Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям ГОСТ Р № 57580.4-2022 от 01.02... ВРВ.34.1
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

ГОСТ Р № 57580.4-2022 от 01.02.2023

Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7

ВРВ.34.1

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 6. п.п. 3
6.3. Кредитные организации должны обеспечивать выполнение следующих требований к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации таких инцидентов:
  • выявление и регистрация инцидентов операционной надежности;
  • реагирование на инциденты операционной надежности в отношении критичной архитектуры;
  • восстановление функционирования технологических процессов и объектов информационной инфраструктуры после реализации инцидентов операционной надежности;
  • проведение анализа причин и последствий реализации инцидентов операционной надежности;
  • организация взаимодействия между подразделениями кредитной организации, а также между кредитной организацией и Банком России, иными участниками технологического процесса в рамках реагирования на инциденты операционной надежности и восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации инцидентов операционной надежности.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
РИ.13
РИ.13 Установление и применение единых правил сбора, фиксации и распространения информации об инцидентах защиты информации
3-О 2-О 1-О
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ИНЦ.4 ИНЦ.4 Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий
Стандарт Банка России № СТО БР ИББС-1.3-2016 от 01.01.2017 "Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств":
Р. 6 п. 1
6.1. Сбор технических данных рекомендуется реализовывать в рамках установленной и документированной деятельности по сбору и фиксации информации об инцидентах ИБ, выполняемой в соответствии с РС БР ИББС-2.5. 
В рамках деятельности по сбору и фиксации информации об инцидентах ИБ рекомендуется для каждого инцидента ИБ обеспечить, помимо сбора технических данных, сбор и документирование обзорной информации об инциденте ИБ – профиля инцидента ИБ, описывающего:
  • способ выявления инцидента ИБ;
  • источник информации об инциденте ИБ; 
  • содержание информации об инциденте ИБ, полученной от источника; 
  • сценарий реализации инцидента ИБ;
  • дату и время выявления инцидента ИБ; 
  • состав информационной инфраструктуры, задействованной в реализации инцидента ИБ, в том числе пострадавшей от инцидента ИБ, уровень ее критичности для деятельности организации БС РФ;
  • способы подключения информационной инфраструктуры, задействованной в реализации инцидента ИБ, к сети Интернет или сетям общего пользования;
  • контактная информация работников организации БС РФ, в зону ответственности которых входит обеспечение эксплуатации информационной инфраструктуры, задействованной в реализации инцидента ИБ;
  • информация об операторе связи и провайдере сети Интернет. 
Непосредственный сбор технических данных рекомендуется осуществлять в рамках установленной и документированной деятельности по сбору и фиксации информации о следующих инцидентах ИБ:
  • инциденты ИБ, результатом которых являются и (или) могут являться несанкционированные переводы денежных средств (далее – инциденты ИБ, связанные с несанкционированными переводами денежных средств);
  • инциденты ИБ, результатом которых является деструктивное воздействие на объекты информационной инфраструктуры организации БС РФ, которые привели или могут привести к нарушению непрерывности оказания платежных услуг (далее – инциденты ИБ, связанные с деструктивным воздействием). 
В составе инцидентов ИБ, связанных с несанкционированными переводами денежных средств, рекомендуется рассматривать:
  • инциденты ИБ, связанные с несанкционированным доступом (далее – НСД) к объектам информационной инфраструктуры клиентов;
  • спам-рассылки, осуществляемые в отношении клиентов, реализуемые в рамках реализации методов “социального инжиниринга”, предпринимаемые с целью распространения компьютерных вирусов, функционально предназначенного для совершения несанкционированных переводов денежных средств;
  • атаки типа “отказ в обслуживании” (DDOS-атаки), реализуемые применительно к информационной инфраструктуре клиентов, предпринимаемые с целью блокирования нормального функционирования информационной инфраструктуры после успешной реализации несанкционированных переводов денежных средств;
  • воздействие компьютерных вирусов на информационную инфраструктуру клиентов, потенциально функционально предназначенного для совершения несанкционированных переводов денежных средств;
  • инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры систем дистанционного банковского обслуживания (далее – систем ДБО) организаций БС РФ;
  • инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры автоматизированных банковских систем (далее – АБС) организаций БС РФ;
  • инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры систем обработки карточных транзакций (далее – систем фронт-офиса) организаций БС РФ;
  • инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры систем посттранзакционного обслуживания карточных операций (далее – систем бэк-офиса) организаций БС РФ, в том числе системам электронного документооборота, формирования платежных клиринговых позиций, клиринга и подготовки данных для проведения расчетов. 
