Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее

Информационные технологии - Методы защиты - Системы менеджмента информационной безопасности - Требования - Приложение А

Международный стандарт ISO № 27001 от 01.10.2013

A.12.4.1

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 9. Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений":
ЖЦ.23
ЖЦ.23 Регистрация операций по изменению параметров настроек технических мер системы защиты информации АС
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
КЗИ.12
КЗИ.12 Регистрация сбоев (отказов) технических мер защиты информации
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 4 п.п. 4
7.4.4. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры мониторинга ИБ, анализа и хранения данных о действиях и операциях, позволяющие выявлять неправомерные или подозрительные операции и транзакции, для чего, среди прочего, следует:
  • определить действия и операции, подлежащие регистрации;
  • определить состав и содержание данных о действиях и операциях, подлежащих регистрации, сроки их хранения;
  • обеспечить резервирование необходимого объема памяти для записи данных;
  • обеспечить реагирование на сбои при регистрации действий и операций, в том числе аппаратные и программные ошибки, сбои в технических средствах сбора данных;
  • обеспечить генерацию временных меток для регистрируемых действий и операций и синхронизацию системного времени на технических средствах, используемых для целей мониторинга ИБ, анализа и хранения данных.
В организации БС РФ должно быть реализовано ведение журналов действия и операций автоматизированных рабочих мест, серверного и сетевого оборудования, межсетевых экранов и АБС с целью их использования при реагировании на инциденты ИБ.
Рекомендуется обеспечить хранение данных о действиях и операциях не менее трех лет, а для данных, полученных в результате выполнения банковского платежного технологического процесса, - не менее пяти лет, если иные сроки хранения не установлены законодательством РФ, нормативными актами Банка России.
Для проведения процедур мониторинга ИБ и анализа данных о действиях и операциях следует использовать специализированные программные и (или) технические средства.
Процедуры мониторинга ИБ и анализа данных о действиях и операциях должны использовать зафиксированные критерии выявления неправомерных или подозрительных действий и операций. Указанные процедуры мониторинга ИБ и анализа должны применяться на регулярной основе, например ежедневно, ко всем выполненным действиям и операциям (транзакциям).
CIS Critical Security Controls v8 (The 18 CIS CSC):
13.3 
13.3 Deploy a Network Intrusion Detection Solution
Deploy a network intrusion detection solution on enterprise assets, where appropriate. Example implementations include the use of a Network Intrusion Detection System (NIDS) or equivalent cloud service provider (CSP) service. 
8.8
8.8 Collect Command-Line Audit Logs 
Collect command-line audit logs. Example implementations include collecting audit logs from PowerShell®, BASH™, and remote administrative terminals. 
8.6
8.6 Collect DNS Query Audit Logs 
Collect DNS query audit logs on enterprise assets, where appropriate and supported. 
8.11 
8.11 Conduct Audit Log Reviews
Conduct reviews of audit logs to detect anomalies or abnormal events that could indicate a potential threat. Conduct reviews on a weekly, or more frequent, basis 
8.5
8.5 Collect Detailed Audit Logs 
Configure detailed audit logging for enterprise assets containing sensitive data. Include event source, date, username, timestamp, source addresses, destination addresses, and other useful elements that could assist in a forensic investigation. 
8.3
8.3 Ensure Adequate Audit Log Storage 
Ensure that logging destinations maintain adequate storage to comply with the enterprise’s audit log management process. 
8.7
8.7 Collect URL Request Audit Logs 
Collect URL request audit logs on enterprise assets, where appropriate and supported. 
13.1
13.1 Centralize Security Event Alerting Network
Centralize security event alerting across enterprise assets for log correlation and analysis. Best practice implementation requires the use of a SIEM, which includes vendor-defined event correlation alerts. A log analytics platform configured with security-relevant correlation alerts also satisfies this Safeguard. 
8.2
8.2 Collect Audit Logs 
Collect audit logs. Ensure that logging, per the enterprise’s audit log management process, has been enabled across enterprise assets. 
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
МАС.21
МАС.21 Регистрация нарушений и сбоев в формировании и сборе данных о событиях защиты информации
ЗВК.26
ЗВК.26 Регистрация сбоев в выполнении контроля (проверок) на отсутствие вредоносного кода
РД.40
РД.40 Регистрация осуществления субъектами логического доступа идентификации и аутентификации
МАС.6
МАС.6 Организация мониторинга данных регистрации о событиях защиты информации, формируемых контроллерами доменов
