Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022

Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А

A.12.4.2

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
MAC.11
MAC.11 Реализация защиты данных регистрации о событиях защиты информации от раскрытия и модификации, двухсторонней аутентификации при передаче данных регистрации с использованием сети Интернет
3-Н 2-Т 1-Т
MAC.14
MAC.14 Реализация защиты данных регистрации о событиях защиты информации от НСД при их хранении, обеспечение целостности и доступности хранимых данных регистрации
3-Т 2-Т 1-Т
NIST Cybersecurity Framework (RU):
PR.PT-1
PR.PT-1: В соответствии с политикой определяются, документируются, внедряются и проверяются записи аудита / журналов событий 
Стандарт Банка России № СТО БР ИББС-1.3-2016 от 01.01.2017 "Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств":
Р. 12 п. 3
12.3. Организации БС РФ рекомендуется обеспечить применение для всех целевых систем унифицированного состава технических средств и систем – источников технических данных, а также реализовать систему централизованного сбора и хранения протоколов (журналов) регистрации (например, SIEM систему). 
При реализации системы централизованного сбора и хранения протоколов (журналов) регистрации рекомендуется обеспечить:
  • централизованный сбор и хранение технических данных протоколов (журналов) регистрации, формируемых источниками технических данных, указанных в пункте 12.1 настоящего стандарта;
  • реализация сбора технических данных путем комбинации следующих способов:
    • путем периодического автоматического копирования протоколов (журналов) регистрации;
    • путем получения данных, передаваемых с помощью протоколов аудита и диагностики (в том числе SYSLOG, SNMP);
    • путем периодического сбора данных о фактическом составе технических средств и систем – источников технических данных путем использования средств инвентаризации и оценки защищенности, протоколов удаленного администрирования (системного сканирования);
    • путем копирования сетевого трафика;
  • контроль работоспособности технических средств, применяемых для сбора протоколов (журналов) регистрации;
  • хранение собранных технических данных, в том числе архивное хранение, обеспечивающее:
    • контроль и протоколирование доступа к собранным техническим данным;
    • реализация защитных мер, направленных на обеспечение конфиденциальности, целостности и доступности собранных технических данных;
    • обеспечение запрета единоличного изменения и (или) удаления собранных технических данных;
    • возможность установления сроков оперативного хранения технических данных;
    • архивное хранение по истечении срока оперативного хранения, реализуемое при необходимости внешними системами архивного хранения;
    • возможность доступа к архивным данным о событиях информационной безопасности для цели анализа в течение трех лет; 
  • реализацию защиты собранных технических данных от несанкционированного доступа, двустороннюю аутентификацию при использовании общедоступных вычислительных сетей, в том числе информационно-телекоммуникационной сети Интернет, для цели передачи указанных данных;
  • гарантированную доставку данных о событиях информационной безопасности;
  • приведение однотипных технических данных, формируемых разными источниками технических данных, к унифицированному формату;
  • возможность объединения и корреляции технических данных, сформированных разными источниками технических данных, в пределах одного общего инцидента ИБ; 
  • приведение (синхронизация) временных меток записей электронных журналов событий ИБ к единому часовому поясу и единому эталонному времени, для чего рекомендуется:
    • использование в качестве основного сигнала точного времени спутниковой системы “ГЛОНАСС”1 ;
    • использование в информационной инфраструктуре специального оборудования, содержащего в своем составе приемники сигналов спутниковой системы “ГЛОНАСС” – сервер времени информационной инфраструктуры (Time Server);
    • осуществление синхронизации системного времени технических средств, являющихся источниками технических данных, с сервером времени информационной инфраструктуры с одновременным документированием выполнения этой операции;
    • осуществление синхронизации системного времени видеорегистраторов, установленных в корпусах технических средств, являющихся источниками технических данных, систем видеонаблюдения и систем контроля доступа, с одновременным документированием выполнения этой операции. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 10.3.1
10.3.1
Defined Approach Requirements: 
Read access to audit logs files is limited to those with a job-related need. 

Customized Approach Objective:
Stored activity records cannot be accessed by unauthorized personnel. 

Defined Approach Testing Procedures:
  • 10.3.1 Interview system administrators and examine system configurations and privileges to verify that only individuals with a job-related need have read access to audit log files. 
Purpose:
Audit log files contain sensitive information, and read access to the log files must be limited only to those with a valid business need. This access includes audit log files on the originating systems as well as anywhere else they are stored. 

Good Practice:
Adequate protection of the audit logs includes strong access control that limits access to logs based on “need to know” only and the use of physical or network segregation to make the logs harder to find and modify. 
Requirement 10.3.2
10.3.2
Defined Approach Requirements: 
Audit log files are protected to prevent modifications by individuals. 

