Куда я попал?
Приказ ФСТЭК России № 31 от 14.03.2014
Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления
ИНЦ.6
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
ИНЦ.6 Хранение и защита информации о компьютерных инцидентахОбязательно для класса защищенности К1
Похожие требования
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
MAC.16
MAC.16 Обеспечение возможности доступа к данным регистрации о событиях защиты информации в течение пяти лет
3-Н 2-Н 1-Т
3-Н 2-Н 1-Т
РИ.14
РИ.14 Установление и применение единых правил закрытия инцидентов защиты информации
3-О 2-О 1-О
3-О 2-О 1-О
MAC.15
MAC.15 Обеспечение возможности доступа к данным регистрации о событиях защиты информации в течение трех лет
3-Т 2-Т 1-Н
3-Т 2-Т 1-Н
РИ.17
РИ.17 Обеспечение возможности доступа к информации об инцидентах защиты информации в течение трех лет
3-Т 2-Т 1-Н
3-Т 2-Т 1-Н
РИ.18
РИ.18 Обеспечение возможности доступа к информации об инцидентах защиты информации в течение пяти лет
3-Н 2-Н 1-Т
РИ.18 Обеспечение возможности доступа к информации об инцидентах защиты информации в течение пяти лет
3-Н 2-Н 1-Т
РИ.15
РИ.15 Реализация защиты информации об инцидентах защиты информации от НСД, обеспечение целостности и доступности указанной информации
3-Т 2-Т 1-Т
3-Т 2-Т 1-Т
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ВРВ.34.7
ВРВ.34.7 Фиксацию и информирование о результатах проведенного анализа, в том числе в базе событий риска, предусмотренной ГОСТ Р57580.3.
Guideline for a healthy information system v.2.0 (EN):
40 STANDARD
/STANDARD
Noticing unusual behaviour from a workstation or a server (impossible connection, significant activity, unusual activity, unauthorised open services, files created, modified or deleted without authorisation, multiple anti-virus warnings, etc.) may be a warning of a possible intrusion.
A bad reaction in the event of a security incident can make the situation worse and prevent the problem from being dealt properly. The right reaction is to disconnect the device from the network, to stop the attack. However, you must keep it powered and not restart it, so as to not lose useful information for analysing the attack. You must then alert the management, as well as the information system security point of contact.
He or she may get in contact with the security incident response service providers (PRIS) in order to carry out the necessary technical operations (physically copying the disk, analysing the memory, logs and possible malware, etc.) and determine if other elements of the information system have been compromised. This will also concern coming up with a response to provide, in order to remove possible malware and the access that the hacker may have and to change compromised passwords. Any incident must be recorded in a centralised register. Charges may also be pressed with the competent legal service.
Noticing unusual behaviour from a workstation or a server (impossible connection, significant activity, unusual activity, unauthorised open services, files created, modified or deleted without authorisation, multiple anti-virus warnings, etc.) may be a warning of a possible intrusion.
A bad reaction in the event of a security incident can make the situation worse and prevent the problem from being dealt properly. The right reaction is to disconnect the device from the network, to stop the attack. However, you must keep it powered and not restart it, so as to not lose useful information for analysing the attack. You must then alert the management, as well as the information system security point of contact.
He or she may get in contact with the security incident response service providers (PRIS) in order to carry out the necessary technical operations (physically copying the disk, analysing the memory, logs and possible malware, etc.) and determine if other elements of the information system have been compromised. This will also concern coming up with a response to provide, in order to remove possible malware and the access that the hacker may have and to change compromised passwords. Any incident must be recorded in a centralised register. Charges may also be pressed with the competent legal service.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.16.1.7
A.16.1.7 Сбор свидетельств
Мера обеспечения информационной безопасности: В организациях должны быть определены и применяться процедуры для идентификации, сбора, получения и сохранения информации, которая может использоваться в качестве свидетельств
Мера обеспечения информационной безопасности: В организациях должны быть определены и применяться процедуры для идентификации, сбора, получения и сохранения информации, которая может использоваться в качестве свидетельств
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.28
А.5.28 Сбор свидетельств
Организация должна установить и внедрить процедуры идентификации, сбора, получения и сохранения свидетельств, связанных с событиями ИБ.