В составе инцидентов ИБ, связанных с деструктивным воздействием, рекомендуется рассматривать:
  • атаки типа “отказ в обслуживании” (DDOS-атаки), реализуемые применительно к информационной инфраструктуре систем ДБО, систем фронт-офиса организаций БС РФ;
  • деструктивное воздействие компьютерных вирусов на информационную инфраструктуру организации БС РФ. 
Р. 6 п. 3
6.3. Рекомендации к предварительному планированию сбора технических данных. В плане (регламенте) сбора технических данных рекомендуется определить для каждого потенциального инцидента ИБ из числа указанных в подпункте 6.1 настоящего раздела следующие положения:
  • состав собираемых технических данных;
  • приоритеты (последовательность) сбора технических данных;
  • инструкции по использованию технических средств инструментов, описание процедур и сервисных команд, необходимых для сбора технических данных;
  • описание процедур и сервисных команд, в том числе технических, проверки (контроля) целостности собранных данных;
  • правила описания и протоколирования выполненных процедур и сервисных команд, описания места сбора технических данных;
  • правила создания копий собираемых технических данных и требования к их количеству;
  • правила маркирования, безопасной упаковки и хранения носителей собранных технических данных;
  • правила регистрации и хранения описаний и протоколов, связанных со сбором технических данных. 
В плане (регламенте) сбора технических данных рекомендуется также определить необходимость и условия подготовки обращения в МВД России, его территориальное подразделения и (или) FinCert Банка России.
При планировании сбора технических данных возможно рассмотрение следующих типовых сценариев, определяющих степень оперативности предпринимаемых действий:
  • сбор данных в реальном масштабе времени в случае, когда система ДБО, АБС, система фронт-офиса, система бэк-офиса (далее при совместном упоминании – целевые системы) непосредственно не подвержена компьютерной атаке, а компьютерная атака выявлена на периметре информационной инфраструктуры;
  • сбор данных непосредственно после реализации инцидента ИБ (например, в течение 24 часов); 
  • сбор данных по прошествии значительного времени после инцидента ИБ. 
 Рекомендуется реализовать сбор следующих технических данных: 
Р. 6 п. 2
6.2. Организацию сбора технических данных рекомендуется проводить в следующем порядке:
  • предварительное планирование и создание условий для сбора технических данных:
    • разработка и утверждение плана (регламента) сбора технических данных, реализуемого в случае выявления инцидентов ИБ;
    • включение ответственных за выполнение ролей в рамках процессов обработки технических данных в группу реагирования на инциденты ИБ, создаваемую в соответствии с РС БР ИББС-2.5; 
    • обеспечение необходимых технических средств и инструментов для сбора и обработки технических данных; 
  • сбор технических данных при выявлении инцидента ИБ: 
    • оперативное определение перечня компонентов информационной инфраструктуры, задействованной в реализации инцидента ИБ;
    • оперативное ограничение доступа к компонентам информационной инфраструктуры, задействованной в реализации инцидента ИБ, а также техническим данным для цели обеспечения их сохранности до выполнения сбора; 
    • сбор и документирование сведений об официально назначенном эксплуатационном персонале (администраторах) информационной инфраструктуры, задействованной в реализации инцидента ИБ, получение документально оформленных подтверждений лиц из состава эксплуатационного персонала о предоставлении/непредоставлении их аутентификационных данных третьим лицам и о внесении изменений/невнесении изменений в протоколы (журналы) регистрации, формируемые компонентами информационной инфраструктуры;
    • непосредственный сбор технических данных, в том числе проверка и обеспечение целостности (неизменности) собранных данных, маркирование носителей собранных данных;
  • обеспечение сохранности машинных носителей информации и защиту от воздействий, которые могут повредить их информационное содержимое, путем безопасной упаковки, опечатывания, исключающего возможность несанкционированного использования (подключения) носителя данных без нарушения целостности упаковки (печати), а также безопасного хранения и транспортировки носителей собранных данных. 
