Куда я попал?
ГОСТ Р № 57580.4-2022 от 01.02.2023
Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7
ВРВ.34.2
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
ВРВ.34.2 Сбор и анализ технических данных (свидетельств)* в рамках выявления, реагирования на инциденты и восстановления после их реализации;Обязательно для уровня защиты 1 2 3
Похожие требования
Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 6. п.п. 3
6.3. Кредитные организации должны обеспечивать выполнение следующих требований к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации таких инцидентов:
- выявление и регистрация инцидентов операционной надежности;
- реагирование на инциденты операционной надежности в отношении критичной архитектуры;
- восстановление функционирования технологических процессов и объектов информационной инфраструктуры после реализации инцидентов операционной надежности;
- проведение анализа причин и последствий реализации инцидентов операционной надежности;
- организация взаимодействия между подразделениями кредитной организации, а также между кредитной организацией и Банком России, иными участниками технологического процесса в рамках реагирования на инциденты операционной надежности и восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации инцидентов операционной надежности.
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ИНЦ.4
ИНЦ.4 Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий
Стандарт Банка России № СТО БР ИББС-1.3-2016 от 01.01.2017 "Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств":
Р. 6 п. 1
6.1. Сбор технических данных рекомендуется реализовывать в рамках установленной и документированной деятельности по сбору и фиксации информации об инцидентах ИБ, выполняемой в соответствии с РС БР ИББС-2.5.
В рамках деятельности по сбору и фиксации информации об инцидентах ИБ рекомендуется для каждого инцидента ИБ обеспечить, помимо сбора технических данных, сбор и документирование обзорной информации об инциденте ИБ – профиля инцидента ИБ, описывающего:
В рамках деятельности по сбору и фиксации информации об инцидентах ИБ рекомендуется для каждого инцидента ИБ обеспечить, помимо сбора технических данных, сбор и документирование обзорной информации об инциденте ИБ – профиля инцидента ИБ, описывающего:
- способ выявления инцидента ИБ;
- источник информации об инциденте ИБ;
- содержание информации об инциденте ИБ, полученной от источника;
- сценарий реализации инцидента ИБ;
- дату и время выявления инцидента ИБ;
- состав информационной инфраструктуры, задействованной в реализации инцидента ИБ, в том числе пострадавшей от инцидента ИБ, уровень ее критичности для деятельности организации БС РФ;
- способы подключения информационной инфраструктуры, задействованной в реализации инцидента ИБ, к сети Интернет или сетям общего пользования;
- контактная информация работников организации БС РФ, в зону ответственности которых входит обеспечение эксплуатации информационной инфраструктуры, задействованной в реализации инцидента ИБ;
- информация об операторе связи и провайдере сети Интернет.
Непосредственный сбор технических данных рекомендуется осуществлять в рамках установленной и документированной деятельности по сбору и фиксации информации о следующих инцидентах ИБ:
- инциденты ИБ, результатом которых являются и (или) могут являться несанкционированные переводы денежных средств (далее – инциденты ИБ, связанные с несанкционированными переводами денежных средств);
- инциденты ИБ, результатом которых является деструктивное воздействие на объекты информационной инфраструктуры организации БС РФ, которые привели или могут привести к нарушению непрерывности оказания платежных услуг (далее – инциденты ИБ, связанные с деструктивным воздействием).
В составе инцидентов ИБ, связанных с несанкционированными переводами денежных средств, рекомендуется рассматривать:
- инциденты ИБ, связанные с несанкционированным доступом (далее – НСД) к объектам информационной инфраструктуры клиентов;
- спам-рассылки, осуществляемые в отношении клиентов, реализуемые в рамках реализации методов “социального инжиниринга”, предпринимаемые с целью распространения компьютерных вирусов, функционально предназначенного для совершения несанкционированных переводов денежных средств;
- атаки типа “отказ в обслуживании” (DDOS-атаки), реализуемые применительно к информационной инфраструктуре клиентов, предпринимаемые с целью блокирования нормального функционирования информационной инфраструктуры после успешной реализации несанкционированных переводов денежных средств;
- воздействие компьютерных вирусов на информационную инфраструктуру клиентов, потенциально функционально предназначенного для совершения несанкционированных переводов денежных средств;
- инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры систем дистанционного банковского обслуживания (далее – систем ДБО) организаций БС РФ;
- инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры автоматизированных банковских систем (далее – АБС) организаций БС РФ;
- инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры систем обработки карточных транзакций (далее – систем фронт-офиса) организаций БС РФ;
- инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры систем посттранзакционного обслуживания карточных операций (далее – систем бэк-офиса) организаций БС РФ, в том числе системам электронного документооборота, формирования платежных клиринговых позиций, клиринга и подготовки данных для проведения расчетов.