Customized Approach Objective:
Stored activity records cannot be modified by personnel. 

Defined Approach Testing Procedures:
  • 10.3.2 Examine system configurations and privileges and interview system administrators to verify that current audit log files are protected from modifications by individuals via access control mechanisms, physical segregation, and/or network segregation. 
Purpose:
Often a malicious individual who has entered the network will try to edit the audit logs to hide their activity. Without adequate protection of audit logs, their completeness, accuracy, and integrity cannot be guaranteed, and the audit logs can be rendered useless as an investigation tool after a compromise. Therefore, audit logs should be protected on the originating systems as well as anywhere else they are stored. 

Good Practice:
Entities should attempt to prevent logs from being exposed in public-accessible locations. 
Requirement 10.3.3
10.3.3
Defined Approach Requirements: 
Audit log files, including those for externalfacing technologies, are promptly backed up to a secure, central, internal log server(s) or other media that is difficult to modify. 

Customized Approach Objective:
Stored activity records are secured and preserved in a central location to prevent unauthorized modification. 

Defined Approach Testing Procedures:
  • 10.3.3 Examine backup configurations or log files to verify that current audit log files, including those for external-facing technologies, are promptly backed up to a secure, central, internal log server(s) or other media that is difficult to modify. 
Purpose:
Promptly backing up the logs to a centralized log server or media that is difficult to alter keeps the logs protected, even if the system generating the logs becomes compromised. 
Writing logs from external-facing technologies such as wireless, network security controls, DNS, and mail servers, reduces the risk of those logs being lost or altered. 

Good Practice:
Each entity determines the best way to back up log files, whether via one or more centralized log servers or other secure media. Logs may be written directly, offloaded, or copied from external systems to the secure internal system or media. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 10.3.1
10.3.1
Определенные Требования к Подходу:
Доступ на чтение к файлам журналов аудита ограничен теми, у кого есть потребность, связанная с работой.

Цель Индивидуального подхода:
Сохраненные записи о действиях не могут быть доступны неавторизованному персоналу.

Определенные Процедуры Тестирования Подхода:
  • 10.3.1 Опросите системных администраторов и изучите системные конфигурации и привилегии, чтобы убедиться, что доступ на чтение к файлам журнала аудита имеют только лица, имеющие служебные потребности.
Цель:
Файлы журналов аудита содержат конфиденциальную информацию, и доступ на чтение к файлам журналов должен быть ограничен только теми, у кого есть действительные бизнес-потребности. Этот доступ включает в себя файлы журналов аудита в исходных системах, а также в любом другом месте, где они хранятся.

Надлежащая практика:
Надлежащая защита журналов аудита включает строгий контроль доступа, который ограничивает доступ к журналам только на основании “необходимости знать”, а также использование физической или сетевой сегрегации, чтобы затруднить поиск и изменение журналов.
Requirement 10.3.2
10.3.2
Определенные Требования к Подходу:
Файлы журнала аудита защищены для предотвращения внесения изменений отдельными лицами.

Цель Индивидуального подхода:
Сохраненные записи о действиях не могут быть изменены персоналом.

Определенные Процедуры Тестирования Подхода:
  • 10.3.2 Изучите системные конфигурации и привилегии и опросите системных администраторов, чтобы убедиться, что текущие файлы журнала аудита защищены от изменений отдельными лицами с помощью механизмов контроля доступа, физического разделения и/или сетевого разделения.
Цель:
Часто злоумышленник, проникший в сеть, пытается отредактировать журналы аудита, чтобы скрыть свою активность. Без надлежащей защиты журналов аудита их полнота, точность и целостность не могут быть гарантированы, и журналы аудита могут стать бесполезными в качестве инструмента расследования после компрометации. Поэтому журналы аудита должны быть защищены в исходных системах, а также в любом другом месте, где они хранятся.

Надлежащая практика:
Организации должны попытаться предотвратить раскрытие журналов в общедоступных местах.
Requirement 10.3.3
10.3.3
Определенные Требования к Подходу:
Файлы журналов аудита, в том числе для технологий внешнего взаимодействия, быстро копируются на защищенный центральный внутренний сервер(ы) журналов или другой носитель, который трудно изменить.

Цель Индивидуального подхода:
Сохраненные записи о действиях защищены и хранятся в центральном месте для предотвращения несанкционированного изменения.