ЗСВ.34
ЗСВ.34 Регистрация операций, связанных с созданием и удалением виртуальных машин
МАС.5
МАС.5 Организация мониторинга данных регистрации о событиях защиты информации, формируемых АС и приложениями
ПУИ.29
ПУИ.29 Регистрация операций, связанных с осуществлением доступа работниками финансовой организации к ресурсам сети Интернет
ЗВК.27
ЗВК.27 Регистрация отключения средств защиты от вредоносного кода
ЗВК.22
ЗВК.22 Регистрация операций по проведению проверок на отсутствие вредоносного кода
ЗСВ.40
ЗСВ.40 Регистрация операций, связанных с аутентификацией и авторизацией пользователей при осуществлении доступа к виртуальным машинам
ЗВК.23
ЗВК.23 Регистрация фактов выявления вредоносного кода
РИ.1
РИ.1 Регистрация информации о событиях защиты информации, потенциально связанных с инцидентами защиты информации, в том числе НСД, выявленными в рамках мониторинга и анализа событий защиты информации
РД.43
РД.43 Регистрация изменений аутентификационных данных, используемых для осуществления логического доступа
ЗВК.25
ЗВК.25 Регистрация сбоев в функционировании средств защиты от вредоносного кода
РИ.2
РИ.2 Регистрация информации, потенциально связанной с инцидентами защиты информации, в том числе НСД, полученной от работников, клиентов и (или) контрагентов финансовой организации
NIST Cybersecurity Framework (RU):
RS.AN-1
RS.AN-1: Исследуются уведомления от систем обнаружения 
PR.PT-1
PR.PT-1: В соответствии с политикой определяются, документируются, внедряются и проверяются записи аудита / журналов событий 
DE.CM-3
DE.CM-3: Деятельность персонала отслеживается для выявления потенциальных событий кибербезопасности 
DE.CM-7
DE.CM-7: Выполняется мониторинг неавторизованных персонала, подключений, устройств и программного обеспечения 
DE.AE-3
DE.AE-3: Данные о событиях агрегируются и коррелируются из нескольких источников и сенсоров 
DE.AE-2
DE.AE-2: Обнаруженные события анализируются для определения целей и методов атаки 
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
РСБ.4 РСБ.4 Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти
ЗСВ.3 ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре
ИНЦ.2 ИНЦ.2 Обнаружение, идентификация и регистрация инцидентов
РСБ.2 РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации
РСБ.1 РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 7.6 CSC 7.6 Log All URL requester
Log all URL requests from each of the organization's systems, whether on-site or a mobile device, in order to identify potentially malicious activity and assist incident handlers with identifying potentially compromised systems.
CSC 16.13 CSC 16.13 Alert on Account Login Behavior Deviation
Alert when users deviate from normal login behavior, such as time-of-day, workstation location, and duration.
CSC 12.6 CSC 12.6 Deploy Network-Based IDS Sensors
Deploy network-based Intrusion Detection Systems (IDS) sensors to look for unusual attack mechanisms and detect compromise of these systems at each of the organization's network boundaries.
CSC 4.8 CSC 4.8 Log and Alert on Changes to Administrative Group Membership
Configure systems to issue a log entry and alert when an account is added to or removed from any group assigned administrative privileges.
CSC 12.5 CSC 12.5 Configure Monitoring Systems to Record Network Packets
Configure monitoring systems to record network packets passing through the boundary at each of the organization's network boundaries.
CSC 8.8 CSC 8.8 Enable Command-Line Audit Logging
Enable command-line audit logging for command shells, such as Microsoft PowerShell and Bash.
CSC 6.6 CSC 6.6 Deploy SIEM or Log Analytic Tools
Deploy Security Information and Event Management (SIEM) or log analytic tool for log correlation and analysis.
CSC 6.3 CSC 6.3 Enable Detailed Logging
Enable system logging to include detailed information such as a event source, date, user, timestamp, source addresses, destination addresses, and other useful elements.
CSC 16.12 CSC 16.12 Monitor Attempts to Access Deactivated Accounts
Monitor attempts to access deactivated accounts through audit logging.
CSC 8.6 CSC 8.6 Centralize Anti-Malware Logging
Send all malware detection events to enterprise anti-malware administration tools and event log servers for analysis and alerting.
CSC 6.7 CSC 6.7 Regularly Review Logs
On a regular basis, review logs to identify anomalies or abnormal events.
CSC 4.9 CSC 4.9 Log and Alert on Unsuccessful Administrative Account Login
Configure systems to issue a log entry and alert on unsuccessful logins to an administrative account.
CSC 8.7 CSC 8.7 Enable DNS Query Logging
Enable Domain Name System (DNS) query logging to detect hostname lookups for known malicious domains.
CSC 6.4 CSC 6.4 Ensure Adequate Storage for Logs
Ensure that all systems that store logs have adequate storage space for the logs generated.
CSC 13.5 CSC 13.5 Monitor and Detect Any Unauthorized Use of Encryption