В составе инцидентов ИБ, связанных с деструктивным воздействием, рекомендуется рассматривать:
- атаки типа “отказ в обслуживании” (DDOS-атаки), реализуемые применительно к информационной инфраструктуре систем ДБО, систем фронт-офиса организаций БС РФ;
- деструктивное воздействие компьютерных вирусов на информационную инфраструктуру организации БС РФ.
Р. 6 п. 3 п.п. 2
6.3.2. Информационная инфраструктура организации БС РФ (в настоящем стандарте предполагается, что сбор технических данных реализуется при наличии технической возможности с использованием функциональных возможностей объектов информационной инфраструктуры, эксплуатация которых осуществляется или организована организацией БС РФ):
- энергонезависимые технические данные, расположенные на запоминающих устройствах СВТ целевых систем:
- серверном оборудовании целевых систем;
- серверном оборудовании, поддерживающем функционирование информационной инфраструктуры целевых систем;
- СВТ, используемых для администрирования целевых систем;
- банкоматах и POS-терминалах;
- энергозависимые технические данные, расположенные в оперативной памяти СВТ целевых систем:
- СВТ, используемых для администрирования информационной инфраструктуры целевых систем;
- серверного оборудования целевых систем;
- серверного оборудования, поддерживающего функционирование информационной инфраструктуры целевых систем;
- энергозависимые технические данные СВТ целевых систем в составе следующих данных:
- данные о сетевых конфигурациях;
- данные о сетевых соединениях;
- данные о запущенных программных процессах;
- данные об открытых файлах;
- список открытых сессий доступа;
- системные дата и время операционной системы;
- протоколы (журналы) регистрации целевых систем;
- протоколы (журналы) регистрации телекоммуникационного оборудования, используемого в информационной инфраструктуре целевых систем:
- маршрутизаторы, коммутаторы, точки и контроллеры беспроводного доступа, модемы;
- средства, используемые для предоставления удаленного доступа (VPN-шлюзы);
- протоколы (журналы) регистрации средств защиты информации, используемых в информационной инфраструктуре целевых систем:
- средства (системы) аутентификации, авторизации и разграничения доступа;
- средства межсетевого экранирования;
- средства обнаружения вторжений и сетевых атак, в том числе DDOS-атак;
- DHCP-сервисы;
- средства защиты от НСД, размещенные на СВТ, используемых для администрирования информационной инфраструктуры целевых систем;
- средства антивирусной защиты информационной инфраструктуры;
- СКЗИ;
- протоколы (журналы) регистрации и данные почтовых серверов и средств контентной фильтрации электронной почты;
- протоколы (журналы) регистрации и данные web-серверов и средств контентной фильтрации web-протоколов;
- протоколы (журналы) регистрации систем управления базами данных (далее – СУБД);
- данные сетевого трафика из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ целевых систем;
- протоколы (журналы) регистрации автоматических телефонных станций;
- протоколы (журналы) регистрации и данные систем видеонаблюдения и систем контроля доступа, используемые для контроля доступа в помещения, в которых расположены СВТ целевых систем.
Р. 6 п. 3 п.п. 8
6.3.8. Атаки типа “отказ в обслуживании” (DDOS-атаки), реализуемые применительно к информационной инфраструктуре целевых систем организаций БС РФ:
- копирование протоколов (журналов) регистрации средств межсетевого экранирования информационной инфраструктуры целевых систем за период времени реализации DDOS-атаки (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование протоколов (журналов) регистрации средств обнаружения вторжений и сетевых атак в информационную инфраструктуру целевых систем за период времени реализации DDOS-атаки (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование протоколов (журналов) регистрации телекоммуникационного оборудования, используемого в информационной инфраструктуре целевых систем за период времени реализации DDOS-атаки (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование сетевого из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ целевых систем, за период времени реализации DDOS-атаки, а также за короткий период времени до и после реализации DDOS-атаки;
- Дополнительно организации БС РФ рекомендуется:
- документировать сведения:
- о пропускной способности и провайдерах используемых каналов связи;
- об использовании сервиса защиты от DDOS-атак, предоставляемого внешними организациями;
- идентифицировать владельца СВТ бот-сетей, задействованных в реализации DDOS-атаки;
- совместно с владельцем СВТ бот-сетей организовать сбор технических данных по аналогии с рекомендациями, установленными для случая сбора технических данных при атаках типа “отказ в обслуживании” (DDOS-атаки), реализуемые применительно к информационной инфраструктуре клиентов.
