Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022

Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A

А.5.26

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 4 п.п. 4
7.4.4. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры мониторинга ИБ, анализа и хранения данных о действиях и операциях, позволяющие выявлять неправомерные или подозрительные операции и транзакции, для чего, среди прочего, следует:
  • определить действия и операции, подлежащие регистрации;
  • определить состав и содержание данных о действиях и операциях, подлежащих регистрации, сроки их хранения;
  • обеспечить резервирование необходимого объема памяти для записи данных;
  • обеспечить реагирование на сбои при регистрации действий и операций, в том числе аппаратные и программные ошибки, сбои в технических средствах сбора данных;
  • обеспечить генерацию временных меток для регистрируемых действий и операций и синхронизацию системного времени на технических средствах, используемых для целей мониторинга ИБ, анализа и хранения данных.
В организации БС РФ должно быть реализовано ведение журналов действия и операций автоматизированных рабочих мест, серверного и сетевого оборудования, межсетевых экранов и АБС с целью их использования при реагировании на инциденты ИБ.
Рекомендуется обеспечить хранение данных о действиях и операциях не менее трех лет, а для данных, полученных в результате выполнения банковского платежного технологического процесса, - не менее пяти лет, если иные сроки хранения не установлены законодательством РФ, нормативными актами Банка России.
Для проведения процедур мониторинга ИБ и анализа данных о действиях и операциях следует использовать специализированные программные и (или) технические средства.
Процедуры мониторинга ИБ и анализа данных о действиях и операциях должны использовать зафиксированные критерии выявления неправомерных или подозрительных действий и операций. Указанные процедуры мониторинга ИБ и анализа должны применяться на регулярной основе, например ежедневно, ко всем выполненным действиям и операциям (транзакциям).
Р. 8 п. 10 п.п. 1
8.10.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры обработки инцидентов, включающие:
  • процедуры обнаружения инцидентов ИБ;
  • процедуры информирования об инцидентах, в том числе информирования службы ИБ;
  • процедуры классификации инцидентов и оценки ущерба, нанесенного инцидентом ИБ;
  •  — процедуры реагирования на инцидент;
  •  — процедуры анализа причин инцидентов ИБ и оценки результатов реагирования на инциденты ИБ (при необходимости с участием внешних экспертов в области ИБ). 
CIS Critical Security Controls v8 (The 18 CIS CSC):
17.4
17.4 Establish and Maintain an Incident Response Process
Establish and maintain an incident response process that addresses roles and responsibilities, compliance requirements, and a communication plan. Review annually, or when significant enterprise changes occur that could impact this Safeguard. 
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
РМ.2
РМ.2 Разработка плана реагирования на риск реализации информационных угроз, обеспечивающего достижение и поддержание допустимого уровня такого риска (риск-аппетита финансовой организации).
Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 6. п.п. 3
6.3. Кредитные организации должны обеспечивать выполнение следующих требований к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации таких инцидентов:
  • выявление и регистрация инцидентов операционной надежности;
  • реагирование на инциденты операционной надежности в отношении критичной архитектуры;
  • восстановление функционирования технологических процессов и объектов информационной инфраструктуры после реализации инцидентов операционной надежности;
  • проведение анализа причин и последствий реализации инцидентов операционной надежности;
  • организация взаимодействия между подразделениями кредитной организации, а также между кредитной организацией и Банком России, иными участниками технологического процесса в рамках реагирования на инциденты операционной надежности и восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации инцидентов операционной надежности.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
РИ.7
РИ.7 Определение и назначение ролей, связанных с реагированием на инциденты защиты информации
3-О 2-Н 1-Н
РИ.14
РИ.14 Установление и применение единых правил закрытия инцидентов защиты информации
3-О 2-О 1-О
NIST Cybersecurity Framework (RU):
RS.AN-1
RS.AN-1: Исследуются уведомления от систем обнаружения 
RS.MI-1
RS.MI-1: Инциденты локализируются 
RS.MI-2
RS.MI-2: Смягчаются последствия от инцидента 
RS.RP-1
RS.RP-1: Во время или после события выполняется план реагирования 
RC.RP-1
RC.RP-1: План восстановления выполняется во время или после события 
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ВРВ.31
ВРВ.31 Организация и выполнение деятельности по проведению оценки завершения восстановления функционирования бизнес- и технологических процессов и объектов информатизации согласно определенным критериям перед принятием решения о закрытии соответствующего инцидента.
ВРВ.30
ВРВ.30 Определение в качестве критериев для оценки завершения восстановления функционирования бизнес- и технологических процессов и объектов информатизации и условий закрытия инцидента, в том числе:
  • проведение тестирования (проверки)***** восстановленных бизнес- и технологических процессов, объектов информатизации и данных;
  • полное устранение или нейтрализация воздействия источника реализовавшегося инцидента.
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
17.4
17.4 Реализован и поддерживается процесс ответа на сообщения об инцидентах
Процесс включает роли и обязанности, показатели работы и план коммуникации по поводу инцидента.
