Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям ГОСТ Р № 57580.4-2022 от 01.02... ВРВ.34.2
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

ГОСТ Р № 57580.4-2022 от 01.02.2023

Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7

ВРВ.34.2

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 6. п.п. 3
6.3. Кредитные организации должны обеспечивать выполнение следующих требований к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации таких инцидентов:
  • выявление и регистрация инцидентов операционной надежности;
  • реагирование на инциденты операционной надежности в отношении критичной архитектуры;
  • восстановление функционирования технологических процессов и объектов информационной инфраструктуры после реализации инцидентов операционной надежности;
  • проведение анализа причин и последствий реализации инцидентов операционной надежности;
  • организация взаимодействия между подразделениями кредитной организации, а также между кредитной организацией и Банком России, иными участниками технологического процесса в рамках реагирования на инциденты операционной надежности и восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации инцидентов операционной надежности.
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ИНЦ.4 ИНЦ.4 Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий
Стандарт Банка России № СТО БР ИББС-1.3-2016 от 01.01.2017 "Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств":
Р. 6 п. 1
6.1. Сбор технических данных рекомендуется реализовывать в рамках установленной и документированной деятельности по сбору и фиксации информации об инцидентах ИБ, выполняемой в соответствии с РС БР ИББС-2.5. 
В рамках деятельности по сбору и фиксации информации об инцидентах ИБ рекомендуется для каждого инцидента ИБ обеспечить, помимо сбора технических данных, сбор и документирование обзорной информации об инциденте ИБ – профиля инцидента ИБ, описывающего:
  • способ выявления инцидента ИБ;
  • источник информации об инциденте ИБ; 
  • содержание информации об инциденте ИБ, полученной от источника; 
  • сценарий реализации инцидента ИБ;
  • дату и время выявления инцидента ИБ; 
  • состав информационной инфраструктуры, задействованной в реализации инцидента ИБ, в том числе пострадавшей от инцидента ИБ, уровень ее критичности для деятельности организации БС РФ;
  • способы подключения информационной инфраструктуры, задействованной в реализации инцидента ИБ, к сети Интернет или сетям общего пользования;
  • контактная информация работников организации БС РФ, в зону ответственности которых входит обеспечение эксплуатации информационной инфраструктуры, задействованной в реализации инцидента ИБ;
  • информация об операторе связи и провайдере сети Интернет. 
Непосредственный сбор технических данных рекомендуется осуществлять в рамках установленной и документированной деятельности по сбору и фиксации информации о следующих инцидентах ИБ:
  • инциденты ИБ, результатом которых являются и (или) могут являться несанкционированные переводы денежных средств (далее – инциденты ИБ, связанные с несанкционированными переводами денежных средств);
  • инциденты ИБ, результатом которых является деструктивное воздействие на объекты информационной инфраструктуры организации БС РФ, которые привели или могут привести к нарушению непрерывности оказания платежных услуг (далее – инциденты ИБ, связанные с деструктивным воздействием). 
В составе инцидентов ИБ, связанных с несанкционированными переводами денежных средств, рекомендуется рассматривать:
  • инциденты ИБ, связанные с несанкционированным доступом (далее – НСД) к объектам информационной инфраструктуры клиентов;
  • спам-рассылки, осуществляемые в отношении клиентов, реализуемые в рамках реализации методов “социального инжиниринга”, предпринимаемые с целью распространения компьютерных вирусов, функционально предназначенного для совершения несанкционированных переводов денежных средств;
  • атаки типа “отказ в обслуживании” (DDOS-атаки), реализуемые применительно к информационной инфраструктуре клиентов, предпринимаемые с целью блокирования нормального функционирования информационной инфраструктуры после успешной реализации несанкционированных переводов денежных средств;
  • воздействие компьютерных вирусов на информационную инфраструктуру клиентов, потенциально функционально предназначенного для совершения несанкционированных переводов денежных средств;
  • инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры систем дистанционного банковского обслуживания (далее – систем ДБО) организаций БС РФ;
  • инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры автоматизированных банковских систем (далее – АБС) организаций БС РФ;
  • инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры систем обработки карточных транзакций (далее – систем фронт-офиса) организаций БС РФ;
  • инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры систем посттранзакционного обслуживания карточных операций (далее – систем бэк-офиса) организаций БС РФ, в том числе системам электронного документооборота, формирования платежных клиринговых позиций, клиринга и подготовки данных для проведения расчетов. 
