Куда я попал?
Приказ ФСТЭК России № 239 от 25.12.2017
Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости
СОВ.0
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
СОВ.0 Регламентация правил и процедур предотвращения вторжений (компьютерных атак)Обязательно для категории значимости К1 К2
Похожие требования
Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 8
8. Кредитные организации, размер активов которых составляет 500 миллиардов рублей и более на начало текущего отчетного года в соответствии со значением статьи "Всего активов", определяемым в соответствии с Разработочной таблицей для составления бухгалтерского баланса (публикуемой формы) пункта 3 Порядка составления и представления отчетности по форме 0409806 "Бухгалтерский баланс (публикуемая форма)", установленного приложением 1 к Указанию Банка России от 8 октября 2018 года N 4927-У "О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации", и которые являются субъектами критической информационной инфраструктуры в соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 года N 187-ФЗ, должны выполнять требования, направленные на противодействие целевым компьютерным атакам в зависимости от уровня опасности, установленные федеральным органом исполнительной власти, уполномоченным в сфере обеспечения безопасности критической информационной инфраструктуры Российской Федерации.
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ВРВ.17.1
ВРВ.17.1 Сдерживание и (или) предотвращение реализации компьютерных атак и их последовательностей, в том числе на разных уровнях информационной инфраструктуры, с учетом технического описания сценариев возможных компьютерных атак;
ВРВ.1
ВРВ.1 Организация мониторинга и выявления событий реализации информационных угроз в рамках процессов, реализуемых в соответствии с требованиями ГОСТ Р 57580.1., в целях своевременного обнаружения:
- компьютерных атак;
- аномальной активности лиц, имеющих легальный доступ к объектам информатизации финансовой организации;
- неправомерного использования доступа поставщиками услуг или другими доверенными организациями;
- фактов утечки защищаемой информации.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.10.5
12.10.5
Defined Approach Requirements:
The security incident response plan includes monitoring and responding to alerts from security monitoring systems, including but not limited to:
Defined Approach Requirements:
The security incident response plan includes monitoring and responding to alerts from security monitoring systems, including but not limited to:
- Intrusion-detection and intrusion-prevention systems.
- Network security controls.
- Change-detection mechanisms for critical files.
- The change-and tamper-detection mechanism for payment pages. This bullet is a best practice until its effective date; refer to Applicability Notes below for details.
- Detection of unauthorized wireless access points.
Customized Approach Objective:
Alerts generated by monitoring and detection technologies are responded to in a structured, repeatable manner.
Applicability Notes:
The bullet above (for monitoring and responding to alerts from a change- and tamper-detection mechanism for payment pages) is a best practice until 31 March 2025, after which it will be required as part of Requirement 12.10.5 and must be fully considered during a PCI DSS assessment.
Defined Approach Testing Procedures:
Alerts generated by monitoring and detection technologies are responded to in a structured, repeatable manner.
Applicability Notes:
The bullet above (for monitoring and responding to alerts from a change- and tamper-detection mechanism for payment pages) is a best practice until 31 March 2025, after which it will be required as part of Requirement 12.10.5 and must be fully considered during a PCI DSS assessment.
Defined Approach Testing Procedures:
- 12.10.5 Examine documentation and observe incident response processes to verify that monitoring and responding to alerts from security monitoring systems are covered in the security incident response plan, including but not limited to the systems specified in this requirement.
Purpose:
Responding to alerts generated by security monitoring systems that are explicitly designed to focus on potential risk to data is critical to prevent a breach and therefore, this must be included in the incident-response processes.
Responding to alerts generated by security monitoring systems that are explicitly designed to focus on potential risk to data is critical to prevent a breach and therefore, this must be included in the incident-response processes.
Requirement 11.5.1
11.5.1
Defined Approach Requirements:
Intrusion-detection and/or intrusionprevention techniques are used to detect and/or prevent intrusions into the network as follows:
Defined Approach Requirements:
Intrusion-detection and/or intrusionprevention techniques are used to detect and/or prevent intrusions into the network as follows:
- All traffic is monitored at the perimeter of the CDE.
- All traffic is monitored at critical points in the CDE.
- Personnel are alerted to suspected compromises.
- All intrusion-detection and prevention engines, baselines, and signatures are kept up to date.
Customized Approach Objective:
Mechanisms to detect real-time suspicious or anomalous network traffic that may be indicative of threat actor activity are implemented. Alerts generated by these mechanisms are responded to by personnel, or by automated means that ensure that system components cannot be compromised as a result of the detected activity.
Defined Approach Testing Procedures:
Mechanisms to detect real-time suspicious or anomalous network traffic that may be indicative of threat actor activity are implemented. Alerts generated by these mechanisms are responded to by personnel, or by automated means that ensure that system components cannot be compromised as a result of the detected activity.