Р. 7 п. 18
7.18. Особое внимание при анализе аналитику рекомендуется уделять следующей содержательной (семантической) информации. 
Инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры клиентов или информационной инфраструктуры целевых систем:
  • информация о попытках подбора пароля, заключающаяся в наличии существенного количества попыток доступа с использованием “привилегированных” учетных записей, в том числе “встроенных” учетных записей (например, root, Administrator), результатом которых может являться успешная авторизация;
  • информация о попытках осуществления доступа в нетипичное время (например, ночью). При этом следует учитывать различия в возможных часовых поясах нахождения аналитика и места сбора технических данных; – информация о нетипичном поведении субъектов доступа при осуществлении доступа (в том числе наличие существенного количества сбоев авторизации, слишком ранняя или слишком поздняя попытка доступа и авторизации, нехарактерная для данного пользователя активность при осуществлении доступа);
  • информация о попытках осуществления доступа субъектами доступа к системам и ресурсам, которые не требуются ему для выполнения служебных обязанностей;
  • информация о существенном изменении состава внешних IP/DNS-адресов либо наличии постоянного сетевого трафика на IP/DNS-адреса, находящиеся вне территории РФ, что может свидетельствовать о заражении средства вычислительной техники компьютерными вирусами; 
  • информация о попытках установления входящих соединений с IP-адресами, находящимися вне территории РФ;
  • информация о попытках установления входящих соединений в обход эксплуатируемого VPN-шлюза;
  • информация о доступе к протоколам (журналам), содержащим информацию о событиях ИБ. 
Инциденты ИБ, связанные с реализацией атак типа “отказ в обслуживании” (DDOS-атаки), реализуемые применительно к информационной инфраструктуре клиентов, систем ДБО и систем фронт-офиса организации БС РФ:
  • информация о предварительных признаках DDOS-атак в виде кратковременных, нетипичных “всплесков” сетевого трафика, которые могут свидетельствовать о проведении злоумышленниками тестирования устойчивости информационной инфраструктуры организации БС РФ к DDOS-атакам;
  • сравнительная информация о составе IP-адресов в период осуществления DDOS-атаки и IP-адресов за определенный период до реализации DDOS-атаки, позволяющая идентифицировать реальные IP-адреса лиц, осуществляющие атаки;
  • информация о наличии угроз (вымогательств), связанных с предполагаемым началом DDOS-атаки. Такие угрозы могут попадать в организацию БС РФ через общедоступные (информационные) почтовые ящики, официальных представителей (пресс-службы) организации БС РФ, а также через работников организации БС РФ, адреса которых есть у злоумышленника. 