В составе инцидентов ИБ, связанных с деструктивным воздействием, рекомендуется рассматривать:
  • атаки типа “отказ в обслуживании” (DDOS-атаки), реализуемые применительно к информационной инфраструктуре систем ДБО, систем фронт-офиса организаций БС РФ;
  • деструктивное воздействие компьютерных вирусов на информационную инфраструктуру организации БС РФ. 
Р. 6 п. 3 п.п. 2
6.3.2. Информационная инфраструктура организации БС РФ (в настоящем стандарте предполагается, что сбор технических данных реализуется при наличии технической возможности с использованием функциональных возможностей объектов информационной инфраструктуры, эксплуатация которых осуществляется или организована организацией БС РФ): 
  • энергонезависимые технические данные, расположенные на запоминающих устройствах СВТ целевых систем:
    • серверном оборудовании целевых систем;
    • серверном оборудовании, поддерживающем функционирование информационной инфраструктуры целевых систем;
    • СВТ, используемых для администрирования целевых систем;
    • банкоматах и POS-терминалах;
  • энергозависимые технические данные, расположенные в оперативной памяти СВТ целевых систем:
    • СВТ, используемых для администрирования информационной инфраструктуры целевых систем;
    • серверного оборудования целевых систем;
    • серверного оборудования, поддерживающего функционирование информационной инфраструктуры целевых систем; 
  • энергозависимые технические данные СВТ целевых систем в составе следующих данных:
    • данные о сетевых конфигурациях;
    • данные о сетевых соединениях;
    • данные о запущенных программных процессах;
    • данные об открытых файлах; 
    • список открытых сессий доступа;
    • системные дата и время операционной системы; 
  • протоколы (журналы) регистрации целевых систем; 
  • протоколы (журналы) регистрации телекоммуникационного оборудования, используемого в информационной инфраструктуре целевых систем:
    • маршрутизаторы, коммутаторы, точки и контроллеры беспроводного доступа, модемы; 
    • средства, используемые для предоставления удаленного доступа (VPN-шлюзы);
  • протоколы (журналы) регистрации средств защиты информации, используемых в информационной инфраструктуре целевых систем:
    • средства (системы) аутентификации, авторизации и разграничения доступа;
    • средства межсетевого экранирования;
    • средства обнаружения вторжений и сетевых атак, в том числе DDOS-атак;
    • DHCP-сервисы;
    • средства защиты от НСД, размещенные на СВТ, используемых для администрирования информационной инфраструктуры целевых систем;
    • средства антивирусной защиты информационной инфраструктуры;
    • СКЗИ; 
  • протоколы (журналы) регистрации и данные почтовых серверов и средств контентной фильтрации электронной почты;
  • протоколы (журналы) регистрации и данные web-серверов и средств контентной фильтрации web-протоколов; 
  • протоколы (журналы) регистрации систем управления базами данных (далее – СУБД);
  • данные сетевого трафика из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ целевых систем;
  • протоколы (журналы) регистрации автоматических телефонных станций;
  • протоколы (журналы) регистрации и данные систем видеонаблюдения и систем контроля доступа, используемые для контроля доступа в помещения, в которых расположены СВТ целевых систем. 
Р. 6 п. 3 п.п. 8
6.3.8. Атаки типа “отказ в обслуживании” (DDOS-атаки), реализуемые применительно к информационной инфраструктуре целевых систем организаций БС РФ:
  1. копирование протоколов (журналов) регистрации средств межсетевого экранирования информационной инфраструктуры целевых систем за период времени реализации DDOS-атаки (рекомендуется к выполнению с высоким приоритетом значимости);
  2. копирование протоколов (журналов) регистрации средств обнаружения вторжений и сетевых атак в информационную инфраструктуру целевых систем за период времени реализации DDOS-атаки (рекомендуется к выполнению с высоким приоритетом значимости);
  3. копирование протоколов (журналов) регистрации телекоммуникационного оборудования, используемого в информационной инфраструктуре целевых систем за период времени реализации DDOS-атаки (рекомендуется к выполнению с высоким приоритетом значимости);
  4. копирование сетевого из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ целевых систем, за период времени реализации DDOS-атаки, а также за короткий период времени до и после реализации DDOS-атаки;
  5. Дополнительно организации БС РФ рекомендуется:
    • документировать сведения: 
      • о пропускной способности и провайдерах используемых каналов связи;
      •  об использовании сервиса защиты от DDOS-атак, предоставляемого внешними организациями;
    • идентифицировать владельца СВТ бот-сетей, задействованных в реализации DDOS-атаки;
    • совместно с владельцем СВТ бот-сетей организовать сбор технических данных по аналогии с рекомендациями, установленными для случая сбора технических данных при атаках типа “отказ в обслуживании” (DDOS-атаки), реализуемые применительно к информационной инфраструктуре клиентов. 