Monitor all traffic leaving the organization and detect any unauthorized use of encryption.
CSC 6.2 CSC 6.2 Activate Audit Logging
Ensure that local logging has been enabled on all systems and networking devices.
Приказ Минздрава № 911н от 24.12.2018 "Требования к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам":
Раздел II п. 9 п.п. д) д) обеспечивать протоколирование и сохранение сведений о предоставлении доступа и о других операциях с документами и метаданными в автоматизированном режиме, а также автоматизированное ведение электронных журналов учета точного времени и фактов размещения, изменения и удаления информации, содержания вносимых изменений;
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
РСБ.1 РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения
РСБ.4 РСБ.4 Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти
ЗСВ.3 ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре
РСБ.2 РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации
Приказ ФСБ России № 196 от 06.05.2019 "Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты":
VIII п.21.3
21.3. При осуществлении регистрации событий ИБ средства ГосСОПКА должны обеспечивать:
  • возможность определения перечня событий ИБ, подлежащих регистрации, и хранения соответствующих записей в электронных журналах с возможностью корректировки сроков;
  • возможность регистрации следующих связанных с функционированием средств ГосСОПКА сведений: идентификатора пользователя, времени авторизации, запуска (завершения) программ и процессов, связанных с реализацией функций безопасности средств ГосСОПКА, команды управления, неудачных попыток аутентификации, данных о сбоях и неисправностях в работе средств ГосСОПКА;
  • ведение электронных журналов учета технического состояния, содержащих следующие поля: информация о состоянии интерфейсов (портов), информация об ошибках в работе средств ГосСОПКА с их классификацией, информация о загрузке и инициализации средств ГосСОПКА и их остановке (только для средств ППКА);
  • защиту электронных журналов от редактирования и удаления содержащейся в них информации (только для средств ППКА);
  • автоматическое уведомление о заполнении электронного журнала и возможность его сохранения на внешнем носителе информации (только для средств ППКА).
SWIFT Customer Security Controls Framework v2022:
6 - 6.4 Logging and Monitoring
6.4 Logging and Monitoring
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
АУД.8 АУД.8 Реагирование на сбои при регистрации событий безопасности
АУД.4 АУД.4 Регистрация событий безопасности
FDA 21 CFR part 11 (RU):
Sec. 11.10 p. 1 sp. e
(e) Использование защищенных, созданных компьютером с указанием времени возникновения событий  журналов аудита для регистрации даты и времени входов и действий операторов (создание, изменение или удаление электронных записей). Изменения в записях журнала не должны скрывать ранее записанную информацию. Такое логирование должно храниться в течение периода, не меньшего, чем требуется для соответствующих электронных записей, и должна быть доступно для просмотра и копирования агентством.
NIST Cybersecurity Framework (EN):
DE.AE-3 DE.AE-3: Event data are collected and correlated from multiple sources and sensors
DE.AE-2 DE.AE-2: Detected events are analyzed to understand attack targets and methods
PR.PT-1 PR.PT-1: Audit/log records are determined, documented, implemented, and reviewed in accordance with policy
RS.AN-1 RS.AN-1: Notifications from detection systems are investigated 
DE.CM-3 DE.CM-3: Personnel activity is monitored to detect potential cybersecurity events
DE.CM-7 DE.CM-7: Monitoring for unauthorized personnel, connections, devices, and software is performed
Стандарт Банка России № РС БР ИББС-2.5-2014 от 01.06.2014 "Менеджмент инцидентов информационной безопасности":
Р. 6 п. 5 п.п. 8
6.5.8. В организации БС РФ рекомендуется реализовать процедуры обеспечения целостности журналов, содержащих информацию о событиях ИБ и инцидентах ИБ, используемых в соответствии с рекомендациями, установленными пп. 6.4.4 настоящего документа, на случай возможных сбоев в работе и отказов технических и (или) программных средств. 
Р. 6 п. 5 п.п. 2
6.5.2. Средства мониторинга ИБ и контроля защитных мер должны выполнять следующие основные функции: 
  • отслеживание и регистрацию событий ИБ в целях обнаружения инцидентов ИБ;
  • агрегирование полученной информации о событиях ИБ, корреляцию информации о событиях ИБ, обнаружение инцидентов ИБ на основе установленных в организации БС РФ критериев и правил;
  • текущий контроль функционирования применяемых средств защиты информации и обнаружение отклонений в их работе от штатного режима;
  • текущий контроль действий пользователей и эксплуатирующего персонала и обнаружение нарушений в эксплуатации технических средств. 
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
АУД.8 АУД.8 Реагирование на сбои при регистрации событий безопасности
АУД.4 АУД.4 Регистрация событий безопасности

