Куда я попал?
ГОСТ Р № 57580.1-2017 от 01.01.2018
Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации
РИ.9
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОРО.3
ОРО.3 Утверждение и пересмотр на регулярной основе исполнительным органом финансовой организации состава основных ресурсов.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.10.4
12.10.4
Defined Approach Requirements:
Personnel responsible for responding to suspected and confirmed security incidents are appropriately and periodically trained on their incident response responsibilities.
Customized Approach Objective:
Personnel are knowledgeable about their role and responsibilities in incident response and are able to access assistance and guidance when required.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Personnel responsible for responding to suspected and confirmed security incidents are appropriately and periodically trained on their incident response responsibilities.
Customized Approach Objective:
Personnel are knowledgeable about their role and responsibilities in incident response and are able to access assistance and guidance when required.
Defined Approach Testing Procedures:
- 12.10.4 Examine training documentation and interview incident response personnel to verify that personnel are appropriately and periodically trained on their incident response responsibilities.
Purpose:
Without a trained and readily available incident response team, extended damage to the network could occur, and critical data and systems may become “polluted” by inappropriate handling of the targeted systems. This can hinder the success of a post-incident investigation.
Good Practice:
It is important that all personnel involved in incident response are trained and knowledgeable about managing evidence for forensics and investigations.
Without a trained and readily available incident response team, extended damage to the network could occur, and critical data and systems may become “polluted” by inappropriate handling of the targeted systems. This can hinder the success of a post-incident investigation.
Good Practice:
It is important that all personnel involved in incident response are trained and knowledgeable about managing evidence for forensics and investigations.
Requirement 12.10.3
Defined Approach Requirements:
Specific personnel are designated to be available on a 24/7 basis to respond to suspected or confirmed security incidents.
Customized Approach Objective:
Incidents are responded to immediately where appropriate.
Defined Approach Testing Procedures:
Specific personnel are designated to be available on a 24/7 basis to respond to suspected or confirmed security incidents.
Customized Approach Objective:
Incidents are responded to immediately where appropriate.
Defined Approach Testing Procedures:
- 12.10.3 Examine documentation and interview responsible personnel occupying designated roles to verify that specific personnel are designated to be available on a 24/7 basis to respond to security incidents.
Purpose:
An incident could occur at any time, therefore if a person who is trained in incident response and familiar with the entity’s plan is available when an incident is detected, the entity’s ability to correctly respond to the incident is increased.
Good Practice:
Often, specific personnel are designated to be part of a security incident response team, with the team having overall responsibility for responding to incidents (perhaps on a rotating schedule basis) and managing those incidents in accordance with the plan. The incident response team can consist of core members who are permanently assigned or “on-demand” personnel who may be called up as necessary, depending on their expertise and the specifics of the incident.
Having available resources to respond quickly to incidents minimizes disruption to the organization.
Examples of types of activity the team or individuals should respond to include any evidence of unauthorized activity, detection of unauthorized wireless access points, critical IDS alerts, and reports of unauthorized critical system or content file changes.
An incident could occur at any time, therefore if a person who is trained in incident response and familiar with the entity’s plan is available when an incident is detected, the entity’s ability to correctly respond to the incident is increased.
Good Practice:
Often, specific personnel are designated to be part of a security incident response team, with the team having overall responsibility for responding to incidents (perhaps on a rotating schedule basis) and managing those incidents in accordance with the plan. The incident response team can consist of core members who are permanently assigned or “on-demand” personnel who may be called up as necessary, depending on their expertise and the specifics of the incident.
Having available resources to respond quickly to incidents minimizes disruption to the organization.
Examples of types of activity the team or individuals should respond to include any evidence of unauthorized activity, detection of unauthorized wireless access points, critical IDS alerts, and reports of unauthorized critical system or content file changes.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.16.1.5
A.16.1.5 Реагирование на инциденты информационной безопасности
Мера обеспечения информационной безопасности: Реагирование на инциденты информационной безопасности должно осуществляться в соответствии с документально оформленными процедурами
Мера обеспечения информационной безопасности: Реагирование на инциденты информационной безопасности должно осуществляться в соответствии с документально оформленными процедурами
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.10.4
12.10.4
Определенные Требования к Подходу:
Персонал, ответственный за реагирование на предполагаемые и подтвержденные инциденты безопасности, проходит надлежащую и периодическую подготовку по своим обязанностям по реагированию на инциденты.
Цель Индивидуального подхода:
Персонал хорошо осведомлен о своей роли и обязанностях в реагировании на инциденты и при необходимости может получить помощь и рекомендации.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Персонал, ответственный за реагирование на предполагаемые и подтвержденные инциденты безопасности, проходит надлежащую и периодическую подготовку по своим обязанностям по реагированию на инциденты.
Цель Индивидуального подхода:
Персонал хорошо осведомлен о своей роли и обязанностях в реагировании на инциденты и при необходимости может получить помощь и рекомендации.
Определенные Процедуры Тестирования Подхода:
- 12.10.4 Изучите учебную документацию и опросите персонал по реагированию на инциденты, чтобы убедиться, что персонал надлежащим образом и периодически обучается своим обязанностям по реагированию на инциденты.