Стандарт Банка России № СТО БР ИББС-1.3-2016 от 01.01.2017 "Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств":
Р. 7 п. 23
7.23. Результаты выполнения аналитиком процедур и сервисных команд по выделению и анализу содержательной (семантической) информации должны быть документированы. Организации БС РФ рекомендуется формализовать правила документирования результатов выделения и анализа содержательной (семантической) информации. В правилах рекомендуется определить необходимость документирования:
  • описания инцидента ИБ и его классификацию, выполненную с учетом содержания пункта 6.1 настоящего стандарта;
  • описания состава собранных (используемых) технических данных;
  • описания цели проведенного анализа собранных технических данных из числа определенных в пункте 7.1 настоящего стандарта;
  • описания собранной первичной содержательной (семантической) информации, потенциально связанной с исходными (базовыми) событиями ИБ или их группой;
  • описания использованных технических средств и инструментов, выполненных процедур и сервисных команд, связанных с обработкой технических данных. При этом описание должно обеспечивать возможность повторного выполнения указанных процедур и сервисных команд с исходными техническими данными;
  • даты и времени выполнения процедур и сервисных команд по выделению и анализу содержательной (семантической) информации;
  • содержания выделенной семантической информации;
  • результатов анализа с максимально возможно подробным описанием:
    • технических способов и схем реализаций угроз ИБ;
    • результатов идентификации субъектов, реализующих угрозы ИБ;
    • результатов выявления маркеров “скрытого” несанкционированного управления объектами информационной инфраструктуры;
  • рекомендаций по сбору дополнительных технических данных с объектов информационной инфраструктуры, не принадлежащей организации БС РФ, например, протоколов (журналов) регистрации провайдеров сети Интернет или мобильных операторов связи;
  • описания возможных вариантов интерпретации результатов анализа в случае отсутствия у аналитика однозначного вывода относительно инцидента ИБ;
  • подробных выводов и рекомендаций, направленных на:
    • совершенствование обеспечения ИБ организации БС РФ;
    • устранение последствий инцидентов ИБ;
    • устранение выявленных уязвимостей ИБ;
    • инициирование взаимодействия с правоохранительными органами и (или) FinCert Банка России, а также иными организациями, проводящими мероприятия по реагированию на инциденты ИБ. 
Р. 6 п.5
6.5. Рекомендации по оперативному ограничению доступа к техническим данным для цели обеспечения их сохранности до выполнения сбора. 
В планах (регламентах) сбора технических данных должно быть предусмотрено оперативное выполнение действий и операций, направленных на минимизацию риска злоумышленных или случайных действий по изменению, повреждению и (или) уничтожению технических данных до момента их сбора. К таким действиям и операциям относятся:
  • реализация ограничений и (или) запрета по физическому доступу к объектам информационной инфраструктуры – источникам технических данных;
  • реализация ограничений и (или) запрета по логическому доступу к объектам информационной инфраструктуры – источникам технических данных до момента сбора идентифицированных технических данных;
  • проведение сбора технических данных только лицами, обладающими необходимыми опытом и компетенцией. 
После обнаружения инцидента ИБ до момента сбора технических данных следует обеспечить запрет выполнения:
  • антивирусных проверок СВТ – потенциальных источников технических данных;
  • установки обновлений и переустановки операционных систем СВТ – потенциальных источников технических данных; 
  • отключения от вычислительной сети СВТ – потенциальных источников технических данных, за исключением СВТ, используемых клиентами для осуществления доступа к системам ДБО и СВТ, используемых организациями БС РФ для взаимодействия с платежными системами. 
С целью минимизации финансового ущерба от инцидентов ИБ организации БС РФ рекомендуется: 
  • доведение до клиентов рекомендаций по максимально возможно быстрому отключению от вычислительных сетей СВТ, используемых клиентами для осуществления доступа к системам ДБО; 
  • максимально возможное быстрое отключение от вычислительных сетей СВТ, используемых организациями БС РФ для взаимодействия с платежными системами. 
Р. 6 п. 3 п.п. 7
6.3.7. Инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры целевых систем организации БС РФ:
  1. копирование протоколов (журналов) регистрации целевых систем организации БС РФ за период времени, связанный с инцидентом ИБ (рекомендуется к выполнению с высоким приоритетом значимости);
  2. копирование протоколов (журналов) регистрации и данных web-серверов, средств контентной фильтрации web-протоколов за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);
  3. копирование протоколов (журналов) регистрации СУБД за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости); 
  4. копирование протоколов (журналов) регистрации средств защиты информации, используемых в информационной инфраструктуре целевых систем, за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);
  5. копирование протоколов (журналов) телекоммуникационного оборудования, используемого в информационной инфраструктуре целевых систем, за три месяца, предшествующих инциденту ИБ;
  6. получение данных операционных систем СВТ целевых систем (сетевые соединения, список открытых сессий доступа); 
  7. копирование содержимого оперативной памяти СВТ целевых систем;
  8. получение данных операционных систем СВТ целевых систем (список запущенных программных процессов, список открытых файлов, сетевые конфигурации, системное время операционной системы; 
  9. копирование сетевого трафика из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ целевых систем;
  10. “криминалистическое” копирование (создание образов) данных запоминающих устройств СВТ, указанных в пункте 6;
  11. копирование протоколов (журналов) регистрации автоматических телефонных станций;
  12. копирование протоколов (журналов) регистрации систем видеонаблюдения и систем контроля доступа, используемых для контроля доступа в помещения, предназначенные для размещения СВТ целевых систем, за 1 неделю, предшествующую инциденту ИБ. 