Связанные защитные меры

Название Дата Влияние
Community
10 23 / 53
Централизация системы антивирусной защиты (АВЗ)
Разово Вручную Техническая Превентивная
31.05.2021
31.05.2021 10 23 / 53
Цель: организовать централизованное управление АВЗ.

Пример описания конфигурации:
  1. Область распространения агентов АВЗ: Все ПК и Серверы корпоративного домена Windows;
  2. Включенные модули: 
    1. защита в реальном времени, 
    2. сканирование по расписанию, 
    3. защита электронной почты, 
    4. защита web страниц, 
    5. защита от фишинга.
  3. Механизм установки: автоматически средствами Центра управления АВЗ;
  4. Автоматическое сканирование подключаемых съемных носителей: включено;
  5. Периодичность регулярного сканирования всех дисков: раз в неделю;
  6. Уведомление пользователя об обнаружении ВПО: включено;
  7. Сбор событий с агентов в Центр управления: включен;
  8. Срок хранения событий безопасности в Центре управления: 6 месяцев.

Рекомендации к заполнению карточки:
  • В приложении к защитной мере следует отразить базовые политики и конфигурацию централизованной АВЗ.
  • АВЗ следует зарегистрировать в качестве Актива и указать в данной защитной мере в качестве инструмента.
  • Создать шаблон регулярной задачи по проверке работоспособности, обновления, контроля установки агентов АВЗ.
  • Инструкции по обслуживанию и устранению неисправностей следует вынести в карточку Актива.