Цель:
Без обученной и легкодоступной группы реагирования на инциденты может произойти значительный ущерб сети, а критически важные данные и системы могут “загрязниться” из-за неправильного обращения с целевыми системами. Это может помешать успешному расследованию после инцидента.
Надлежащая практика:
Важно, чтобы весь персонал, участвующий в реагировании на инциденты, был обучен и хорошо осведомлен об управлении доказательствами для судебно-медицинской экспертизы и расследований.
Без обученной и легкодоступной группы реагирования на инциденты может произойти значительный ущерб сети, а критически важные данные и системы могут “загрязниться” из-за неправильного обращения с целевыми системами. Это может помешать успешному расследованию после инцидента.
Надлежащая практика:
Важно, чтобы весь персонал, участвующий в реагировании на инциденты, был обучен и хорошо осведомлен об управлении доказательствами для судебно-медицинской экспертизы и расследований.
Requirement 12.10.3
12.10.3
Определенные Требования к Подходу:
Назначается специальный персонал, который должен быть доступен в режиме 24/7 для реагирования на предполагаемые или подтвержденные инциденты безопасности.
Цель Индивидуального подхода:
При необходимости на инциденты реагируют немедленно.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Назначается специальный персонал, который должен быть доступен в режиме 24/7 для реагирования на предполагаемые или подтвержденные инциденты безопасности.
Цель Индивидуального подхода:
При необходимости на инциденты реагируют немедленно.
Определенные Процедуры Тестирования Подхода:
- 12.10.3 Изучите документацию и опросите ответственный персонал, занимающий определенные должности, чтобы убедиться, что определенный персонал назначен доступным в режиме 24/7 для реагирования на инциденты безопасности.
Цель:
Инцидент может произойти в любое время, поэтому, если при обнаружении инцидента будет доступно лицо, прошедшее подготовку по реагированию на инциденты и знакомое с планом организации, способность организации правильно реагировать на инцидент повышается.
Надлежащая практика:
Часто определенный персонал назначается в состав группы реагирования на инциденты безопасности, при этом группа несет общую ответственность за реагирование на инциденты (возможно, на основе ротации) и управление этими инцидентами в соответствии с планом. Группа реагирования на инциденты может состоять из основных сотрудников, назначенных на постоянной основе, или персонала “по требованию”, который может быть вызван по мере необходимости, в зависимости от их опыта и специфики инцидента.
Наличие доступных ресурсов для быстрого реагирования на инциденты сводит к минимуму сбои в работе организации.
Примеры типов действий, на которые команда или отдельные лица должны реагировать, включают любые доказательства несанкционированной активности, обнаружение несанкционированных точек беспроводного доступа, предупреждения о критических идентификаторах и сообщения о несанкционированных изменениях критической системы или файлов содержимого.
Инцидент может произойти в любое время, поэтому, если при обнаружении инцидента будет доступно лицо, прошедшее подготовку по реагированию на инциденты и знакомое с планом организации, способность организации правильно реагировать на инцидент повышается.
Надлежащая практика:
Часто определенный персонал назначается в состав группы реагирования на инциденты безопасности, при этом группа несет общую ответственность за реагирование на инциденты (возможно, на основе ротации) и управление этими инцидентами в соответствии с планом. Группа реагирования на инциденты может состоять из основных сотрудников, назначенных на постоянной основе, или персонала “по требованию”, который может быть вызван по мере необходимости, в зависимости от их опыта и специфики инцидента.
Наличие доступных ресурсов для быстрого реагирования на инциденты сводит к минимуму сбои в работе организации.
Примеры типов действий, на которые команда или отдельные лица должны реагировать, включают любые доказательства несанкционированной активности, обнаружение несанкционированных точек беспроводного доступа, предупреждения о критических идентификаторах и сообщения о несанкционированных изменениях критической системы или файлов содержимого.
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
16.1.5
16.1.5 Реагирование на инциденты информационной безопасности
Мера обеспечения ИБ
Реагирование на инциденты ИБ должно осуществляться в соответствии с документально оформленными процедурами.
Руководство по применению
Реагирование на инциденты ИБ должно осуществляться назначенными контактными лицами и другими соответствующими лицами из числа самой организации или сторонних организаций (см. 16.1.1).
Реагирование должно включать в себя следующее:
- a) как можно более быстрый сбор свидетельств произошедшего;
- b) проведение криминалистического анализа ИБ по мере необходимости (см. 16.1.7);
- c) эскалация, если требуется;
- d) обеспечение того, что все выполняемые действия по реагированию соответствующим образом зарегистрированы для дальнейшего анализа;
- e) информирование о факте инцидента ИБ или любых существенных деталях о нем других лиц из числа самой организации или сторонних организаций в соответствии с принципом "необходимого знания";
- f) устранение недостатка(ов) ИБ, которые могут стать причиной или способствовать возникновению инцидента;
- g) после того, как инцидент успешно отработан, необходимо формально закрыть и записать его.
После инцидента должен проводиться анализ для выявления первопричины инцидента.
Дополнительная информация
Первоочередной целью реагирования на инцидент является возобновление "нормального уровня безопасности", а затем инициирование необходимого восстановления.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.