Куда я попал?
ГОСТ Р № 57580.4-2022 от 01.02.2023
Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7
ВРВ.16.2
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
NIST Cybersecurity Framework (RU):
RS.MI-2
RS.MI-2: Смягчаются последствия от инцидента
Стандарт Банка России № СТО БР ИББС-1.3-2016 от 01.01.2017 "Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств":
Р. 6 п. 3 п.п. 4
6.3.4. Инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры клиентов:
- получение данных операционных систем СВТ (сетевые соединения, список открытых сессий доступа), используемых клиентом для осуществления доступа к системам ДБО (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование сетевого трафика из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ, указанные в пункте 1;
- отключение СВТ, указанных в пункте 1, путем прерывания питания с последующим извлечением запоминающих устройств и их передачей в адрес организации БС РФ и (или) экспертам FinCert Банка России (рекомендуется к выполнению с высоким приоритетом значимости);
- в случае отсутствия технической возможности выполнения пункта 3 – отключение СВТ, указанных в пункте 1, от вычислительной сети путем отключения сетевого кабеля, отключения и (или) выключения сетевых устройств (рекомендуется к выполнению с высоким приоритетом значимости);
- в случае отсутствия технической возможности выполнения пункта 3 – копирование содержимого оперативной памяти СВТ, указанных в пункте 1 (рекомендуется к выполнению с высоким приоритетом значимости);
- в случае отсутствия технической возможности выполнения пункта 3 – получение данных операционных систем СВТ, указанных в пункте 1 (список запущенных программных процессов, список открытых файлов, сетевые конфигурации, системные дата и время операционной системы) (рекомендуется к выполнению с высоким приоритетом значимости);
- в случае отсутствия технической возможности выполнения пункта 3 – “криминалистическое” копирование (создание образов) данных запоминающих устройств СВТ, указанных в пункте 1 (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование протоколов (журналов) регистрации средств защиты информации информационной инфраструктуры клиента за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);
- обеспечение сохранности носителей ключевой информации СКЗИ, используемой в системах ДБО (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование протоколов (журналов) регистрации телекоммуникационного оборудования, используемого клиентом для осуществления доступа к системам ДБО, за три месяца, предшествующих инциденту ИБ;
- копирование протоколов (журналов) регистрации автоматических телефонных станций;
- копирование протоколов (журналов) регистрации систем видеонаблюдения и систем контроля доступа, используемых для контроля доступа в помещения, предназначенные для размещения СВТ, указанных в пункте 1, за 1 неделю, предшествующую инциденту ИБ;
- получение и документирование информации о местоположении клиента – физического лица, осуществляющего доступ к системе ДБО.
Р. 6 п. 3 п.п. 9
6.3.9. Деструктивное воздействие компьютерных вирусов на информационную инфраструктуру организации БС РФ (до выполнения действий по сбору технических данных не следует проводить антивирусную проверку):
- получение данных операционных систем СВТ целевых систем (сетевые соединения, список открытых сессий доступа) (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование сетевого из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ целевых систем;
- копирование содержимого оперативной памяти СВТ целевых систем (рекомендуется к выполнению с высоким приоритетом значимости);
- отключение СВТ целевых систем от вычислительной сети путем отключения сетевого кабеля, отключения и (или) выключения сетевых устройств (рекомендуется к выполнению с высоким приоритетом значимости);
- получение данных операционных систем СВТ целевых систем (список запущенных программных процессов, список открытых файлов, сетевые конфигурации, системное время операционной системы) (рекомендуется к выполнению с высоким приоритетом значимости);
- криминалистическое копирование (создание образов) запоминающих устройств СВТ целевых систем (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование протоколов (журналов) регистрации средств антивирусной защиты информационной инфраструктуры клиента за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование протоколов (журналов) регистрации и данных почтовых серверов, средств контентной фильтрации электронной почты за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование протоколов (журналов) регистрации и данные web-серверов, средств контентной фильтрации web-протоколов за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование протоколов (журналов) регистрации средств защиты информации, используемых в информационной инфраструктуре целевых систем, за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование протоколов (журналов) регистрации протоколы (журналы) регистрации телекоммуникационного оборудования, используемого в информационной инфраструктуре целевых систем, за три месяца, предшествующих инциденту ИБ.
Р. 6 п. 3 п.п. 10
6.3.10. Деструктивное воздействие компьютерных вирусов на информационную инфраструктуру клиентов (до выполнения действий по сбору технических данных не следует проводить антивирусную проверку):
- копирование протоколов (журналов) регистрации средств антивирусной защиты информационной инфраструктуры клиента за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);
- получение данных операционных систем СВТ (сетевые соединения, список открытых сессий доступа), используемых клиентом для осуществления доступа к системам ДБО (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование сетевого трафика из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ, указанные в пункте 2;
- отключение СВТ, указанных в пункте 2, от вычислительной сети путем отключения сетевого кабеля, отключения и (или) выключения сетевых устройств (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование содержимого оперативной памяти СВТ, указанных в пункте 2 (рекомендуется к выполнению с высоким приоритетом значимости);
- отключение СВТ, указанных в пункте 2, путем прерывания питания с последующим извлечением запоминающих устройств и их передачей в адрес организации БС РФ и (или) экспертам FinCert Банка России (рекомендуется к выполнению с высоким приоритетом значимости);
- в случае отсутствия технической возможности выполнения пункта 5 – криминалистическое копирование (создание образов) данных запоминающих устройств СВТ, указанных в пункте 2 (рекомендуется к выполнению с высоким приоритетом значимости);
- в случае отсутствия технической возможности выполнения пункта 5 – получение данных операционных систем СВТ (список запущенных программных процессов, список открытых файлов, сетевые конфигурации, системное время операционной системы), указанных в пункте 2 (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование протоколов (журналов) регистрации и данных почтовых серверов, средств контентной фильтрации электронной почты за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование протоколов (журналов) регистрации средств защиты информации информационной инфраструктуры клиента, за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование протоколов (журналов) регистрации телекоммуникационного оборудования, используемого клиентом для осуществления доступа к системам ДБО, за три месяца, предшествующих инциденту ИБ.
NIST Cybersecurity Framework (EN):
RS.MI-2
RS.MI-2: Incidents are mitigated
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.