Р. 6 п. 1
6.1. Сбор технических данных рекомендуется реализовывать в рамках установленной и документированной деятельности по сбору и фиксации информации об инцидентах ИБ, выполняемой в соответствии с РС БР ИББС-2.5. 
В рамках деятельности по сбору и фиксации информации об инцидентах ИБ рекомендуется для каждого инцидента ИБ обеспечить, помимо сбора технических данных, сбор и документирование обзорной информации об инциденте ИБ – профиля инцидента ИБ, описывающего:
  • способ выявления инцидента ИБ;
  • источник информации об инциденте ИБ; 
  • содержание информации об инциденте ИБ, полученной от источника; 
  • сценарий реализации инцидента ИБ;
  • дату и время выявления инцидента ИБ; 
  • состав информационной инфраструктуры, задействованной в реализации инцидента ИБ, в том числе пострадавшей от инцидента ИБ, уровень ее критичности для деятельности организации БС РФ;
  • способы подключения информационной инфраструктуры, задействованной в реализации инцидента ИБ, к сети Интернет или сетям общего пользования;
  • контактная информация работников организации БС РФ, в зону ответственности которых входит обеспечение эксплуатации информационной инфраструктуры, задействованной в реализации инцидента ИБ;
  • информация об операторе связи и провайдере сети Интернет. 
Непосредственный сбор технических данных рекомендуется осуществлять в рамках установленной и документированной деятельности по сбору и фиксации информации о следующих инцидентах ИБ:
  • инциденты ИБ, результатом которых являются и (или) могут являться несанкционированные переводы денежных средств (далее – инциденты ИБ, связанные с несанкционированными переводами денежных средств);
  • инциденты ИБ, результатом которых является деструктивное воздействие на объекты информационной инфраструктуры организации БС РФ, которые привели или могут привести к нарушению непрерывности оказания платежных услуг (далее – инциденты ИБ, связанные с деструктивным воздействием). 
В составе инцидентов ИБ, связанных с несанкционированными переводами денежных средств, рекомендуется рассматривать:
  • инциденты ИБ, связанные с несанкционированным доступом (далее – НСД) к объектам информационной инфраструктуры клиентов;
  • спам-рассылки, осуществляемые в отношении клиентов, реализуемые в рамках реализации методов “социального инжиниринга”, предпринимаемые с целью распространения компьютерных вирусов, функционально предназначенного для совершения несанкционированных переводов денежных средств;
  • атаки типа “отказ в обслуживании” (DDOS-атаки), реализуемые применительно к информационной инфраструктуре клиентов, предпринимаемые с целью блокирования нормального функционирования информационной инфраструктуры после успешной реализации несанкционированных переводов денежных средств;
  • воздействие компьютерных вирусов на информационную инфраструктуру клиентов, потенциально функционально предназначенного для совершения несанкционированных переводов денежных средств;
  • инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры систем дистанционного банковского обслуживания (далее – систем ДБО) организаций БС РФ;
  • инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры автоматизированных банковских систем (далее – АБС) организаций БС РФ;
  • инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры систем обработки карточных транзакций (далее – систем фронт-офиса) организаций БС РФ;
  • инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры систем посттранзакционного обслуживания карточных операций (далее – систем бэк-офиса) организаций БС РФ, в том числе системам электронного документооборота, формирования платежных клиринговых позиций, клиринга и подготовки данных для проведения расчетов. 
В составе инцидентов ИБ, связанных с деструктивным воздействием, рекомендуется рассматривать:
  • атаки типа “отказ в обслуживании” (DDOS-атаки), реализуемые применительно к информационной инфраструктуре систем ДБО, систем фронт-офиса организаций БС РФ;
  • деструктивное воздействие компьютерных вирусов на информационную инфраструктуру организации БС РФ. 
Р. 7 п. 3
7.3. Для проведения поиска (выделения) и анализа содержательной (семантической) информации организации БС РФ рекомендуется выполнение следующего общего алгоритма действий:
  • определить для каждого инцидента ИБ из числа указанных в пункте 6.1 настоящего стандарта перечень событий ИБ, значимых для поиска (выделения) и анализа содержательной (семантической) информации:
    • исходные (базовые) события ИБ или их группа, являющиеся отправной точкой дальнейшего поиска и анализа;
    • события ИБ или их группа, потенциально имеющие отношение или связанные с инцидентом ИБ;
  • провести непосредственный поиск (выделение) из технических данных содержательной (семантической) информации, связанной с указанными событиями ИБ;
  • провести анализ, в том числе корреляционный и сравнительный, выделенной содержательной (семантической) информации, в том числе для достижения целей, указанных в пункте 7.1 настоящего стандарта. 
