Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям ГОСТ Р № 57580.4-2022 от 01.02... ВРВ.10
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

ГОСТ Р № 57580.4-2022 от 01.02.2023

Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7

ВРВ.10

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Стандарт Банка России № СТО БР ИББС-1.3-2016 от 01.01.2017 "Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств":
Р. 7 п. 18
7.18. Особое внимание при анализе аналитику рекомендуется уделять следующей содержательной (семантической) информации. 
Инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры клиентов или информационной инфраструктуры целевых систем:
  • информация о попытках подбора пароля, заключающаяся в наличии существенного количества попыток доступа с использованием “привилегированных” учетных записей, в том числе “встроенных” учетных записей (например, root, Administrator), результатом которых может являться успешная авторизация;
  • информация о попытках осуществления доступа в нетипичное время (например, ночью). При этом следует учитывать различия в возможных часовых поясах нахождения аналитика и места сбора технических данных; – информация о нетипичном поведении субъектов доступа при осуществлении доступа (в том числе наличие существенного количества сбоев авторизации, слишком ранняя или слишком поздняя попытка доступа и авторизации, нехарактерная для данного пользователя активность при осуществлении доступа);
  • информация о попытках осуществления доступа субъектами доступа к системам и ресурсам, которые не требуются ему для выполнения служебных обязанностей;
  • информация о существенном изменении состава внешних IP/DNS-адресов либо наличии постоянного сетевого трафика на IP/DNS-адреса, находящиеся вне территории РФ, что может свидетельствовать о заражении средства вычислительной техники компьютерными вирусами; 
  • информация о попытках установления входящих соединений с IP-адресами, находящимися вне территории РФ;
  • информация о попытках установления входящих соединений в обход эксплуатируемого VPN-шлюза;
  • информация о доступе к протоколам (журналам), содержащим информацию о событиях ИБ. 
Инциденты ИБ, связанные с реализацией атак типа “отказ в обслуживании” (DDOS-атаки), реализуемые применительно к информационной инфраструктуре клиентов, систем ДБО и систем фронт-офиса организации БС РФ:
  • информация о предварительных признаках DDOS-атак в виде кратковременных, нетипичных “всплесков” сетевого трафика, которые могут свидетельствовать о проведении злоумышленниками тестирования устойчивости информационной инфраструктуры организации БС РФ к DDOS-атакам;
  • сравнительная информация о составе IP-адресов в период осуществления DDOS-атаки и IP-адресов за определенный период до реализации DDOS-атаки, позволяющая идентифицировать реальные IP-адреса лиц, осуществляющие атаки;
  • информация о наличии угроз (вымогательств), связанных с предполагаемым началом DDOS-атаки. Такие угрозы могут попадать в организацию БС РФ через общедоступные (информационные) почтовые ящики, официальных представителей (пресс-службы) организации БС РФ, а также через работников организации БС РФ, адреса которых есть у злоумышленника. 
Инциденты ИБ, связанные с деструктивным воздействием компьютерных вирусов на информационную инфраструктуру организации БС РФ и клиентов:
  • информация о дате и времени появления компьютерных вирусов на СВТ организации БС РФ;
  • информация о выявлении антивирусными средствами компьютерных вирусов, о наличии “в карантине” антивирусного средства зараженных файлов за интересующий период времени и (или) диапазон дат;
  • информация о классификации производителем антивирусного средства компьютерных вирусов и исходном местоположении выявленных компонентов компьютерных вирусов на СВТ организации БС РФ;
  • информация о наличии постоянного и (или) периодического исходящего или входящего сетевого трафика небольшого объема на сетевые адреса за пределами РФ либо сетевые адреса, находящиеся в РФ, но не принадлежащие списку IP-адресов, с которыми организация ведет разрешенный обмен данными;
  • информация о нетипичных маршрутах прохождения сетевого трафика и нетипичных маршрутных таблицах сетевого оборудования;