Инциденты ИБ, связанные с деструктивным воздействием компьютерных вирусов на информационную инфраструктуру организации БС РФ и клиентов:
  • информация о дате и времени появления компьютерных вирусов на СВТ организации БС РФ;
  • информация о выявлении антивирусными средствами компьютерных вирусов, о наличии “в карантине” антивирусного средства зараженных файлов за интересующий период времени и (или) диапазон дат;
  • информация о классификации производителем антивирусного средства компьютерных вирусов и исходном местоположении выявленных компонентов компьютерных вирусов на СВТ организации БС РФ;
  • информация о наличии постоянного и (или) периодического исходящего или входящего сетевого трафика небольшого объема на сетевые адреса за пределами РФ либо сетевые адреса, находящиеся в РФ, но не принадлежащие списку IP-адресов, с которыми организация ведет разрешенный обмен данными;
  • информация о нетипичных маршрутах прохождения сетевого трафика и нетипичных маршрутных таблицах сетевого оборудования;
  •  информация о наличии посторонних программных процессов, похожих на системные программные процессы, но запущенные либо из нетипичного места (временные папки, папки перемещаемых профилей), либо программных процессов, имеющих схожее название с системными;
  •  информация о наличии файлов и папок, похожих на “системные” файлы и папки, но находящихся в отличном от стандартного размещения местоположении в файловой системе (например, папка Windows Update в корне папки Windows);
  • информация о наличии нехарактерного для организации БС РФ программного обеспечения, запускаемого при запуске операционной системы СВТ, в том числе в папках автозагрузки, в службах, в системных драйверах, в системном реестре операционной системы Windows, в планировщике задач, в иных специфических местах, определяемых типом операционной системы;
  • информация о наличии в протоколах (журналах) регистрации операционных систем или специализированного программного обеспечения данных о подключении устройств;
  • информация о наличии в протоколах (журналах) регистрации серверов электронной почты входящих электронных сообщений с адресов электронной почты, имеющих схожее написание с доменами государственных учреждений, либо с доменов, переписка с которыми не характерна для деятельности организации БС РФ. 
Р. 12 п. 3
12.3. Организации БС РФ рекомендуется обеспечить применение для всех целевых систем унифицированного состава технических средств и систем – источников технических данных, а также реализовать систему централизованного сбора и хранения протоколов (журналов) регистрации (например, SIEM систему). 
При реализации системы централизованного сбора и хранения протоколов (журналов) регистрации рекомендуется обеспечить:
  • централизованный сбор и хранение технических данных протоколов (журналов) регистрации, формируемых источниками технических данных, указанных в пункте 12.1 настоящего стандарта;
  • реализация сбора технических данных путем комбинации следующих способов:
    • путем периодического автоматического копирования протоколов (журналов) регистрации;
    • путем получения данных, передаваемых с помощью протоколов аудита и диагностики (в том числе SYSLOG, SNMP);
    • путем периодического сбора данных о фактическом составе технических средств и систем – источников технических данных путем использования средств инвентаризации и оценки защищенности, протоколов удаленного администрирования (системного сканирования);
    • путем копирования сетевого трафика;
  • контроль работоспособности технических средств, применяемых для сбора протоколов (журналов) регистрации;
  • хранение собранных технических данных, в том числе архивное хранение, обеспечивающее:
    • контроль и протоколирование доступа к собранным техническим данным;
    • реализация защитных мер, направленных на обеспечение конфиденциальности, целостности и доступности собранных технических данных;
    • обеспечение запрета единоличного изменения и (или) удаления собранных технических данных;
    • возможность установления сроков оперативного хранения технических данных;
    • архивное хранение по истечении срока оперативного хранения, реализуемое при необходимости внешними системами архивного хранения;
    • возможность доступа к архивным данным о событиях информационной безопасности для цели анализа в течение трех лет; 
  • реализацию защиты собранных технических данных от несанкционированного доступа, двустороннюю аутентификацию при использовании общедоступных вычислительных сетей, в том числе информационно-телекоммуникационной сети Интернет, для цели передачи указанных данных;
  • гарантированную доставку данных о событиях информационной безопасности;
  • приведение однотипных технических данных, формируемых разными источниками технических данных, к унифицированному формату;
  • возможность объединения и корреляции технических данных, сформированных разными источниками технических данных, в пределах одного общего инцидента ИБ; 
  • приведение (синхронизация) временных меток записей электронных журналов событий ИБ к единому часовому поясу и единому эталонному времени, для чего рекомендуется:
    • использование в качестве основного сигнала точного времени спутниковой системы “ГЛОНАСС”1 ;
    • использование в информационной инфраструктуре специального оборудования, содержащего в своем составе приемники сигналов спутниковой системы “ГЛОНАСС” – сервер времени информационной инфраструктуры (Time Server);
    • осуществление синхронизации системного времени технических средств, являющихся источниками технических данных, с сервером времени информационной инфраструктуры с одновременным документированием выполнения этой операции;
    • осуществление синхронизации системного времени видеорегистраторов, установленных в корпусах технических средств, являющихся источниками технических данных, систем видеонаблюдения и систем контроля доступа, с одновременным документированием выполнения этой операции. 