Р. 6 п. 3 п.п. 9
6.3.9. Деструктивное воздействие компьютерных вирусов на информационную инфраструктуру организации БС РФ  (до выполнения действий по сбору технических данных не следует проводить антивирусную проверку):
  1. получение данных операционных систем СВТ целевых систем (сетевые соединения, список открытых сессий доступа) (рекомендуется к выполнению с высоким приоритетом значимости); 
  2. копирование сетевого из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ целевых систем; 
  3. копирование содержимого оперативной памяти СВТ целевых систем (рекомендуется к выполнению с высоким приоритетом значимости);
  4. отключение СВТ целевых систем от вычислительной сети путем отключения сетевого кабеля, отключения и (или) выключения сетевых устройств (рекомендуется к выполнению с высоким приоритетом значимости); 
  5. получение данных операционных систем СВТ целевых систем (список запущенных программных процессов, список открытых файлов, сетевые конфигурации, системное время операционной системы) (рекомендуется к выполнению с высоким приоритетом значимости); 
  6. криминалистическое копирование (создание образов) запоминающих устройств СВТ целевых систем (рекомендуется к выполнению с высоким приоритетом значимости); 
  7. копирование протоколов (журналов) регистрации средств антивирусной защиты информационной инфраструктуры клиента за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);
  8. копирование протоколов (журналов) регистрации и данных почтовых серверов, средств контентной фильтрации электронной почты за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);
  9. копирование протоколов (журналов) регистрации и данные web-серверов, средств контентной фильтрации web-протоколов за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости); 
  10. копирование протоколов (журналов) регистрации средств защиты информации, используемых в информационной инфраструктуре целевых систем, за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости); 
  11. копирование протоколов (журналов) регистрации протоколы (журналы) регистрации телекоммуникационного оборудования, используемого в информационной инфраструктуре целевых систем, за три месяца, предшествующих инциденту ИБ. 
Р. 6 п. 3 п.п. 6
6.3.6. Атаки типа “отказ в обслуживании” (DDOS-атаки), реализуемые применительно к информационной инфраструктуре клиентов:
  1. копирование протоколов (журналов) регистрации средств межсетевого экранирования информационной инфраструктуры клиента за период времени реализации DDOS-атаки (рекомендуется к выполнению с высоким приоритетом значимости);
  2. копирование протоколов (журналов) регистрации средств обнаружения вторжений и сетевых атак информационной инфраструктуры клиента за период времени реализации DDOS-атаки (рекомендуется к выполнению с высоким приоритетом значимости);
  3. копирование протоколов (журналов) регистрации телекоммуникационного оборудования, используемого клиентом для осуществления доступа к системам ДБО за период времени реализации DDOSатаки (рекомендуется к выполнению с высоким приоритетом значимости);
  4. копирование сетевого трафика из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ, используемые клиентом для осуществления доступа к системам ДБО за период времени реализации DDOS-атаки, а также за короткий период времени до и после реализации DDOS-атаки;
  5. Дополнительно организации БС РФ рекомендуется:
    • идентифицировать владельца СВТ, входящих в состав бот-сетей, задействованных в реализации DDOS-атаки (далее – СВТ бот-сетей);
    •  совместно с владельцем СВТ бот-сетей организовать сбор следующих технических данных:
  6. получение данных операционных систем СВТ (сетевые соединения, список открытых сессий доступа, данные о запущенных программных процессах), задействованных в реализации DDOS-атаки (рекомендуется к выполнению с высоким приоритетом значимости);
  7. копирование содержимого оперативной памяти СВТ, указанного в пункте 6 (рекомендуется к выполнению с высоким приоритетом значимости);
  8. получение данных операционных СВТ (список запущенных программных процессов, список открытых файлов, сетевые конфигурации, системное время операционной системы), указанных в пункте 5 (рекомендуется к выполнению с высоким приоритетом значимости);
  9. копирование протоколов (журналов) регистрации телекоммуникационного оборудования, используемого в информационной инфраструктуре размещения СВТ бот-сетей;
  10. копирование протоколов (журналов) регистрации средств межсетевого экранирования, используемых в информационной инфраструктуре размещения СВТ бот-сетей; 
  11. копирование протоколов (журналов) регистрации средств обнаружения вторжений и сетевых атак информационной инфраструктуры размещения СВТ бот-сетей;
  12. “криминалистическое” копирование (создание образов) данных запоминающих устройств СВТ, указанных в пункте 5 (рекомендуется к выполнению с высоким приоритетом значимости). 