Р. 6 п. 3
6.3. Рекомендации к предварительному планированию сбора технических данных. В плане (регламенте) сбора технических данных рекомендуется определить для каждого потенциального инцидента ИБ из числа указанных в подпункте 6.1 настоящего раздела следующие положения:
  • состав собираемых технических данных;
  • приоритеты (последовательность) сбора технических данных;
  • инструкции по использованию технических средств инструментов, описание процедур и сервисных команд, необходимых для сбора технических данных;
  • описание процедур и сервисных команд, в том числе технических, проверки (контроля) целостности собранных данных;
  • правила описания и протоколирования выполненных процедур и сервисных команд, описания места сбора технических данных;
  • правила создания копий собираемых технических данных и требования к их количеству;
  • правила маркирования, безопасной упаковки и хранения носителей собранных технических данных;
  • правила регистрации и хранения описаний и протоколов, связанных со сбором технических данных. 
В плане (регламенте) сбора технических данных рекомендуется также определить необходимость и условия подготовки обращения в МВД России, его территориальное подразделения и (или) FinCert Банка России.
При планировании сбора технических данных возможно рассмотрение следующих типовых сценариев, определяющих степень оперативности предпринимаемых действий:
  • сбор данных в реальном масштабе времени в случае, когда система ДБО, АБС, система фронт-офиса, система бэк-офиса (далее при совместном упоминании – целевые системы) непосредственно не подвержена компьютерной атаке, а компьютерная атака выявлена на периметре информационной инфраструктуры;
  • сбор данных непосредственно после реализации инцидента ИБ (например, в течение 24 часов); 
  • сбор данных по прошествии значительного времени после инцидента ИБ. 
 Рекомендуется реализовать сбор следующих технических данных: 
Р. 6 п. 2
6.2. Организацию сбора технических данных рекомендуется проводить в следующем порядке:
  • предварительное планирование и создание условий для сбора технических данных:
    • разработка и утверждение плана (регламента) сбора технических данных, реализуемого в случае выявления инцидентов ИБ;
    • включение ответственных за выполнение ролей в рамках процессов обработки технических данных в группу реагирования на инциденты ИБ, создаваемую в соответствии с РС БР ИББС-2.5; 
    • обеспечение необходимых технических средств и инструментов для сбора и обработки технических данных; 
  • сбор технических данных при выявлении инцидента ИБ: 
    • оперативное определение перечня компонентов информационной инфраструктуры, задействованной в реализации инцидента ИБ;
    • оперативное ограничение доступа к компонентам информационной инфраструктуры, задействованной в реализации инцидента ИБ, а также техническим данным для цели обеспечения их сохранности до выполнения сбора; 
    • сбор и документирование сведений об официально назначенном эксплуатационном персонале (администраторах) информационной инфраструктуры, задействованной в реализации инцидента ИБ, получение документально оформленных подтверждений лиц из состава эксплуатационного персонала о предоставлении/непредоставлении их аутентификационных данных третьим лицам и о внесении изменений/невнесении изменений в протоколы (журналы) регистрации, формируемые компонентами информационной инфраструктуры;
    • непосредственный сбор технических данных, в том числе проверка и обеспечение целостности (неизменности) собранных данных, маркирование носителей собранных данных;
  • обеспечение сохранности машинных носителей информации и защиту от воздействий, которые могут повредить их информационное содержимое, путем безопасной упаковки, опечатывания, исключающего возможность несанкционированного использования (подключения) носителя данных без нарушения целостности упаковки (печати), а также безопасного хранения и транспортировки носителей собранных данных. 
Р. 7 п. 19
7.19. Для проведения анализа содержательной (семантической) информации аналитику могут быть рекомендованы следующие общие стратегии. 
Стратегия анализа в определенном временном диапазоне, которая может быть использована в случае наличия у аналитика сведений о дате и времени исходного (базового) интересующего события ИБ или их группы. Аналитику могут быть рекомендованы следующие методы анализа:
  • анализ содержательной информации об атрибутах файлов данных с целью определения состава файлов данных и последующего анализа содержания файлов данных, созданных и (или) модифицированных за временной диапазон, связанный с инцидентом ИБ;
  • анализ состава и содержания протоколов (журналов) регистрации за временной диапазон, связанный с инцидентом ИБ. 
Стратегия анализа умышленно скрытых данных, которая предусматривает:
  • проведение сравнительного анализа и расхождений содержания заголовков файлов данных (file header), расширений и структур файлов данных;
  • анализ структуры и содержания зашифрованных файлов данных, файлов данных, защищенных паролями, в том числе архивов, файлов данных, содержимое которых сформированно с использованием методов “стеганографии”;
  • анализ информации из скрытых областей накопителей на жестких магнитных дисках (host-protected area HPA):
  • анализ внедренных объектов в файлы данных (например, в файлы документов); 
  • анализ возможного размещения файлов данных в нестандартных местах файловой системы. 