- документировать сведения:
Р. 6 п. 3 п.п. 9
6.3.9. Деструктивное воздействие компьютерных вирусов на информационную инфраструктуру организации БС РФ (до выполнения действий по сбору технических данных не следует проводить антивирусную проверку):
- получение данных операционных систем СВТ целевых систем (сетевые соединения, список открытых сессий доступа) (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование сетевого из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ целевых систем;
- копирование содержимого оперативной памяти СВТ целевых систем (рекомендуется к выполнению с высоким приоритетом значимости);
- отключение СВТ целевых систем от вычислительной сети путем отключения сетевого кабеля, отключения и (или) выключения сетевых устройств (рекомендуется к выполнению с высоким приоритетом значимости);
- получение данных операционных систем СВТ целевых систем (список запущенных программных процессов, список открытых файлов, сетевые конфигурации, системное время операционной системы) (рекомендуется к выполнению с высоким приоритетом значимости);
- криминалистическое копирование (создание образов) запоминающих устройств СВТ целевых систем (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование протоколов (журналов) регистрации средств антивирусной защиты информационной инфраструктуры клиента за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование протоколов (журналов) регистрации и данных почтовых серверов, средств контентной фильтрации электронной почты за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование протоколов (журналов) регистрации и данные web-серверов, средств контентной фильтрации web-протоколов за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование протоколов (журналов) регистрации средств защиты информации, используемых в информационной инфраструктуре целевых систем, за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование протоколов (журналов) регистрации протоколы (журналы) регистрации телекоммуникационного оборудования, используемого в информационной инфраструктуре целевых систем, за три месяца, предшествующих инциденту ИБ.
Р. 6 п. 3 п.п. 6
6.3.6. Атаки типа “отказ в обслуживании” (DDOS-атаки), реализуемые применительно к информационной инфраструктуре клиентов:
- копирование протоколов (журналов) регистрации средств межсетевого экранирования информационной инфраструктуры клиента за период времени реализации DDOS-атаки (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование протоколов (журналов) регистрации средств обнаружения вторжений и сетевых атак информационной инфраструктуры клиента за период времени реализации DDOS-атаки (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование протоколов (журналов) регистрации телекоммуникационного оборудования, используемого клиентом для осуществления доступа к системам ДБО за период времени реализации DDOSатаки (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование сетевого трафика из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ, используемые клиентом для осуществления доступа к системам ДБО за период времени реализации DDOS-атаки, а также за короткий период времени до и после реализации DDOS-атаки;
- Дополнительно организации БС РФ рекомендуется:
- идентифицировать владельца СВТ, входящих в состав бот-сетей, задействованных в реализации DDOS-атаки (далее – СВТ бот-сетей);
- совместно с владельцем СВТ бот-сетей организовать сбор следующих технических данных:
- получение данных операционных систем СВТ (сетевые соединения, список открытых сессий доступа, данные о запущенных программных процессах), задействованных в реализации DDOS-атаки (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование содержимого оперативной памяти СВТ, указанного в пункте 6 (рекомендуется к выполнению с высоким приоритетом значимости);
- получение данных операционных СВТ (список запущенных программных процессов, список открытых файлов, сетевые конфигурации, системное время операционной системы), указанных в пункте 5 (рекомендуется к выполнению с высоким приоритетом значимости);
- копирование протоколов (журналов) регистрации телекоммуникационного оборудования, используемого в информационной инфраструктуре размещения СВТ бот-сетей;
- копирование протоколов (журналов) регистрации средств межсетевого экранирования, используемых в информационной инфраструктуре размещения СВТ бот-сетей;
- копирование протоколов (журналов) регистрации средств обнаружения вторжений и сетевых атак информационной инфраструктуры размещения СВТ бот-сетей;
- “криминалистическое” копирование (создание образов) данных запоминающих устройств СВТ, указанных в пункте 5 (рекомендуется к выполнению с высоким приоритетом значимости).