  •  информация о наличии посторонних программных процессов, похожих на системные программные процессы, но запущенные либо из нетипичного места (временные папки, папки перемещаемых профилей), либо программных процессов, имеющих схожее название с системными;
  •  информация о наличии файлов и папок, похожих на “системные” файлы и папки, но находящихся в отличном от стандартного размещения местоположении в файловой системе (например, папка Windows Update в корне папки Windows);
  • информация о наличии нехарактерного для организации БС РФ программного обеспечения, запускаемого при запуске операционной системы СВТ, в том числе в папках автозагрузки, в службах, в системных драйверах, в системном реестре операционной системы Windows, в планировщике задач, в иных специфических местах, определяемых типом операционной системы;
  • информация о наличии в протоколах (журналах) регистрации операционных систем или специализированного программного обеспечения данных о подключении устройств;
  • информация о наличии в протоколах (журналах) регистрации серверов электронной почты входящих электронных сообщений с адресов электронной почты, имеющих схожее написание с доменами государственных учреждений, либо с доменов, переписка с которыми не характерна для деятельности организации БС РФ. 
Приказ ФСБ России № 196 от 06.05.2019 "Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты":
V п.14
14. При осуществлении учета и обработки компьютерных инцидентов средства ликвидации последствий должны обеспечивать:
  • создание и изменение формализованных описаний (далее - карточка) компьютерных инцидентов, определение типов компьютерных инцидентов, определение состава полей карточек и требований к их заполнению в соответствии с типом компьютерного инцидента;
  • автоматическое создание карточки компьютерного инцидента на основе уведомления об угрозе безопасности информации либо при выявлении события ИБ, в котором содержатся признаки компьютерных атак для контролируемых информационных ресурсов;
  • запись о текущей стадии процесса реагирования на компьютерные инциденты (стадия приема сообщения о компьютерном инциденте, стадия сбора первичных сведений о компьютерном инциденте, стадия локализации компьютерного инцидента, стадия сбора сведений для расследования компьютерного инцидента) в зависимости от типа компьютерного инцидента;
  • запись о присвоении категорий опасности и (или) определение приоритетов компьютерных инцидентов на основе критериев, задаваемых по значениям полей карточек компьютерных инцидентов;
  • регистрацию и учет карточек компьютерных инцидентов;
  • фильтрацию, сортировку и поиск карточек компьютерных инцидентов по значениям полей карточек;
  • объединение карточек компьютерных инцидентов на основе критериев, применяемых к значениям полей карточек.
Стандарт Банка России № РС БР ИББС-2.5-2014 от 01.06.2014 "Менеджмент инцидентов информационной безопасности":
Р. 9 п. 7
9.7. Инциденты ИБ рекомендуется классифицировать по следующим признакам:
  • по степени тяжести последствий для деятельности организации БС РФ (в денежном выражении, в балльной шкале); 
  • по степени вероятности повторного возникновения инцидента ИБ;
  • по видам источников угроз ИБ, вызывающих инциденты ИБ;
  • по преднамеренности возникновения инцидента ИБ (случайный, намеренный, ошибочный);
  • по видам объектов информационной инфраструктуры, задействованных (пораженных) при реализации инцидента ИБ;
  • по уровню информационной инфраструктуры, на котором происходит инцидент ИБ;
  • по нарушенным свойствам информационной безопасности (конфиденциальность, целостность, доступность);
  • по типу инцидента ИБ (свершившийся инцидент ИБ, попытка осуществления инцидента ИБ, подозрение на инцидент ИБ);
  • по области распространения и действия инцидента ИБ (в пределах одной АБС, в пределах отдельного структурного подразделения организации БС РФ, в организации БС РФ в целом, выходящий за пределы организации БС РФ);
  • по сложности обнаружения инцидента ИБ;
  • по сложности закрытия инцидента ИБ;
  • по другим признакам, устанавливаемым организацией БС РФ. 
Р. 9 п. 8
9.8. Признаки классификации инцидентов ИБ рекомендуется определять с учетом формирования на основе результатов классификации инцидентов ИБ отчетных форм, представляемых организацией БС РФ в соответствии с требованиями законодательства РФ, нормативных актов Банка России и правилами платежных систем. 

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.