Стратегия сравнительного (корреляционного) анализа файлов данных и приложений, которая предусматривает:
  • сопоставление состава файлов данных с установленными приложениями;
  • сравнительный анализ состава и целостности исполняемых файлов данных на основе вычисления з-значений хэш-функций и эталонных значений;
  • анализ возможной связи между файлами данных и (или) приложениями, например, соотнесение:
    • данных журналов (протоколов) использования сети Интернет с кеш-файлами:
    • файлов данных и файлов, содержащихся во вложении электронных почтовых сообщений;
  • идентификация неизвестных типов файлов данных. 
Приказ ФСБ России № 282 от 19.06.2019 "Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации":
п. 11
11. Субъект критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, в ходе реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак осуществляет:
  • анализ компьютерных инцидентов (включая определение очередности реагирования на них), установление их связи с компьютерными атаками;
  • проведение мероприятий в соответствии с Планом;
  • определение в соответствии с Планом необходимости привлечения к реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак подразделений и должностных лиц ФСБ России и Банка России.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.16.1.5
A.16.1.5 Реагирование на инциденты информационной безопасности 
Мера обеспечения информационной безопасности: Реагирование на инциденты информационной безопасности должно осуществляться в соответствии с документально оформленными процедурами 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 19.1 CSC 19.1 Document Incident Response Procedures
Ensure that there are written incident response plans that define roles of personnel as well as phases of incident handling/management.
Strategies to Mitigate Cyber Security Incidents (EN):
3.1.
Continuous incident detection and response with automated immediate analysis of centralised time-synchronised logs of allowed and denied computer events, authentication, file access and network activity.
Relative Security Effectiveness:  Excellent | Potential User Resistance:  Low | Upfront Cost:  Very High | Ongoing Maintenance Cost: Very High 
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.26
А.5.26 Реагирование на инциденты ИБ
Реагирование на инциденты ИБ должно осуществляться в соответствии с документированными процедурами.
Положение Банка России № 719-П от 04.06.2020 "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств":
Глава 5 п. 1
5.1. Оператор платежной системы в целях реализации пункта 11 части 3 статьи 28 Федерального закона № 161-ФЗ (Собрание законодательства Российской Федерации, 2011, № 27, ст. 3872) в рамках системы управления рисками в платежной системе определяет в правилах платежной системы и иных документах порядок обеспечения защиты информации в платежной системе для операторов по переводу денежных средств, являющихся участниками платежной системы, операторов услуг платежной инфраструктуры с учетом требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - требования к обеспечению защиты информации в платежной системе).

Оператор платежной системы должен определить требования к обеспечению защиты информации в платежной системе в отношении следующих мероприятий:
  • управление риском информационной безопасности в платежной системе как одним из видов операционного риска в платежной системе, источниками реализации которого являются: недостатки процессов обеспечения защиты информации, в том числе недостатки применяемых технологических мер защиты информации, недостатки прикладного программного обеспечения автоматизированных систем и приложений, а также несоблюдение требований к указанным процессам деятельности операторами по переводу денежных средств, являющимися участниками платежной системы, операторами услуг платежной инфраструктуры (далее - риск информационной безопасности в платежной системе);
  • установление состава показателей уровня риска информационной безопасности в платежной системе;
  • реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры механизмов, направленных на соблюдение требований к обеспечению защиты информации при осуществлении переводов денежных средств, и контроль их соблюдения операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры;
  • реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры процессов выявления и идентификации риска информационной безопасности в платежной системе в отношении объектов информационной инфраструктуры участников платежной системы, операторов услуг платежной инфраструктуры;
  • выявление и анализ операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры риска информационной безопасности в платежной системе;
  • реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры процессов реагирования на инциденты защиты информации и восстановления штатного функционирования объектов информационной инфраструктуры в случае реализации инцидентов защиты информации;
  • реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры взаимодействия при обмене информацией об инцидентах защиты информации;
  • реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента, определенных пунктами 2.2 и 2.4 Указания Банка России от 8 октября 2018 года № 4926-У «О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента», зарегистрированного Министерством юстиции Российской Федерации 12 декабря 2018 года № 52988;
  • реализация операторами платежных систем процессов применения в отношении операторов по переводу денежных средств, являющихся участниками платежной системы, и операторов услуг платежной инфраструктуры ограничений по параметрам операций по осуществлению переводов денежных средств в случае выявления факта превышения значений показателей уровня риска информационной безопасности в платежной системе, в том числе условий снятия таких ограничений.

Приказ ФСБ России № 196 от 06.05.2019 "Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты":
III п.6
6. При осуществлении автоматического анализа событий ИБ и выявления компьютерных инцидентов средства обнаружения должны обеспечивать:
  • отбор и фильтрацию событий ИБ;
  • выявление последовательностей разнородных событий ИБ, имеющих логическую связь, которые могут быть значимы для выявления возможных нарушений безопасности информации (корреляция) и объединение однородных данных о событиях ИБ (агрегация);
  • выявление компьютерных инцидентов, регистрацию методов (способов) их обнаружения;
  • возможность корреляции для распределенных по времени и (или) месту возникновения событий ИБ;
  • возможность корреляции для последовательности событий ИБ;
  • возможность просмотра и редактирования правил корреляции, а также обновления и загрузки новых правил;
  • автоматическое назначение приоритетов событиям ИБ на основании задаваемых пользователем показателей.
