Куда я попал?
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022
Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А
А.5.28
Для проведения оценки соответствия по документу войдите в систему.
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 8 п. 12 п.п. 3
8.12.3. Информация обо всех инцидентах, выявленных в процессе мониторинга ИБ и контроля защитных мер, должна быть учтена в рамках выполнения процедур хранения информации об инцидентах ИБ.
CIS Critical Security Controls v8 (The 18 CIS CSC):
17.4
17.4 Establish and Maintain an Incident Response Process
Establish and maintain an incident response process that addresses roles and responsibilities, compliance requirements, and a communication plan. Review annually, or when significant enterprise changes occur that could impact this Safeguard.
Establish and maintain an incident response process that addresses roles and responsibilities, compliance requirements, and a communication plan. Review annually, or when significant enterprise changes occur that could impact this Safeguard.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
РИ.17
РИ.17 Обеспечение возможности доступа к информации об инцидентах защиты информации в течение трех лет
3-Т 2-Т 1-Н
3-Т 2-Т 1-Н
РИ.18
РИ.18 Обеспечение возможности доступа к информации об инцидентах защиты информации в течение пяти лет
3-Н 2-Н 1-Т
РИ.18 Обеспечение возможности доступа к информации об инцидентах защиты информации в течение пяти лет
3-Н 2-Н 1-Т
РИ.15
РИ.15 Реализация защиты информации об инцидентах защиты информации от НСД, обеспечение целостности и доступности указанной информации
3-Т 2-Т 1-Т
3-Т 2-Т 1-Т
NIST Cybersecurity Framework (RU):
RS.AN-3
RS.AN-3: Испоользуются криминалистические техники
DE.AE-3
DE.AE-3: Данные о событиях агрегируются и коррелируются из нескольких источников и сенсоров
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ВРВ.32
ВРВ.32 Организация и выполнение деятельности по сбору и фиксации технических данных (свидетельств)****** в рамках восстановления функционирования бизнес- и технологических процессов и объектов информатизации после реализации инцидентов, в том числе во взаимодействии с причастными сторонами, способом, обеспечивающим юридическую значимость собранных технических данных (свидетельств).
ВРВ.35
ВРВ.35 Организация и выполнение деятельности по проведению компьютерной экспертизы в целях сбора и фиксации технических данных (свидетельств), в том числе посредством заключения контрактов (договоров) с поставщиками услуг, в случае если финансовая организация не располагает необходимыми для данной деятельности компетенциями среди собственных работников.
ТОН.5
ТОН.5 Организация и выполнение деятельности по тестированию возможностей мониторинга и выявления на предмет своевременного обнаружения фактов реализации информационных угроз (в том числе компьютерных атак), а также контроль актуальности используемых данных об индикаторах компрометации объектов информатизации.
Федеральный Закон № 187-ФЗ от 26.07.2017 "О безопасности критической информационной инфраструктуры Российской Федерации":
Статья 9 п.2 п.п. 3)
3) в случае установки на объектах критической информационной инфраструктуры средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, обеспечивать выполнение порядка, технических условий установки и эксплуатации таких средств, их сохранность.
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
17.4
17.4 Реализован и поддерживается процесс ответа на сообщения об инцидентах
Процесс включает роли и обязанности, показатели работы и план коммуникации по поводу инцидента.
Процесс включает роли и обязанности, показатели работы и план коммуникации по поводу инцидента.
Стандарт Банка России № СТО БР ИББС-1.3-2016 от 01.01.2017 "Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств":
Р. 7 п. 23
7.23. Результаты выполнения аналитиком процедур и сервисных команд по выделению и анализу содержательной (семантической) информации должны быть документированы. Организации БС РФ рекомендуется формализовать правила документирования результатов выделения и анализа содержательной (семантической) информации. В правилах рекомендуется определить необходимость документирования:
- описания инцидента ИБ и его классификацию, выполненную с учетом содержания пункта 6.1 настоящего стандарта;
- описания состава собранных (используемых) технических данных;
- описания цели проведенного анализа собранных технических данных из числа определенных в пункте 7.1 настоящего стандарта;
- описания собранной первичной содержательной (семантической) информации, потенциально связанной с исходными (базовыми) событиями ИБ или их группой;
- описания использованных технических средств и инструментов, выполненных процедур и сервисных команд, связанных с обработкой технических данных. При этом описание должно обеспечивать возможность повторного выполнения указанных процедур и сервисных команд с исходными техническими данными;
- даты и времени выполнения процедур и сервисных команд по выделению и анализу содержательной (семантической) информации;
- содержания выделенной семантической информации;
- результатов анализа с максимально возможно подробным описанием:
- технических способов и схем реализаций угроз ИБ;
- результатов идентификации субъектов, реализующих угрозы ИБ;
- результатов выявления маркеров “скрытого” несанкционированного управления объектами информационной инфраструктуры;
- рекомендаций по сбору дополнительных технических данных с объектов информационной инфраструктуры, не принадлежащей организации БС РФ, например, протоколов (журналов) регистрации провайдеров сети Интернет или мобильных операторов связи;
- описания возможных вариантов интерпретации результатов анализа в случае отсутствия у аналитика однозначного вывода относительно инцидента ИБ;
- подробных выводов и рекомендаций, направленных на:
- совершенствование обеспечения ИБ организации БС РФ;
- устранение последствий инцидентов ИБ;
- устранение выявленных уязвимостей ИБ;
- инициирование взаимодействия с правоохранительными органами и (или) FinCert Банка России, а также иными организациями, проводящими мероприятия по реагированию на инциденты ИБ.