Р. 7 п. 18
7.18. Особое внимание при анализе аналитику рекомендуется уделять следующей содержательной (семантической) информации. 
Инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры клиентов или информационной инфраструктуры целевых систем:
  • информация о попытках подбора пароля, заключающаяся в наличии существенного количества попыток доступа с использованием “привилегированных” учетных записей, в том числе “встроенных” учетных записей (например, root, Administrator), результатом которых может являться успешная авторизация;
  • информация о попытках осуществления доступа в нетипичное время (например, ночью). При этом следует учитывать различия в возможных часовых поясах нахождения аналитика и места сбора технических данных; – информация о нетипичном поведении субъектов доступа при осуществлении доступа (в том числе наличие существенного количества сбоев авторизации, слишком ранняя или слишком поздняя попытка доступа и авторизации, нехарактерная для данного пользователя активность при осуществлении доступа);
  • информация о попытках осуществления доступа субъектами доступа к системам и ресурсам, которые не требуются ему для выполнения служебных обязанностей;
  • информация о существенном изменении состава внешних IP/DNS-адресов либо наличии постоянного сетевого трафика на IP/DNS-адреса, находящиеся вне территории РФ, что может свидетельствовать о заражении средства вычислительной техники компьютерными вирусами; 
  • информация о попытках установления входящих соединений с IP-адресами, находящимися вне территории РФ;
  • информация о попытках установления входящих соединений в обход эксплуатируемого VPN-шлюза;
  • информация о доступе к протоколам (журналам), содержащим информацию о событиях ИБ. 
Инциденты ИБ, связанные с реализацией атак типа “отказ в обслуживании” (DDOS-атаки), реализуемые применительно к информационной инфраструктуре клиентов, систем ДБО и систем фронт-офиса организации БС РФ:
  • информация о предварительных признаках DDOS-атак в виде кратковременных, нетипичных “всплесков” сетевого трафика, которые могут свидетельствовать о проведении злоумышленниками тестирования устойчивости информационной инфраструктуры организации БС РФ к DDOS-атакам;
  • сравнительная информация о составе IP-адресов в период осуществления DDOS-атаки и IP-адресов за определенный период до реализации DDOS-атаки, позволяющая идентифицировать реальные IP-адреса лиц, осуществляющие атаки;
  • информация о наличии угроз (вымогательств), связанных с предполагаемым началом DDOS-атаки. Такие угрозы могут попадать в организацию БС РФ через общедоступные (информационные) почтовые ящики, официальных представителей (пресс-службы) организации БС РФ, а также через работников организации БС РФ, адреса которых есть у злоумышленника. 
Инциденты ИБ, связанные с деструктивным воздействием компьютерных вирусов на информационную инфраструктуру организации БС РФ и клиентов:
  • информация о дате и времени появления компьютерных вирусов на СВТ организации БС РФ;
  • информация о выявлении антивирусными средствами компьютерных вирусов, о наличии “в карантине” антивирусного средства зараженных файлов за интересующий период времени и (или) диапазон дат;
  • информация о классификации производителем антивирусного средства компьютерных вирусов и исходном местоположении выявленных компонентов компьютерных вирусов на СВТ организации БС РФ;
  • информация о наличии постоянного и (или) периодического исходящего или входящего сетевого трафика небольшого объема на сетевые адреса за пределами РФ либо сетевые адреса, находящиеся в РФ, но не принадлежащие списку IP-адресов, с которыми организация ведет разрешенный обмен данными;
  • информация о нетипичных маршрутах прохождения сетевого трафика и нетипичных маршрутных таблицах сетевого оборудования;
  •  информация о наличии посторонних программных процессов, похожих на системные программные процессы, но запущенные либо из нетипичного места (временные папки, папки перемещаемых профилей), либо программных процессов, имеющих схожее название с системными;
  •  информация о наличии файлов и папок, похожих на “системные” файлы и папки, но находящихся в отличном от стандартного размещения местоположении в файловой системе (например, папка Windows Update в корне папки Windows);
  • информация о наличии нехарактерного для организации БС РФ программного обеспечения, запускаемого при запуске операционной системы СВТ, в том числе в папках автозагрузки, в службах, в системных драйверах, в системном реестре операционной системы Windows, в планировщике задач, в иных специфических местах, определяемых типом операционной системы;
  • информация о наличии в протоколах (журналах) регистрации операционных систем или специализированного программного обеспечения данных о подключении устройств;
  • информация о наличии в протоколах (журналах) регистрации серверов электронной почты входящих электронных сообщений с адресов электронной почты, имеющих схожее написание с доменами государственных учреждений, либо с доменов, переписка с которыми не характерна для деятельности организации БС РФ. 