Организация должна установить и внедрить процедуры идентификации, сбора, получения и сохранения свидетельств, связанных с событиями ИБ.
Положение Банка России № 757-П от 20.04.2021 "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций":
1.14.2.
1.14.2. По каждому инциденту защиты информации некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны осуществлять регистрацию:
- защищаемой информации на технологических участках, на которых произошел несанкционированный доступ к защищаемой информации;
- результата реагирования на инцидент защиты информации, в том числе совершенных действий по возврату денежных средств, ценных бумаг или иного имущества клиента некредитной финансовой организации.
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ИНЦ.6
ИНЦ.6 Хранение и защита информации о компьютерных инцидентах
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.28
А.5.28 Collection of evidence
The organization shall establish and implement procedures for the identification, collection, acquisition and preservation of evidence related to information security events.
The organization shall establish and implement procedures for the identification, collection, acquisition and preservation of evidence related to information security events.
Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":
Глава 7. Пункт 6.
7.6. Кредитная организация (головная кредитная организация банковской группы) обеспечивает выявление, регистрацию и учет всех событий риска информационной безопасности с определением всех элементов классификации в соответствии с главами 2, 3 и 6 настоящего Положения, приложениями 4 и 5 к настоящему Положению, определяет суммы потерь в разрезе видов потерь в соответствии с пунктом 3.11 настоящего Положения и пунктом 4 приложения 5 к настоящему Положению с распределением по датам отражения в бухгалтерском учете, с раздельным учетом поступивших возмещений. В случае выявления событий риска информационной безопасности, связанных с не контролируемым кредитной организацией (головной кредитной организацией банковской группы) распространением сведений, составляющих банковскую тайну, кредитная организация (головная кредитная организация банковской группы) обеспечивает их регистрацию в базе событий, включающую описание указанных событий риска информационной безопасности в соответствии с пунктом 6.6 настоящего Положения.
(Пункт в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
Глава 7. Пункт 3.
7.3. Инциденты, приведшие к фактической реализации риска информационной безопасности, в том числе киберриска, обусловленные источниками риска информационной безопасности, в том числе инциденты, связанные с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных в соответствии с Положением Банка России от 4 июня 2020 года N 719-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", зарегистрированным Министерством юстиции Российской Федерации 23 сентября 2020 года N 59991 (далее - Положение Банка России N 719-П), и Положением Банка России от 17 апреля 2019 года N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента", зарегистрированным Министерством юстиции Российской Федерации 16 мая 2019 года N 54637 (далее - Положение Банка России N 683-П) (далее - инциденты защиты информации), вследствие которых возникли прямые и (или) непрямые потери кредитной организации (головной кредитной организации банковской группы) (далее - событие риска информационной безопасности), фиксируются кредитной организацией (головной кредитной организацией банковской группы) в базе событий с присвоением вида операционного риска в соответствии с абзацем семнадцатым пункта 6.6 настоящего Положения.
(Абзац в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
Негативное влияние риска информационной безопасности должно определяться в виде потерь, приведенных в пункте 3.11 настоящего Положения и пункте 4 приложения 5 к настоящему Положению.
Глава 7. Пункт 5.
7.5. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок ведения базы событий риска информационной безопасности (как в общей базе событий, так и в отдельной базе событий риска информационной безопасности). В случае если кредитная организация (головная кредитная организация банковской группы) ведет отдельную базу событий риска информационной безопасности, подразделению (работникам), ответственному (ответственным) за организацию и контроль обеспечения защиты информации (далее - служба информационной безопасности), необходимо соблюдать требования к классификации событий риска информационной безопасности в соответствии с пунктами 3.3-3.15 настоящего Положения и требования к ведению базы событий в соответствии с пунктами 6.6-6.21 настоящего Положения.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.