Р. 12 п. 1
12.1. Для обеспечения наличия и сохранности технических данных для цели реагирования на инциденты ИБ организации БС РФ рекомендуется:
- установить ограничения и организовать контроль использования административных учетных записей для объектов информационной инфраструктуры, являющихся источниками технических данных;
- установить ограничения на совмещение одним лицом полномочий по использованию административных учетных записей разных объектов информационной инфраструктуры, являющихся источниками технических данных, в том числе установить ограничения на выполнение одним лицом функций администратора операционных систем, СУБД, целевых систем;
- принятие мер по мониторингу сообщений о выявленных уязвимостях объектов информационной инфраструктуры, являющихся источниками технических данных, и по реагированию на них в соответствии с РС БР ИББС-2.6, направленных на обеспечение невозможности использования уязвимостей для несанкционированного отключения протоколирования и повреждения технических данных, сокрытия нарушителем своих действий;
- принятие мер по контролю фактического состава технических средств и систем – источников технических данных путем применения средств инвентаризации и оценки защищенности целевых систем;
- протоколирование всех действий с данными протоколов (журналов) регистрации, в том числе действий по отключению ведения и (или) очистке протоколов (журналов);
- принятие организационных мер по ограничению использования “непротоколируемых” административных учетных записей, например, путем разделения административного пароля на две части для цели реализации принципа “двойного контроля”;
- обеспечение постоянного формирования и контроля формирования технических данных – протоколов (журналов) регистрации, являющихся потенциальной содержательной (семантической) информацией, состав которой определен в пунктах 7.10–7.17 настоящего стандарта. Обеспечение ведения протоколов (журналов) регистрации реализуется путем соответствующего выбора, настройки и (или) создания следующих источников технических данных:
- операционные системы;
- целевые системы;
- средства (системы) аутентификации, авторизации и разграничения доступа;
- средства антивирусной защиты информационной инфраструктуры;
- средства криптографической защиты информации;
- средства защиты от несанкционированного доступа;
- маршрутизаторы и средства межсетевого экранирования, в том числе средства межсетевого экранирования прикладного уровня;
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.16.1.7
A.16.1.7 Сбор свидетельств
Мера обеспечения информационной безопасности: В организациях должны быть определены и применяться процедуры для идентификации, сбора, получения и сохранения информации, которая может использоваться в качестве свидетельств
Мера обеспечения информационной безопасности: В организациях должны быть определены и применяться процедуры для идентификации, сбора, получения и сохранения информации, которая может использоваться в качестве свидетельств
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 19.1
CSC 19.1 Document Incident Response Procedures
Ensure that there are written incident response plans that define roles of personnel as well as phases of incident handling/management.
Ensure that there are written incident response plans that define roles of personnel as well as phases of incident handling/management.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИНЦ.6
ИНЦ.6 Хранение и защита информации о компьютерных инцидентах
NIST Cybersecurity Framework (EN):
RS.AN-3
RS.AN-3: Forensics are performed
DE.AE-3
DE.AE-3: Event data are collected and correlated from multiple sources and sensors
Стандарт Банка России № РС БР ИББС-2.5-2014 от 01.06.2014 "Менеджмент инцидентов информационной безопасности":
Р. 6 п. 5 п.п. 8
6.5.8. В организации БС РФ рекомендуется реализовать процедуры обеспечения целостности журналов, содержащих информацию о событиях ИБ и инцидентах ИБ, используемых в соответствии с рекомендациями, установленными пп. 6.4.4 настоящего документа, на случай возможных сбоев в работе и отказов технических и (или) программных средств.