Р. 7 п. 23
7.23. Результаты выполнения аналитиком процедур и сервисных команд по выделению и анализу содержательной (семантической) информации должны быть документированы. Организации БС РФ рекомендуется формализовать правила документирования результатов выделения и анализа содержательной (семантической) информации. В правилах рекомендуется определить необходимость документирования:
  • описания инцидента ИБ и его классификацию, выполненную с учетом содержания пункта 6.1 настоящего стандарта;
  • описания состава собранных (используемых) технических данных;
  • описания цели проведенного анализа собранных технических данных из числа определенных в пункте 7.1 настоящего стандарта;
  • описания собранной первичной содержательной (семантической) информации, потенциально связанной с исходными (базовыми) событиями ИБ или их группой;
  • описания использованных технических средств и инструментов, выполненных процедур и сервисных команд, связанных с обработкой технических данных. При этом описание должно обеспечивать возможность повторного выполнения указанных процедур и сервисных команд с исходными техническими данными;
  • даты и времени выполнения процедур и сервисных команд по выделению и анализу содержательной (семантической) информации;
  • содержания выделенной семантической информации;
  • результатов анализа с максимально возможно подробным описанием:
    • технических способов и схем реализаций угроз ИБ;
    • результатов идентификации субъектов, реализующих угрозы ИБ;
    • результатов выявления маркеров “скрытого” несанкционированного управления объектами информационной инфраструктуры;
  • рекомендаций по сбору дополнительных технических данных с объектов информационной инфраструктуры, не принадлежащей организации БС РФ, например, протоколов (журналов) регистрации провайдеров сети Интернет или мобильных операторов связи;
  • описания возможных вариантов интерпретации результатов анализа в случае отсутствия у аналитика однозначного вывода относительно инцидента ИБ;
  • подробных выводов и рекомендаций, направленных на:
    • совершенствование обеспечения ИБ организации БС РФ;
    • устранение последствий инцидентов ИБ;
    • устранение выявленных уязвимостей ИБ;
    • инициирование взаимодействия с правоохранительными органами и (или) FinCert Банка России, а также иными организациями, проводящими мероприятия по реагированию на инциденты ИБ. 
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИНЦ.3 ИНЦ.3 Анализ компьютерных инцидентов
Положение Банка России № 779-П от 15.11.2021 "Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"":
п. 1.6.
1.6. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны обеспечивать в отношении выявления, регистрации событий операционного риска, связанных с нарушением операционной надежности, и реагирования на них, а также восстановления выполнения технологических процессов, указанных в приложении к настоящему Положению, и функционирования своих объектов информационной инфраструктуры после реализации указанных событий выполнение следующих требований:
  • выявление и регистрацию событий операционного риска, связанных с нарушением операционной надежности;
  • реагирование на события операционного риска, связанные с нарушением операционной надежности, в отношении критичной архитектуры;
  • восстановление выполнения технологических процессов, указанных в приложении к настоящему Положению, и функционирования своих объектов информационной инфраструктуры после реализации событий операционного риска, связанных с нарушением операционной надежности;
  • проведение анализа причин и последствий реализации событий операционного риска, связанных с нарушением операционной надежности;
  • организацию взаимодействия между подразделениями (работниками) некредитной финансовой организации, ответственными за разработку технологических процессов, указанных в приложении к настоящему Положению, поддержание их выполнения, их реализацию, между собой и Банком России, иными участниками технологического процесса в рамках реагирования на события операционного риска, связанные с нарушением операционной надежности, и восстановления выполнения технологических процессов, указанных в приложении к настоящему Положению, а также функционирования своих объектов информационной инфраструктуры после реализации событий операционного риска, связанных с нарушением операционной надежности.
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ИНЦ.3 ИНЦ.3 Анализ компьютерных инцидентов

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.