V п.14
14. При осуществлении учета и обработки компьютерных инцидентов средства ликвидации последствий должны обеспечивать:
  • создание и изменение формализованных описаний (далее - карточка) компьютерных инцидентов, определение типов компьютерных инцидентов, определение состава полей карточек и требований к их заполнению в соответствии с типом компьютерного инцидента;
  • автоматическое создание карточки компьютерного инцидента на основе уведомления об угрозе безопасности информации либо при выявлении события ИБ, в котором содержатся признаки компьютерных атак для контролируемых информационных ресурсов;
  • запись о текущей стадии процесса реагирования на компьютерные инциденты (стадия приема сообщения о компьютерном инциденте, стадия сбора первичных сведений о компьютерном инциденте, стадия локализации компьютерного инцидента, стадия сбора сведений для расследования компьютерного инцидента) в зависимости от типа компьютерного инцидента;
  • запись о присвоении категорий опасности и (или) определение приоритетов компьютерных инцидентов на основе критериев, задаваемых по значениям полей карточек компьютерных инцидентов;
  • регистрацию и учет карточек компьютерных инцидентов;
  • фильтрацию, сортировку и поиск карточек компьютерных инцидентов по значениям полей карточек;
  • объединение карточек компьютерных инцидентов на основе критериев, применяемых к значениям полей карточек.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИНЦ.1 ИНЦ.1 Выявление компьютерных инцидентов
ИНЦ.0 ИНЦ.0 Разработка политики реагирования на компьютерные инциденты
Положение Банка России № 779-П от 15.11.2021 "Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"":
п. 1.6.
1.6. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны обеспечивать в отношении выявления, регистрации событий операционного риска, связанных с нарушением операционной надежности, и реагирования на них, а также восстановления выполнения технологических процессов, указанных в приложении к настоящему Положению, и функционирования своих объектов информационной инфраструктуры после реализации указанных событий выполнение следующих требований:
  • выявление и регистрацию событий операционного риска, связанных с нарушением операционной надежности;
  • реагирование на события операционного риска, связанные с нарушением операционной надежности, в отношении критичной архитектуры;
  • восстановление выполнения технологических процессов, указанных в приложении к настоящему Положению, и функционирования своих объектов информационной инфраструктуры после реализации событий операционного риска, связанных с нарушением операционной надежности;
  • проведение анализа причин и последствий реализации событий операционного риска, связанных с нарушением операционной надежности;
  • организацию взаимодействия между подразделениями (работниками) некредитной финансовой организации, ответственными за разработку технологических процессов, указанных в приложении к настоящему Положению, поддержание их выполнения, их реализацию, между собой и Банком России, иными участниками технологического процесса в рамках реагирования на события операционного риска, связанные с нарушением операционной надежности, и восстановления выполнения технологических процессов, указанных в приложении к настоящему Положению, а также функционирования своих объектов информационной инфраструктуры после реализации событий операционного риска, связанных с нарушением операционной надежности.
Приказ Минцифры № 930 Приложение 1 от 10.09.2021 "Порядок обработки, включая сбор и хранение, параметров биометрических персональных данных":
П. 7
7. Кредитные организации, некредитные финансовые организации, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» (Собрание законодательства Российской Федерации, 2002, № 28, ст. 2790; 2021, № 24, ст. 4210) виды деятельности, субъекты национальной платежной системы (далее - организации финансового рынка), осуществляющие сбор и обработку используемых для идентификации параметров биометрических персональных данных, должны обеспечивать:
  1. информирование Банка России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор и хранение, параметров биометрических персональных данных (далее соответственно – инциденты безопасности, требования по защите информации), которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации. Организации, указанные в настоящем пункте, осуществляют информирование Банка России о выявленных инцидентах безопасности не позднее одного рабочего дня со дня их выявления; 
  2. ежегодное проведение оценки соответствия требований по защите информации с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79 (Собрание законодательства Российской Федерации, 2012, № 7, ст. 863; 2016, № 26, ст. 4049; 2020, № 49, ст. 7943), и информирование Банка России о результатах такой оценки. 
NIST Cybersecurity Framework (EN):
RS.AN-1 RS.AN-1: Notifications from detection systems are investigated 
RS.MI-1 RS.MI-1: Incidents are contained
RS.MI-2 RS.MI-2: Incidents are mitigated
RS.RP-1 RS.RP-1: Response plan is executed during or after an incident
RC.RP-1 RC.RP-1: Recovery plan is executed during or after a cybersecurity incident
Стандарт Банка России № РС БР ИББС-2.5-2014 от 01.06.2014 "Менеджмент инцидентов информационной безопасности":
Р. 6 п. 1 п.п. 1
6.1.1. Политика менеджмента инцидентов ИБ организации БС РФ является внутренним документом организации БС РФ, устанавливающим принципы и основные положения, регламентирующие деятельность по менеджменту инцидентов ИБ организации БС РФ. 
