Куда я попал?
Приказ ФСБ России № 196 от 06.05.2019
Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты
III п.6
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 10.4.1.1
10.4.1.1
Defined Approach Requirements:
Automated mechanisms are used to perform audit log reviews.
Customized Approach Objective:
Potentially suspicious or anomalous activities are identified via a repeatable and consistent mechanism.
Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Automated mechanisms are used to perform audit log reviews.
Customized Approach Objective:
Potentially suspicious or anomalous activities are identified via a repeatable and consistent mechanism.
Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment.
Defined Approach Testing Procedures:
- 10.4.1.1 Examine log review mechanisms and interview personnel to verify that automated mechanisms are used to perform log reviews.
Purpose:
Manual log reviews are difficult to perform, even for one or two systems, due to the amount of log data that is generated. However, using log harvesting, parsing, and alerting tools, centralized log management systems, event log analyzers, and security information and event management (SIEM) solutions can help facilitate the process by identifying log events that need to be reviewed.
Good Practice:
The entity should keep logging tools aligned with any changes in their environment by periodically reviewing tool settings and updating settings to reflect any changes.
Manual log reviews are difficult to perform, even for one or two systems, due to the amount of log data that is generated. However, using log harvesting, parsing, and alerting tools, centralized log management systems, event log analyzers, and security information and event management (SIEM) solutions can help facilitate the process by identifying log events that need to be reviewed.
Good Practice:
The entity should keep logging tools aligned with any changes in their environment by periodically reviewing tool settings and updating settings to reflect any changes.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.16.1.5
A.16.1.5 Реагирование на инциденты информационной безопасности
Мера обеспечения информационной безопасности: Реагирование на инциденты информационной безопасности должно осуществляться в соответствии с документально оформленными процедурами
Мера обеспечения информационной безопасности: Реагирование на инциденты информационной безопасности должно осуществляться в соответствии с документально оформленными процедурами
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 10.4.1.1
10.4.1.1
Определенные Требования к Подходу:
Для выполнения проверок журналов аудита используются автоматизированные механизмы.
Цель Индивидуального подхода:
Потенциально подозрительные или аномальные действия выявляются с помощью повторяющегося и последовательного механизма.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Для выполнения проверок журналов аудита используются автоматизированные механизмы.
Цель Индивидуального подхода:
Потенциально подозрительные или аномальные действия выявляются с помощью повторяющегося и последовательного механизма.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 10.4.1.1 Изучить механизмы проверки журналов и опросить персонал, чтобы убедиться, что для проверки журналов используются автоматизированные механизмы.
Цель:
Ручные проверки журналов сложно выполнить даже для одной или двух систем из-за большого объема генерируемых данных журнала. Однако использование инструментов сбора, анализа и оповещения журналов, централизованных систем управления журналами, анализаторов журналов событий и решений для управления информацией о безопасности и событиями (SIEM) может облегчить процесс, определяя события журнала, которые необходимо просмотреть.
Надлежащая практика:
Организация должна поддерживать соответствие инструментов ведения журнала любым изменениям в своей среде, периодически просматривая настройки инструментов и обновляя настройки, чтобы отразить любые изменения.
Ручные проверки журналов сложно выполнить даже для одной или двух систем из-за большого объема генерируемых данных журнала. Однако использование инструментов сбора, анализа и оповещения журналов, централизованных систем управления журналами, анализаторов журналов событий и решений для управления информацией о безопасности и событиями (SIEM) может облегчить процесс, определяя события журнала, которые необходимо просмотреть.
Надлежащая практика:
Организация должна поддерживать соответствие инструментов ведения журнала любым изменениям в своей среде, периодически просматривая настройки инструментов и обновляя настройки, чтобы отразить любые изменения.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.26
А.5.26 Реагирование на инциденты ИБ
Реагирование на инциденты ИБ должно осуществляться в соответствии с документированными процедурами.
Реагирование на инциденты ИБ должно осуществляться в соответствии с документированными процедурами.
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
16.1.5
16.1.5 Реагирование на инциденты информационной безопасности
Мера обеспечения ИБ
Реагирование на инциденты ИБ должно осуществляться в соответствии с документально оформленными процедурами.
Руководство по применению
Реагирование на инциденты ИБ должно осуществляться назначенными контактными лицами и другими соответствующими лицами из числа самой организации или сторонних организаций (см. 16.1.1).
Реагирование должно включать в себя следующее:
- a) как можно более быстрый сбор свидетельств произошедшего;
- b) проведение криминалистического анализа ИБ по мере необходимости (см. 16.1.7);
- c) эскалация, если требуется;
- d) обеспечение того, что все выполняемые действия по реагированию соответствующим образом зарегистрированы для дальнейшего анализа;
- e) информирование о факте инцидента ИБ или любых существенных деталях о нем других лиц из числа самой организации или сторонних организаций в соответствии с принципом "необходимого знания";
- f) устранение недостатка(ов) ИБ, которые могут стать причиной или способствовать возникновению инцидента;
- g) после того, как инцидент успешно отработан, необходимо формально закрыть и записать его.
После инцидента должен проводиться анализ для выявления первопричины инцидента.
Дополнительная информация
Первоочередной целью реагирования на инцидент является возобновление "нормального уровня безопасности", а затем инициирование необходимого восстановления.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.26
А.5.26 Response to information security incidents
Information security incidents shall be responded to in accordance with the documented procedures.
Information security incidents shall be responded to in accordance with the documented procedures.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.