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ИНЦ.6
ИНЦ.6 Хранение и защита информации о компьютерных инцидентах
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
16.1.7
16.1.7 Сбор свидетельств
Мера обеспечения ИБ
В организации должны быть определены и применяться процедуры для идентификации, сбора, получения и сохранения информации, которая может использоваться в качестве свидетельств.
Руководство по применению
Должны быть разработаны и затем выполняться внутренние процедуры при рассмотрении свидетельств с целью принятия мер дисциплинарного и юридического характера.
В общем случае эти процедуры должны обеспечивать процессы идентификации, сбора, получения и сохранения свидетельств в зависимости от типа носителей, устройств и состояния устройств, например включенных или выключенных. Процедуры должны учитывать:
- a) цепочку поставок;
- b) безопасность свидетельств;
- c) безопасность персонала;
- d) роли и обязанности задействованного персонала;
- e) компетентность персонала;
- f) документацию;
- g) инструктаж.
Там, где это возможно, должна быть предусмотрена сертификация или другие соответствующие способы оценки квалификации персонала и инструментария для того, чтобы повысить ценность сохраненных свидетельств.
Криминалистические свидетельства могут выходить за пределы организации или границы юрисдикции. В таких случаях следует обеспечить, чтобы организация имела право собирать требуемую информацию в качестве криминалистических свидетельств. Должны быть учтены требования различных юрисдикций, чтобы максимально увеличить шансы на признание в соответствующих юрисдикциях.
Дополнительная информация
Идентификация - это процесс, включающий в себя поиск, распознавание и документирование возможного свидетельства. Сбор - это процесс сбора физических предметов, которые могут содержать потенциальные свидетельства. Получение - это процесс создания копии данных в рамках определенного набора. Сохранение - это процесс поддержания и защиты целостности и первоначального состояния потенциальных свидетельств.
Когда событие безопасности обнаружено впервые, может быть неясно, приведет ли это событие к судебному разбирательству. Следовательно, существует опасность, что необходимое свидетельство будет намеренно или случайно уничтожено до того, как выяснится серьезность инцидента. Рекомендуется заранее привлекать юриста или полицию к любым предполагаемым действиям юридического характера и прислушиваться к советам по поводу необходимых свидетельств.
ИСО/МЭК 27037 [24] содержит руководства по идентификации, сбору, получению и сохранению цифровых свидетельств.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.28
А.5.28 Collection of evidence
The organization shall establish and implement procedures for the identification, collection, acquisition and preservation of evidence related to information security events.
The organization shall establish and implement procedures for the identification, collection, acquisition and preservation of evidence related to information security events.
Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":
Глава 7. Пункт 6.
7.6. Кредитная организация (головная кредитная организация банковской группы) обеспечивает выявление, регистрацию и учет всех событий риска информационной безопасности с определением всех элементов классификации в соответствии с главами 2, 3 и 6 настоящего Положения, приложениями 4 и 5 к настоящему Положению, определяет суммы потерь в разрезе видов потерь в соответствии с пунктом 3.11 настоящего Положения и пунктом 4 приложения 5 к настоящему Положению с распределением по датам отражения в бухгалтерском учете, с раздельным учетом поступивших возмещений. В случае выявления событий риска информационной безопасности, связанных с не контролируемым кредитной организацией (головной кредитной организацией банковской группы) распространением сведений, составляющих банковскую тайну, кредитная организация (головная кредитная организация банковской группы) обеспечивает их регистрацию в базе событий, включающую описание указанных событий риска информационной безопасности в соответствии с пунктом 6.6 настоящего Положения.
(Пункт в редакции, введенной в действие с 1 октября 2022 года указанием Банка России от 25 марта 2022 года N 6103-У. - См. предыдущую редакцию)
Глава 7. Пункт 5.
7.5. Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок ведения базы событий риска информационной безопасности (как в общей базе событий, так и в отдельной базе событий риска информационной безопасности). В случае если кредитная организация (головная кредитная организация банковской группы) ведет отдельную базу событий риска информационной безопасности, подразделению (работникам), ответственному (ответственным) за организацию и контроль обеспечения защиты информации (далее - служба информационной безопасности), необходимо соблюдать требования к классификации событий риска информационной безопасности в соответствии с пунктами 3.3-3.15 настоящего Положения и требования к ведению базы событий в соответствии с пунктами 6.6-6.21 настоящего Положения.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.