Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям Положение Банка России № 719-П... Глава 1 п. 4
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Положение Банка России № 719-П от 04.06.2020

О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств

Глава 1 п. 4

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 11 п.п. 3-6
7.11.3. Требования по обеспечению информационной безопасности, установленные в разделе 7 и разделе 8 настоящего стандарта, направлены на нейтрализацию актуальных (применительно к большинству организаций БС РФ, актуальными являются те угрозы, риск реализации которых в организации БС РФ является недопустимым) угроз безопасности персональных данных. 
7.11.4. С учетом специфики обработки и обеспечения безопасности персональных данных в организациях БС РФ, угрозы утечки персональных данных по техническим каналам, а также угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в ИСПДн, рекомендуется признавать неактуальными для организаций БС РФ.
7.11.5. Результатом оценки рисков нарушения безопасности персональных данных является Модель угроз безопасности персональных данных, содержащая актуальные для организации БС РФ угрозы безопасности персональных данных, на основе которой вырабатываются требования, учитывающие особенности обработки персональных данных в конкретной организации БС РФ и расширяющие требования разделов 7 и 8 настоящего стандарта.
7.11.6. Для выполнения требований к защите персональных данных для второго уровня защищенности ПДн при их обработке в ИСПДн, установленного Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”, рекомендуется реализовывать следующие меры: в части обеспечения ИБ АБС на стадиях жизненного цикла:
  • определение, выполнение и регистрация процедур контроля целостности и обеспечения доверенной загрузки программного обеспечения, в том числе программного обеспечения технических защитных мер, на средствах вычислительной техники, входящих в ИСПДн;
  • определение, выполнение, регистрация и контроль процедур доступа к эксплуатационной документации и архивным файлам, содержащим параметры настройки ИСПДн, в том числе настройки применяемых технических защитных мер;
  • определение, выполнение, регистрация и контроль процедур резервного копирования и обеспечения возможности восстановления ПДн;
  • определение, выполнение, регистрация и контроль процедур резервного копирования и обеспечения возможности восстановления программного обеспечения, в том числе программного обеспечения технических защитных мер, входящего в состав ИСПДн; 
в части обеспечения ИБ при управлении доступом и регистрации:
  • идентификация и аутентификация устройств, используемых для осуществления доступа;
  • размещение технических средств, предназначенных для администрирования ИСПДн, автоматизированных мест пользователей и серверных компонент ИСПДн в отдельных выделенных сегментах вычислительных сетей;
  • мониторинг сетевого трафика, выявление вторжений и сетевых атак и реагирование на них;
  • определение, выполнение, регистрация и контроль процедур обновления сигнатурных баз технических защитных мер, мониторинг сетевого трафика, выявление вторжений и сетевых атак; в части обеспечения ИБ банковских информационных технологических процессов:
  • определение, выполнение, регистрация и контроль процедур использования коммуникационных портов, устройств ввода-вывода информации, съемных машинных носителей и внешних накопителей информации;
  • определение, выполнение, регистрация и контроль процедур доступа к архивам ПДн. 
Р. 7 п. 8 п.п. 6
7.8.6. Комплекс защитных мер банковского платежного технологического процесса должен предусматривать, в том числе:
  • защиту платежной информации от искажения, фальсификации, переадресации, несанкционированного уничтожения, ложной авторизации электронных платежных сообщений;
  • доступ работника организации БС РФ только к тем ресурсам банковского платежного технологического процесса, которые необходимы ему для исполнения должностных обязанностей или реализации прав, предусмотренных технологией обработки платежной информации;
  • контроль (мониторинг) исполнения установленной технологии подготовки, обработки, передачи и хранения платежной информации;
  • аутентификацию входящих электронных платежных сообщений;
  • двустороннюю аутентификацию автоматизированных рабочих мест (рабочих станций и серверов), участников обмена электронными платежными сообщениями;
  • возможность ввода платежной информации в АБС только для авторизованных пользователей;
  • контроль, направленный на исключение возможности совершения злоумышленных действий, в частности двойной ввод, сверка, установление ограничений в зависимости от суммы совершаемых операций;
  • восстановление платежной информации в случае ее умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники;
  • сверку выходных электронных платежных сообщений с соответствующими входными и обработанными электронными платежными сообщениями при осуществлении межбанковских расчетов;
  • возможность блокирования приема к исполнению распоряжений клиентов;
  • доставку электронных платежных сообщений участникам обмена.
Кроме того, в организации БС РФ рекомендуется организовать авторизованный ввод платежной информации в АБС двумя работниками с последующей программной сверкой результатов ввода на совпадение (принцип "двойного управления").
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
РД.40
РД.40 Регистрация осуществления субъектами логического доступа идентификации и аутентификации
3-Т 2-Т 1-Т
NIST Cybersecurity Framework (RU):
DE.CM-3
DE.CM-3: Деятельность персонала отслеживается для выявления потенциальных событий кибербезопасности 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 10.2.2
10.2.2
Defined Approach Requirements: 
Audit logs record the following details for each auditable event:
  • User identification.
  • Type of event.
  • Date and time.
  • Success and failure indication.
  • Origination of event.
  • Identity or name of affected data, system component, resource, or service (for example, name and protocol). 
Customized Approach Objective:
Sufficient data to be able to identify successful and failed attempts and who, what, when, where, and how for each event listed in requirement 10.2.1 are captured. 