Определенные Процедуры Тестирования Подхода:
  • 10.3.3 Проверьте конфигурации резервных копий или файлы журналов, чтобы убедиться, что текущие файлы журналов аудита, в том числе для внешних технологий, быстро сохраняются на защищенный, центральный, внутренний сервер(ы) журналов или другой носитель, который трудно изменить.
Цель:
Оперативное резервное копирование журналов на централизованный сервер журналов или носитель, который трудно изменить, обеспечивает защиту журналов, даже если система, генерирующая журналы, становится скомпрометированной.
Запись журналов с внешних технологий, таких как беспроводная связь, средства управления сетевой безопасностью, DNS и почтовые серверы, снижает риск потери или изменения этих журналов.

Надлежащая практика:
Каждая организация определяет наилучший способ резервного копирования файлов журналов, будь то через один или несколько централизованных серверов журналов или другой защищенный носитель. Журналы могут быть записаны напрямую, выгружены или скопированы с внешних систем на защищенную внутреннюю систему или носитель.
ГОСТ Р № 59547-2021 от 01.04.2022 "Защита информации. Мониторинг информационной безопасности. Общие положения":
Р. 6 п. 6 п.п. 2
6.6.2 Для защиты данных мониторинга в рамках мероприятий по мониторингу информационной безопасности должны быть реализованы следующие функции безопасности: 
- идентификация и аутентификация пользователей при осуществлении доступа к программным и аппаратным компонентам, применяемым для мониторинга информационной безопасности: 
- управление идентификаторами пользователей при осуществлении доступа к программным и аппаратным компонентам, применяемым для мониторинга информационной безопасности; 
- управление аутентификаторами (аутентификационной информацией) пользователей при осуществлении доступа к программным и аппаратным компонентам, применяемым для мониторинга информационной безопасности;
- управление учетными записями пользователей;
- защита аутентификационной информации в процессе ее ввода для аутентификации от возможного использования лицами, не имеющими на это полномочий; 
- управление доступом пользователей к функциям и данным мониторинга информационной безопасности; 
П р и м е ч а н и е – Для управления доступом пользователей мониторинга информационной безопасности к функциям мониторинга должен быть реализован ролевой метод управления доступом, а для управления доступом пользователей мониторинга информационной безопасности к данным мониторинга ролевой и (или) дискреционный метод управления доступом.
- ограничение неуспешных попыток доступа к программным и аппаратным компонентам, применяемым для мониторинга информационной безопасности; - регистрация действий пользователей при осуществлении доступа к программным и аппаратным компонентам, применяемым для мониторинга информационной безопасности; 
П р и м е ч а н и е – В процессе мониторинга информационной безопасности должны, как минимум, регистрироваться следующие типы событий безопасности, установленные в ГОСТ Р «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации»: попытки идентификации и аутентификации субъекта доступа; 
управление учетными записями пользователей; 
управление средствами аутентификации; 
управление атрибутами доступа; 
попытки доступа к защищаемой информации; 
управление (администрирование) функциями безопасности; 
действия по управлению журналами (записями) регистрации событий безопасности. 
- защита от несанкционированного изменения данных аудита программных и аппаратных компонентов, применяемых для мониторинга информационной безопасности; 
- оповещение администратора мониторинга информационной безопасности о потенциально опасных действиях пользователей, осуществляющих доступ к программным и аппаратным компонентам, применяемым для мониторинга информационной безопасности. 
FDA 21 CFR part 11 (RU):
Sec. 11.10 p. 1 sp. e
(e) Использование защищенных, созданных компьютером с указанием времени возникновения событий  журналов аудита для регистрации даты и времени входов и действий операторов (создание, изменение или удаление электронных записей). Изменения в записях журнала не должны скрывать ранее записанную информацию. Такое логирование должно храниться в течение периода, не меньшего, чем требуется для соответствующих электронных записей, и должна быть доступно для просмотра и копирования агентством.
NIST Cybersecurity Framework (EN):
PR.PT-1 PR.PT-1: Audit/log records are determined, documented, implemented, and reviewed in accordance with policy
Стандарт Банка России № РС БР ИББС-2.5-2014 от 01.06.2014 "Менеджмент инцидентов информационной безопасности":
Р. 6 п. 5 п.п. 10
6.5.10. С целью обеспечения ИБ при использовании технических средств рекомендуется реализовать:
  • запрет несанкционированного доступа к техническим средствам;
  • защиту от несанкционированного отключения технических средств; 
  • защиту от несанкционированного изменения списка событий ИБ, подлежащих регистрации;
  • ведения архива файлов с записями информации мониторинга ИБ и журналов регистрации событий ИБ;
  • защиту от несанкционированного редактирования или удаления файлов с записями информации мониторинга ИБ и журналов регистрации событий ИБ. 
Периодичность архивирования и резервного копирования рекомендуется устанавливать службе ИБ организации БС РФ по согласованию с подразделением информатизации организации БС РФ 

Связанные защитные меры

Ничего не найдено