Политика менеджмента инцидентов ИБ организации БС РФ разрабатывается службой ИБ организации БС РФ совместно и (или) по согласованию с подразделением информатизации организации БС РФ, юридической службой организации БС РФ, подразделениями организации БС РФ, в зоне компетенции которых находятся вопросы обеспечения непрерывности выполнения банковских технологических процессов организации БС РФ, службой персонала (кадров) организации БС РФ и утверждается руководством организации БС РФ. 
Р. 7 п. 3 п.п. 1
7.3.1. Рекомендуется организовать деятельность по обнаружению и реагированию на инциденты ИБ в соответствии со следующим общим алгоритмом:
  • обнаружение событий ИБ, выполняемое работниками организации БС РФ и (или) техническими средствами. Работник организации БС РФ осуществляет первичное документирование информации об обнаруженном событии ИБ и оповещение оператора-диспетчера ГРИИБ в соответствии с установленным регламентом. Для обнаружения событий ИБ работники организации БС РФ используют доведенный до них перечень событий ИБ. Технические средства эксплуатируются в соответствии с документацией, согласованной со службой ИБ организации БС РФ. Информацию о событиях ИБ, выявляемых клиентами и партнерами организации БС РФ, рекомендуется также доводить до оператора-диспетчера ГРИИБ;
  • регистрация информации о событиях ИБ, включая сбор информации, связанной с событием ИБ, первичную оценку собранной информации, выполняемые оператором-диспетчером ГРИИБ. Основная задача при первичной оценке — определение, является ли событие ИБ инцидентом ИБ, в частности, произошло ли нарушение ИБ или требований к обеспечению ИБ, установленных для организации БС РФ. Рекомендуется использование технических средств мониторинга ИБ, осуществляющих автоматическое обнаружение инцидентов ИБ из потока информации о событиях ИБ в соответствии с установленными правилами корреляции событий ИБ;
  • оповещение членов и (или) руководителя ГРИИБ об инциденте ИБ, выполняемое оператором-диспетчером ГРИИБ. В зависимости от характера инцидента ИБ на основе критериев, установленных в регламенте работы оператора-диспетчера ГРИИБ, оповещается определенный аналитик ГРИИБ, руководитель определенной функциональной группы ГРИИБ и (или) руководитель ГРИИБ;
  • вторичная оценка инцидента ИБ, выполняемая аналитиком ГРИИБ с целью подтвердить или опровергнуть то, что обнаруженное событие ИБ является инцидентом ИБ;
  • в случае подтверждения того, что обнаруженное событие ИБ является инцидентом ИБ, принятие конкретных мер по закрытию инцидента ИБ, в том числе принятие решения об эскалации инцидента ИБ, устранение нарушения в СОИБ организации БС РФ, прекращение воздействия реализовавшейся угрозы (угроз) ИБ, восстановление выполнения банковских технологических процессов организации БС РФ;
  • эскалация инцидента ИБ и привлечение дополнительной компетенции для его обработки. Необходимость эскалации определяет руководитель ГРИИБ и в случае необходимости обращается к куратору ГРИИБ. Эскалация может быть иерархической — если полномочий руководителя ГРИИБ недостаточно для выполнения действий в рамках реагирования на инциденты ИБ, которые, по его мнению, необходимо осуществить (например, прекратить выполнение определенных банковских технологических процессов), а также функциональной — если требуется привлечение специалистов, не входящих в состав ГРИИБ. К иерархической эскалации относится также обращение в ГРИИБ центрального уровня в случае невозможности закрытия инцидента ИБ силами ГРИИБ филиала организации БС РФ или при других обстоятельствах, например в случае невозможности закрытия инцидента ИБ силами ГРИИБ филиала организации БС РФ в установленный срок;
  • в случае если инцидент ИБ может привести к судебному разбирательству против лица или организации, а также для проведения дисциплинарных процедур в организации БС РФ вся информация, относящаяся к данному инциденту ИБ, должна быть собрана, сохранена и представлена с целью проведения дальнейшего анализа и возможного принятия судом в качестве доказательства. В зависимости от характера инцидента ИБ желательно максимально полное дублирование журналов о событиях ИБ и об инцидентах ИБ с учетом возможности сохранения необходимости указанных действий и после закрытия инцидента ИБ;
  • принятие решения о закрытии инцидента, утверждаемое руководителем ГРИИБ, осуществляемое только после полного восстановления нарушений в СОИБ организации БС РФ, выполнения банковских технологических процессов организации БС РФ, последствий реализации угрозы ИБ, выяснения причин всех проявлений нештатного выполнения бизнес-процессов организации БС РФ и нетипичного поведения работников организации БС РФ. 
