступу в плані захисту інформації для системи.
1.18. AC-18 Бездротовий доступ
1.18.1. Установити обмеження на використання, вимоги до конфігурації/підключення та рекомендації щодо здійснення бездротового доступу.
1.18.2. Авторизувати бездротовий доступ до системи, перш ніж будуть дозволені такі підключення.
1.19. AC-19 Контроль доступу для мобільних пристроїв
1.19.1. Встановити обмеження на використання, вимоги до конфігурації, вимоги до підключення і рекомендації щодо впровадження мобільних пристроїв, контрольованих організацією.
1.19.2. Авторизувати підключення мобільних пристроїв до систем, які експлуатуються організацією.
1.19.3. Організація має застосувати [Вибір: повне шифрування пристроїв; шифрування сховищ інформації] для захисту конфіденційності та цілісності інформації на [Призначення: визначених організацією мобільних пристроях].
1.20. AC-20 Використання зовнішніх систем
1.20.1. [Вибір (один або кілька): Встановіть [Призначення: умови, визначені організацією]; Визначте [Призначення: визначені організацією засоби контролю, які, як стверджується, будуть реалізовані на зовнішніх системах]], узгоджені з довірчими відносинами, встановленими з іншими організаціями, які володіють, експлуатують та/або обслуговують зовнішні системи, дозволяючи уповноваженим особам:
1.20.1.1. доступ до системи із зовнішніх систем;
1.20.1.2. обробляти, зберігати або передавати керовану організацією інформацію за допомогою зовнішніх систем;
1.20.2. Заборонити використання [Призначення: організаційно-визначені типи зовнішніх систем].
1.20.3. Дозволити авторизованим особам використовувати зовнішню систему для доступу до системи або для обробки, зберігання чи передачі інформації, що контролюється організацією, лише після:
1.20.3.1. перевірки виконання необхідних заходів безпеки та приватності щодо зовнішніх систем, як зазначено в політиці безпеки та приватності організації, а також планах безпеки та приватності;
1.20.3.2. збереження погоджених угод про підключення або обробку системи з організаційною структурою, на якій розміщена зовнішня система.
1.20.4. Обмежити використання портативних пристроїв зберігання даних авторизованими особами на зовнішніх системах за допомогою [Призначення: обмеження, визначені організацією].
1.21. AC-21 Розповсюдження інформації
1.22. AC-22 Публічно доступний контент
1.22.1. Призначити осіб, що уповноважені на розміщення інформації в загальнодоступній системі.
1.22.2. Навчати уповноважених осіб тому, щоб загальнодоступна інформація не містила інформацію з обмеженим доступом.
1.22.3. Переглядати запропонований зміст інформації до публікації в загальнодоступній системі, щоб гарантувати, що там не міститься інформація з обмеженим доступом.
1.22.4. Переглядати вміст загальнодоступної системи на предмет наявності там інформації з обмеженим доступом з [Призначення: визначеною організацією частотою]; така інформація має бути видалена в разі її виявлення.
1.23. AC-23 Захист від несанкціонованого інтелектуального аналізу даних
1.24. AC-24 Рішення щодо управління доступом
1.25. AC-25 Диспетчер доступу
2. AT Обізнаність і навчання
2.1. AT-1 Політика та процедури підвищення обізнаності та навчання
2.2. AT-2 Навчання з підвищення обізнаності
2.3. AT-3 Рольове навчання
2.4. AT-4 Навчальні записи
2.5. AT-5 Контакти з групами безпеки та асоціаціями
2.6. AT-6 Відгуки про проведені навчання
3. AU Аудит і підзвітність
3.1. AU-1 Політика та процедури аудиту та підзвітності
3.2. AU-2 Події аудиту
3.3. AU-3 Зміст записів аудиту
3.4. AU-4 Місткість сховища записів аудиту
3.5. AU-5 Реагування на відмови обробки даних аудиту
3.6. AU-6 Огляд, аналіз і звітність аудиту
3.7. AU-7 Скорочення записів аудиту та формування звіту
3.8. AU-8 Позначка часу
3.9. AU-9 Захист інформації аудиту
3.9.1. Авторизувати доступ до управління функціональністю аудиту тільки для [Призначення: визначеної організацією підмножини привілейованих користувачів].