Defined Approach Testing Procedures:
- 11.5.1.a Examine system configurations and network diagrams to verify that intrusion-detection and/or intrusion-prevention techniques are in place to monitor all traffic:
- At the perimeter of the CDE.
- At critical points in the CDE.
- 11.5.1.b Examine system configurations and interview responsible personnel to verify intrusiondetection and/or intrusion-prevention techniques alert personnel of suspected compromises.
- 11.5.1.c Examine system configurations and vendor documentation to verify intrusion-detection and/or intrusion-prevention techniques are configured to keep all engines, baselines, and signatures up to date.
Purpose:
Intrusion-detection and/or intrusion-prevention techniques (such as IDS/IPS) compare the traffic coming into the network with known “signatures” and/or behaviors of thousands of compromise types (hacker tools, Trojans, and other malware), and then send alerts and/or stop the attempt as it happens. Without a proactive approach to detect unauthorized activity, attacks on (or misuse of) computer resources could go unnoticed for long periods of time. The impact of an intrusion into the CDE is, in many ways, a factor of the time that an attacker has in the environment before being detected.
Good Practice:
Security alerts generated by these techniques should be continually monitored, so that the attempted or actual intrusions can be stopped, and potential damage limited.
Definitions:
Critical locations could include, but are not limited to, network security controls between network segments (for example, between a DMZ and an internal network or between an in-scope and outof-scope network) and points protecting connections between a less trusted and a more trusted system component.
Intrusion-detection and/or intrusion-prevention techniques (such as IDS/IPS) compare the traffic coming into the network with known “signatures” and/or behaviors of thousands of compromise types (hacker tools, Trojans, and other malware), and then send alerts and/or stop the attempt as it happens. Without a proactive approach to detect unauthorized activity, attacks on (or misuse of) computer resources could go unnoticed for long periods of time. The impact of an intrusion into the CDE is, in many ways, a factor of the time that an attacker has in the environment before being detected.
Good Practice:
Security alerts generated by these techniques should be continually monitored, so that the attempted or actual intrusions can be stopped, and potential damage limited.
Definitions:
Critical locations could include, but are not limited to, network security controls between network segments (for example, between a DMZ and an internal network or between an in-scope and outof-scope network) and points protecting connections between a less trusted and a more trusted system component.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 11.5.1
11.5.1
Определенные Требования к Подходу:
Методы обнаружения вторжений и/или предотвращения вторжений используются для обнаружения и/или предотвращения вторжений в сеть следующим образом:
Определенные Требования к Подходу:
Методы обнаружения вторжений и/или предотвращения вторжений используются для обнаружения и/или предотвращения вторжений в сеть следующим образом:
- Весь трафик контролируется по периметру CDE.
- Весь трафик отслеживается в критических точках CDE.
- Персонал предупреждается о подозрительных событиях и инцидентах.
- Все механизмы обнаружения и предотвращения вторжений, исходные данные и сигнатуры поддерживаются в актуальном состоянии.
Цель Индивидуального подхода:
Реализованы механизмы обнаружения подозрительного или аномального сетевого трафика в режиме реального времени, который может указывать на активность субъекта угрозы. Предупреждения, генерируемые этими механизмами, реагируются персоналом или автоматизированными средствами, которые гарантируют, что компоненты системы не могут быть скомпрометированы в результате обнаруженной активности.
Определенные Процедуры Тестирования Подхода:
Реализованы механизмы обнаружения подозрительного или аномального сетевого трафика в режиме реального времени, который может указывать на активность субъекта угрозы. Предупреждения, генерируемые этими механизмами, реагируются персоналом или автоматизированными средствами, которые гарантируют, что компоненты системы не могут быть скомпрометированы в результате обнаруженной активности.
Определенные Процедуры Тестирования Подхода:
- 11.5.1.a Изучите системные конфигурации и сетевые схемы, чтобы убедиться, что методы обнаружения вторжений и/или предотвращения вторжений используются для мониторинга всего трафика:
- По периметру CDE.
- В критических точках CDE.
- 11.5.1.b Изучите конфигурации системы и опросите ответственный персонал для проверки методов обнаружения вторжений и/или предотвращения вторжений, предупреждающих персонал о предполагаемых компрометациях.
- 11.5.1.c Изучите системные конфигурации и документацию поставщика, чтобы убедиться, что методы обнаружения вторжений и/или предотвращения вторжений настроены таким образом, чтобы поддерживать все механизмы, базовые параметры и сигнатуры в актуальном состоянии.
Цель:
Методы обнаружения вторжений и/или предотвращения вторжений (такие как IDS/IPS) сравнивают трафик, поступающий в сеть, с известными “сигнатурами” и/или поведением тысяч типов компрометации (хакерские инструменты, трояны и другие вредоносные программы), а затем отправляют предупреждения и/или останавливают попытку как это случается. Без упреждающего подхода к обнаружению несанкционированной активности атаки на компьютерные ресурсы (или неправильное использование) могут оставаться незамеченными в течение длительного периода времени. Влияние вторжения в CDE во многих отношениях зависит от времени, которое злоумышленник проводит в среде, прежде чем его обнаружат.