Defined Approach Testing Procedures:
  • 10.2.2 Interview personnel and examine audit log configurations and log data to verify that all elements specified in this requirement are included in log entries for each auditable event (from 10.2.1.1 through 10.2.1.7). 
Purpose:
By recording these details for the auditable events at 10.2.1.1 through 10.2.1.7, a potential compromise can be quickly identified, with sufficient detail to facilitate following up on suspicious activities. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 10.2.2
10.2.2
Определенные Требования к Подходу:
Журналы аудита записывают следующие сведения для каждого проверяемого события:
  • Идентификация пользователя.
  • Тип события.
  • Дата и время.
  • Индикация успеха и неудачи.
  • Возникновение события.
  • Идентификатор или имя затронутых данных, системного компонента, ресурса или службы (например, имя и протокол).
Цель Индивидуального подхода:
Фиксируются достаточные данные, позволяющие идентифицировать успешные и неудачные попытки, а также кто, что, когда, где и как для каждого события, перечисленного в требовании 10.2.1.

Определенные Процедуры Тестирования Подхода:
  • 10.2.2 Опросите персонал и изучите конфигурации журнала аудита и данные журнала, чтобы убедиться, что все элементы, указанные в этом требовании, включены в записи журнала для каждого проверяемого события (с 10.2.1.1 по 10.2.1.7).
Цель:
Записывая эти сведения для проверяемых событий в пунктах с 10.2.1.1 по 10.2.1.7, можно быстро идентифицировать потенциальный компромисс с достаточной детализацией, чтобы облегчить отслеживание подозрительных действий.
Положение Банка России № 808-П от 17.10.2022 "О требованиях к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций":
Глава 2 Пункт 7
2.7. Бюро кредитных историй должны обеспечивать регистрацию результатов совершения следующих действий, связанных с осуществлением доступа к защищаемой информации:
  • идентификации, аутентификации и авторизации субъектов взаимодействия при совершении действий с кредитными историями;
  • приема (передачи) электронных сообщений при взаимодействии бюро кредитных историй с субъектами взаимодействия и другими бюро кредитных историй, в том числе для удостоверения права субъектов взаимодействия осуществлять действия с защищаемой информацией и для учета результатов осуществления действий с кредитными историями;
  • осуществления доступа работников бюро кредитных историй (далее - работники) к защищаемой информации и осуществления субъектами взаимодействия действий с защищаемой информацией, выполняемых с использованием автоматизированных систем, программного обеспечения.
Регистрации подлежат следующие данные о действиях, выполняемых работниками с использованием автоматизированных систем, программного обеспечения:
  • дата (день, месяц, год) и время (часы, минуты, секунды) совершения работником действий с защищаемой информацией;
  • присвоенный работнику идентификатор, позволяющий установить работника в автоматизированной системе, программном обеспечении;
  • код, соответствующий технологическому участку;
  • результат совершения работником действия с защищаемой информацией (успешно или неуспешно);
  • информация, используемая для идентификации устройств, при помощи которых либо в отношении которых осуществлен доступ к автоматизированной системе, программному обеспечению в целях совершения работником действий с защищаемой информацией.
Регистрации подлежат следующие данные о действиях, выполняемых субъектами взаимодействия с использованием автоматизированных систем, программного обеспечения:
  • дата (день, месяц, год) и время (часы, минуты, секунды) совершения субъектом взаимодействия действий с защищаемой информацией;
  • присвоенный субъекту взаимодействия идентификатор, позволяющий установить субъект взаимодействия в автоматизированной системе, программном обеспечении;
  • код, соответствующий технологическому участку;
  • результат совершения субъектом взаимодействия действия с защищаемой информацией (успешно или неуспешно);
  • информация, используемая для идентификации устройств, при помощи которых либо в отношении которых осуществлен доступ к автоматизированной системе, программному обеспечению в целях совершения субъектом взаимодействия действий с защищаемой информацией.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
АУД.9 АУД.9 Анализ действий пользователей
АУД.3 АУД.3 Генерирование временных меток и (или) синхронизация системного времени
АУД.4 АУД.4 Регистрация событий безопасности
NIST Cybersecurity Framework (EN):
DE.CM-3 DE.CM-3: Personnel activity is monitored to detect potential cybersecurity events
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
АУД.9 АУД.9 Анализ действий отдельных пользователей
АУД.4 АУД.4 Регистрация событий безопасности
АУД.3 АУД.3 Генерирование временных меток и (или) синхронизация системного времени

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.