Р. 7 п. 23
7.23. Результаты выполнения аналитиком процедур и сервисных команд по выделению и анализу содержательной (семантической) информации должны быть документированы. Организации БС РФ рекомендуется формализовать правила документирования результатов выделения и анализа содержательной (семантической) информации. В правилах рекомендуется определить необходимость документирования:
  • описания инцидента ИБ и его классификацию, выполненную с учетом содержания пункта 6.1 настоящего стандарта;
  • описания состава собранных (используемых) технических данных;
  • описания цели проведенного анализа собранных технических данных из числа определенных в пункте 7.1 настоящего стандарта;
  • описания собранной первичной содержательной (семантической) информации, потенциально связанной с исходными (базовыми) событиями ИБ или их группой;
  • описания использованных технических средств и инструментов, выполненных процедур и сервисных команд, связанных с обработкой технических данных. При этом описание должно обеспечивать возможность повторного выполнения указанных процедур и сервисных команд с исходными техническими данными;
  • даты и времени выполнения процедур и сервисных команд по выделению и анализу содержательной (семантической) информации;
  • содержания выделенной семантической информации;
  • результатов анализа с максимально возможно подробным описанием:
    • технических способов и схем реализаций угроз ИБ;
    • результатов идентификации субъектов, реализующих угрозы ИБ;
    • результатов выявления маркеров “скрытого” несанкционированного управления объектами информационной инфраструктуры;
  • рекомендаций по сбору дополнительных технических данных с объектов информационной инфраструктуры, не принадлежащей организации БС РФ, например, протоколов (журналов) регистрации провайдеров сети Интернет или мобильных операторов связи;
  • описания возможных вариантов интерпретации результатов анализа в случае отсутствия у аналитика однозначного вывода относительно инцидента ИБ;
  • подробных выводов и рекомендаций, направленных на:
    • совершенствование обеспечения ИБ организации БС РФ;
    • устранение последствий инцидентов ИБ;
    • устранение выявленных уязвимостей ИБ;
    • инициирование взаимодействия с правоохранительными органами и (или) FinCert Банка России, а также иными организациями, проводящими мероприятия по реагированию на инциденты ИБ. 
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИНЦ.3 ИНЦ.3 Анализ компьютерных инцидентов
Положение Банка России № 779-П от 15.11.2021 "Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"":
п. 1.6.
1.6. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны обеспечивать в отношении выявления, регистрации событий операционного риска, связанных с нарушением операционной надежности, и реагирования на них, а также восстановления выполнения технологических процессов, указанных в приложении к настоящему Положению, и функционирования своих объектов информационной инфраструктуры после реализации указанных событий выполнение следующих требований:
  • выявление и регистрацию событий операционного риска, связанных с нарушением операционной надежности;
  • реагирование на события операционного риска, связанные с нарушением операционной надежности, в отношении критичной архитектуры;
  • восстановление выполнения технологических процессов, указанных в приложении к настоящему Положению, и функционирования своих объектов информационной инфраструктуры после реализации событий операционного риска, связанных с нарушением операционной надежности;
  • проведение анализа причин и последствий реализации событий операционного риска, связанных с нарушением операционной надежности;
  • организацию взаимодействия между подразделениями (работниками) некредитной финансовой организации, ответственными за разработку технологических процессов, указанных в приложении к настоящему Положению, поддержание их выполнения, их реализацию, между собой и Банком России, иными участниками технологического процесса в рамках реагирования на события операционного риска, связанные с нарушением операционной надежности, и восстановления выполнения технологических процессов, указанных в приложении к настоящему Положению, а также функционирования своих объектов информационной инфраструктуры после реализации событий операционного риска, связанных с нарушением операционной надежности.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.