Р. 6 п. 1 п.п. 2 п.п.п. 3
3. Общее описание стадий обнаружения инцидентов ИБ и реагирования на инциденты ИБ, ролей работников организации БС РФ, задействованных на стадиях реагирования на инциденты ИБ, с указанием подразделений организации БС РФ, работникам которых назначаются указанные роли. 
Рекомендуется рассматривать следующие стадии обнаружения инцидентов ИБ и реагирования на инциденты ИБ:
  • стадия обнаружения, оповещения и оценки, на которой путем анализа события ИБ и установленных в организации БС РФ критериев выявляется инцидент ИБ, производится оповещение уполномоченных работников организации БС РФ, оценка инцидента ИБ, принятие решений о дальнейшем реагировании на инцидент ИБ;
  • стадия сбора и фиксации информации, относящейся к инциденту ИБ;
  • стадия закрытия инцидента ИБ, в том числе локализации (предотвращение распространения) и восстановления штатного выполнения банковских технологических процессов организации БС РФ, на которой происходит устранение негативных последствий от реализации инцидента ИБ (при их наличии);
  • стадия анализа собранной информации, относящейся к инциденту ИБ, и принятие управленческих решений по результатам реагирования на инцидент ИБ. 
Стадии сбора и фиксации информации, закрытия инцидента ИБ, анализа информации и принятия управленческих решений в рамках настоящих рекомендаций объединяются общим термином “реагирование на инцидент ИБ”. 
Р. 6 п. 6 п.п. 1
6.6.1. В организации БС РФ рекомендуется определить регламенты периодического контроля по следующим направлениям:
  • контроль выполнения регламентов обнаружения и своевременного оповещения о событиях ИБ;
  • контроль актуальности перечня событий ИБ;
  • контроль соблюдения принципов первичного документирования информации о событиях ИБ;
  • контроль выполнения своевременной оценки событий ИБ, классификации инцидентов ИБ и оповещения об инцидентах ИБ;
  • контроль использования классификатора инцидентов ИБ;
  • контроль соблюдения регламентов сбора и фиксации информации об инциденте ИБ;
  • контроль своевременности принятия мер по закрытию инцидента ИБ, в том числе своевременности эскалации инцидента ИБ и (или) привлечения дополнительной компетенции;
  • контроль осведомленности работников организации БС РФ по вопросам обнаружения и реагирования на инциденты ИБ, в том числе осведомленности членов ГРИИБ;
  • контроль эксплуатации технических средств. 
Р. 7 п. 1 п.п. 1
7.1.1. В организации БС РФ должно быть организовано назначение следующих ролей:
  • ролей, связанных с выполнением задач центрального уровня реагирования на инциденты ИБ;
  • ролей, связанных с выполнением задач регионального уровня реагирования на инциденты ИБ;
  • ролей членов ГРИИБ;
  • ролей работников организации БС РФ, привлекаемых для закрытия инцидентов ИБ;
  • ролей работников организации БС РФ, выполняющих функции по эксплуатации технических средств;
  • ролей, связанных с выполнением функций по контролю за выполнением процессов обнаружения инцидентов ИБ и реагирования на инциденты ИБ. 
Р. 6 п. 4 п.п. 17
6.4.17. В регламенты закрытия инцидента ИБ рекомендуется включать:
  • порядок и условия функциональной эскалации инцидента ИБ и (или) привлечения дополнительной компетенции;
  • порядок взаимодействия членов ГРИИБ и лиц, привлекаемых к закрытию инцидента ИБ;
  • детальное описание способов документирования и хранения информации о результатах реагирования на инцидент ИБ, в том числе закрытия инцидентах ИБ, а также результатах анализа причин инцидента ИБ;
  • порядок информирования руководства организации БС РФ о результатах анализа инцидента ИБ;
  • порядок подготовки и направления информации об инциденте ИБ, связанном с осуществлением переводов денежных средств, в адрес оператора платежной системы в соответствии с правилами платежной системы и в адрес Банка России в соответствии с требованиями нормативных актов Банка России. 
Р. 6 п. 4 п.п. 11
6.4.11. Для использования в процессе реагирования на инцидент ИБ рекомендуется определить единую для всех инцидентов ИБ систему их классификации. В случае классификации события ИБ как инцидента ИБ определяются его атрибуты, и далее они используются для управления процессом реагирования на инцидент ИБ и его контроля посредством ведения записи об инциденте ИБ. Порядок определения атрибутов инцидентов ИБ должен быть описан в документе, регламентирующем использование классификатора инцидентов ИБ. 
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ИНЦ.1 ИНЦ.1 Выявление компьютерных инцидентов
ИНЦ.0 ИНЦ.0 Регламентация правил и процедур реагирования на компьютерные инциденты
Приказ ФСТЭК России № 235 от 21.12.2017 "Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования":
IV п.25 п.п. в)
в) правила безопасной работы работников субъекта критической информационной инфраструктуры на значимых объектах критической информационной инфраструктуры, действия работников субъекта критической информационной инфраструктуры при возникновении компьютерных инцидентов и иных нештатных ситуаций.

Связанные защитные меры

Ничего не найдено