Р. 7 п. 18
7.18. Особое внимание при анализе аналитику рекомендуется уделять следующей содержательной (семантической) информации.
Инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры клиентов или информационной инфраструктуры целевых систем:
Инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры клиентов или информационной инфраструктуры целевых систем:
- информация о попытках подбора пароля, заключающаяся в наличии существенного количества попыток доступа с использованием “привилегированных” учетных записей, в том числе “встроенных” учетных записей (например, root, Administrator), результатом которых может являться успешная авторизация;
- информация о попытках осуществления доступа в нетипичное время (например, ночью). При этом следует учитывать различия в возможных часовых поясах нахождения аналитика и места сбора технических данных; – информация о нетипичном поведении субъектов доступа при осуществлении доступа (в том числе наличие существенного количества сбоев авторизации, слишком ранняя или слишком поздняя попытка доступа и авторизации, нехарактерная для данного пользователя активность при осуществлении доступа);
- информация о попытках осуществления доступа субъектами доступа к системам и ресурсам, которые не требуются ему для выполнения служебных обязанностей;
- информация о существенном изменении состава внешних IP/DNS-адресов либо наличии постоянного сетевого трафика на IP/DNS-адреса, находящиеся вне территории РФ, что может свидетельствовать о заражении средства вычислительной техники компьютерными вирусами;
- информация о попытках установления входящих соединений с IP-адресами, находящимися вне территории РФ;
- информация о попытках установления входящих соединений в обход эксплуатируемого VPN-шлюза;
- информация о доступе к протоколам (журналам), содержащим информацию о событиях ИБ.
Инциденты ИБ, связанные с реализацией атак типа “отказ в обслуживании” (DDOS-атаки), реализуемые применительно к информационной инфраструктуре клиентов, систем ДБО и систем фронт-офиса организации БС РФ:
- информация о предварительных признаках DDOS-атак в виде кратковременных, нетипичных “всплесков” сетевого трафика, которые могут свидетельствовать о проведении злоумышленниками тестирования устойчивости информационной инфраструктуры организации БС РФ к DDOS-атакам;
- сравнительная информация о составе IP-адресов в период осуществления DDOS-атаки и IP-адресов за определенный период до реализации DDOS-атаки, позволяющая идентифицировать реальные IP-адреса лиц, осуществляющие атаки;
- информация о наличии угроз (вымогательств), связанных с предполагаемым началом DDOS-атаки. Такие угрозы могут попадать в организацию БС РФ через общедоступные (информационные) почтовые ящики, официальных представителей (пресс-службы) организации БС РФ, а также через работников организации БС РФ, адреса которых есть у злоумышленника.
Инциденты ИБ, связанные с деструктивным воздействием компьютерных вирусов на информационную инфраструктуру организации БС РФ и клиентов:
- информация о дате и времени появления компьютерных вирусов на СВТ организации БС РФ;
- информация о выявлении антивирусными средствами компьютерных вирусов, о наличии “в карантине” антивирусного средства зараженных файлов за интересующий период времени и (или) диапазон дат;
- информация о классификации производителем антивирусного средства компьютерных вирусов и исходном местоположении выявленных компонентов компьютерных вирусов на СВТ организации БС РФ;
- информация о наличии постоянного и (или) периодического исходящего или входящего сетевого трафика небольшого объема на сетевые адреса за пределами РФ либо сетевые адреса, находящиеся в РФ, но не принадлежащие списку IP-адресов, с которыми организация ведет разрешенный обмен данными;
- информация о нетипичных маршрутах прохождения сетевого трафика и нетипичных маршрутных таблицах сетевого оборудования;
- информация о наличии посторонних программных процессов, похожих на системные программные процессы, но запущенные либо из нетипичного места (временные папки, папки перемещаемых профилей), либо программных процессов, имеющих схожее название с системными;
- информация о наличии файлов и папок, похожих на “системные” файлы и папки, но находящихся в отличном от стандартного размещения местоположении в файловой системе (например, папка Windows Update в корне папки Windows);
- информация о наличии нехарактерного для организации БС РФ программного обеспечения, запускаемого при запуске операционной системы СВТ, в том числе в папках автозагрузки, в службах, в системных драйверах, в системном реестре операционной системы Windows, в планировщике задач, в иных специфических местах, определяемых типом операционной системы;
- информация о наличии в протоколах (журналах) регистрации операционных систем или специализированного программного обеспечения данных о подключении устройств;
- информация о наличии в протоколах (журналах) регистрации серверов электронной почты входящих электронных сообщений с адресов электронной почты, имеющих схожее написание с доменами государственных учреждений, либо с доменов, переписка с которыми не характерна для деятельности организации БС РФ.