Надлежащая практика:
Сигналы безопасности, генерируемые с помощью этих методов, должны постоянно контролироваться, чтобы можно было остановить попытки или фактические вторжения и ограничить потенциальный ущерб.
Определения:
Критические местоположения могут включать, но не ограничиваться ими, средства управления сетевой безопасностью между сегментами сети (например, между DMZ и внутренней сетью или между внутренней и внешней сетью) и точки защиты соединений между менее надежным и более надежным системным компонентом.
Методы обнаружения вторжений и/или предотвращения вторжений (такие как IDS/IPS) сравнивают трафик, поступающий в сеть, с известными “сигнатурами” и/или поведением тысяч типов компрометации (хакерские инструменты, трояны и другие вредоносные программы), а затем отправляют предупреждения и/или останавливают попытку как это случается. Без упреждающего подхода к обнаружению несанкционированной активности атаки на компьютерные ресурсы (или неправильное использование) могут оставаться незамеченными в течение длительного периода времени. Влияние вторжения в CDE во многих отношениях зависит от времени, которое злоумышленник проводит в среде, прежде чем его обнаружат.
Надлежащая практика:
Сигналы безопасности, генерируемые с помощью этих методов, должны постоянно контролироваться, чтобы можно было остановить попытки или фактические вторжения и ограничить потенциальный ущерб.
Определения:
Критические местоположения могут включать, но не ограничиваться ими, средства управления сетевой безопасностью между сегментами сети (например, между DMZ и внутренней сетью или между внутренней и внешней сетью) и точки защиты соединений между менее надежным и более надежным системным компонентом.
Requirement 12.10.5
12.10.5
Определенные Требования к Подходу:
План реагирования на инциденты безопасности включает мониторинг и реагирование на предупреждения от систем мониторинга безопасности, включая, но не ограничиваясь этим:
Определенные Требования к Подходу:
План реагирования на инциденты безопасности включает мониторинг и реагирование на предупреждения от систем мониторинга безопасности, включая, но не ограничиваясь этим:
- Системы обнаружения вторжений и предотвращения вторжений.
- Средства контроля сетевой безопасности.
- Механизмы обнаружения изменений для критически важных файлов.
- Механизм обнаружения изменений и несанкционированного доступа к платежным страницам. Этот бюллетень является наилучшей практикой до даты его вступления в силу; подробности см. в Примечаниях к применению ниже.
- Обнаружение несанкционированных точек беспроводного доступа.
Цель Индивидуального подхода:
На предупреждения, генерируемые технологиями мониторинга и обнаружения, реагируют структурированным, повторяющимся образом.
Примечания по применению:
Приведенный выше пункт (для мониторинга и реагирования на предупреждения от механизма обнаружения изменений и несанкционированного доступа к платежным страницам) является наилучшей практикой до 31 марта 2025 года, после чего он потребуется как часть требования 12.10.5 и должен быть полностью рассмотрен во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
На предупреждения, генерируемые технологиями мониторинга и обнаружения, реагируют структурированным, повторяющимся образом.
Примечания по применению:
Приведенный выше пункт (для мониторинга и реагирования на предупреждения от механизма обнаружения изменений и несанкционированного доступа к платежным страницам) является наилучшей практикой до 31 марта 2025 года, после чего он потребуется как часть требования 12.10.5 и должен быть полностью рассмотрен во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 12.10.5 Изучайте документацию и наблюдайте за процессами реагирования на инциденты, чтобы убедиться, что мониторинг и реагирование на предупреждения от систем мониторинга безопасности включены в план реагирования на инциденты безопасности, включая, но не ограничиваясь, системы, указанные в этом требовании.
Цель:
Реагирование на предупреждения, генерируемые системами мониторинга безопасности, которые специально разработаны для выявления потенциального риска для данных, имеет решающее значение для предотвращения взлома, и поэтому это должно быть включено в процессы реагирования на инциденты.
Реагирование на предупреждения, генерируемые системами мониторинга безопасности, которые специально разработаны для выявления потенциального риска для данных, имеет решающее значение для предотвращения взлома, и поэтому это должно быть включено в процессы реагирования на инциденты.
Положение Банка России № 779-П от 15.11.2021 "Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"":
п. 1.12.
1.12. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, информация о признании которых системно значимыми инфраструктурными организациями финансового рынка размещается Банком России на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") и которые являются субъектами критической информационной инфраструктуры в соответствии с пунктом 8 статьи 2 Федерального закона от 26 июля 2017 года N 187-ФЗ (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736), должны выполнять требования, направленные на противодействие целевым компьютерным атакам, устанавливаемые федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в зависимости от уровня опасности.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.