Р. 7 п. 23
7.23. Результаты выполнения аналитиком процедур и сервисных команд по выделению и анализу содержательной (семантической) информации должны быть документированы. Организации БС РФ рекомендуется формализовать правила документирования результатов выделения и анализа содержательной (семантической) информации. В правилах рекомендуется определить необходимость документирования:
- описания инцидента ИБ и его классификацию, выполненную с учетом содержания пункта 6.1 настоящего стандарта;
- описания состава собранных (используемых) технических данных;
- описания цели проведенного анализа собранных технических данных из числа определенных в пункте 7.1 настоящего стандарта;
- описания собранной первичной содержательной (семантической) информации, потенциально связанной с исходными (базовыми) событиями ИБ или их группой;
- описания использованных технических средств и инструментов, выполненных процедур и сервисных команд, связанных с обработкой технических данных. При этом описание должно обеспечивать возможность повторного выполнения указанных процедур и сервисных команд с исходными техническими данными;
- даты и времени выполнения процедур и сервисных команд по выделению и анализу содержательной (семантической) информации;
- содержания выделенной семантической информации;
- результатов анализа с максимально возможно подробным описанием:
- технических способов и схем реализаций угроз ИБ;
- результатов идентификации субъектов, реализующих угрозы ИБ;
- результатов выявления маркеров “скрытого” несанкционированного управления объектами информационной инфраструктуры;
- рекомендаций по сбору дополнительных технических данных с объектов информационной инфраструктуры, не принадлежащей организации БС РФ, например, протоколов (журналов) регистрации провайдеров сети Интернет или мобильных операторов связи;
- описания возможных вариантов интерпретации результатов анализа в случае отсутствия у аналитика однозначного вывода относительно инцидента ИБ;
- подробных выводов и рекомендаций, направленных на:
- совершенствование обеспечения ИБ организации БС РФ;
- устранение последствий инцидентов ИБ;
- устранение выявленных уязвимостей ИБ;
- инициирование взаимодействия с правоохранительными органами и (или) FinCert Банка России, а также иными организациями, проводящими мероприятия по реагированию на инциденты ИБ.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИНЦ.3
ИНЦ.3 Анализ компьютерных инцидентов
Положение Банка России № 779-П от 15.11.2021 "Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"":
п. 1.6.
1.6. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны обеспечивать в отношении выявления, регистрации событий операционного риска, связанных с нарушением операционной надежности, и реагирования на них, а также восстановления выполнения технологических процессов, указанных в приложении к настоящему Положению, и функционирования своих объектов информационной инфраструктуры после реализации указанных событий выполнение следующих требований:
- выявление и регистрацию событий операционного риска, связанных с нарушением операционной надежности;
- реагирование на события операционного риска, связанные с нарушением операционной надежности, в отношении критичной архитектуры;
- восстановление выполнения технологических процессов, указанных в приложении к настоящему Положению, и функционирования своих объектов информационной инфраструктуры после реализации событий операционного риска, связанных с нарушением операционной надежности;
- проведение анализа причин и последствий реализации событий операционного риска, связанных с нарушением операционной надежности;
- организацию взаимодействия между подразделениями (работниками) некредитной финансовой организации, ответственными за разработку технологических процессов, указанных в приложении к настоящему Положению, поддержание их выполнения, их реализацию, между собой и Банком России, иными участниками технологического процесса в рамках реагирования на события операционного риска, связанные с нарушением операционной надежности, и восстановления выполнения технологических процессов, указанных в приложении к настоящему Положению, а также функционирования своих объектов информационной инфраструктуры после реализации событий операционного риска, связанных с нарушением операционной надежности.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.