Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022

Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А

A.16.1.4

Для проведения оценки соответствия по документу войдите в систему.

Похожие требования

ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 8":
ПОН.6
ПОН.6  Определение порядка принятия решений при реализации процесса обеспечения операционной надежности, интеграция порядка принятия решений (или делегирования прав принятия решений) в структуру корпоративного управления финансовой организации.
Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 6. п.п. 3
6.3. Кредитные организации должны обеспечивать выполнение следующих требований к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации таких инцидентов:
  • выявление и регистрация инцидентов операционной надежности;
  • реагирование на инциденты операционной надежности в отношении критичной архитектуры;
  • восстановление функционирования технологических процессов и объектов информационной инфраструктуры после реализации инцидентов операционной надежности;
  • проведение анализа причин и последствий реализации инцидентов операционной надежности;
  • организация взаимодействия между подразделениями кредитной организации, а также между кредитной организацией и Банком России, иными участниками технологического процесса в рамках реагирования на инциденты операционной надежности и восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации инцидентов операционной надежности.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
MAC.18
MAC.18 Обеспечение возможности выявления и анализа событий защиты информации, потенциально связанных с инцидентами защиты информации, в том числе НСД
3-Т 2-Т 1-Т
РИ.5
РИ.5 Установление и применение единых правил регистрации и классификации инцидентов защиты информации в части состава и содержания атрибутов, описывающих инцидент защиты информации, и их возможных значений
3-О 2-Т 1-Т
РИ.1
РИ.1 Регистрация информации о событиях защиты информации, потенциально связанных с инцидентами защиты информации, в том числе НСД, выявленными в рамках мониторинга и анализа событий защиты информации
3-О 2-Т 1-Т
РИ.2
РИ.2 Регистрация информации, потенциально связанной с инцидентами защиты информации, в том числе НСД, полученной от работников, клиентов и (или) контрагентов финансовой организации
3-О 2-Т 1-Т
NIST Cybersecurity Framework (RU):
RS.AN-2
RS.AN-2: Понимается влияние инцидента
DE.AE-5
DE.AE-5: Установлены пороги оповещения об инциденте 
DE.AE-4
DE.AE-4: Определяется влияние событий  
RS.AN-4
RS.AN-4: Инциденты классифицируются в соответствии с планами реагирования 
DE.AE-2
DE.AE-2: Обнаруженные события анализируются для определения целей и методов атаки 
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ВРВ.7.1
ВРВ.7.1 Целевых показателей реагирования на инциденты;
Стандарт Банка России № СТО БР ИББС-1.3-2016 от 01.01.2017 "Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств":
Р. 7 п. 23
7.23. Результаты выполнения аналитиком процедур и сервисных команд по выделению и анализу содержательной (семантической) информации должны быть документированы. Организации БС РФ рекомендуется формализовать правила документирования результатов выделения и анализа содержательной (семантической) информации. В правилах рекомендуется определить необходимость документирования:
  • описания инцидента ИБ и его классификацию, выполненную с учетом содержания пункта 6.1 настоящего стандарта;
  • описания состава собранных (используемых) технических данных;
  • описания цели проведенного анализа собранных технических данных из числа определенных в пункте 7.1 настоящего стандарта;
  • описания собранной первичной содержательной (семантической) информации, потенциально связанной с исходными (базовыми) событиями ИБ или их группой;
  • описания использованных технических средств и инструментов, выполненных процедур и сервисных команд, связанных с обработкой технических данных. При этом описание должно обеспечивать возможность повторного выполнения указанных процедур и сервисных команд с исходными техническими данными;
  • даты и времени выполнения процедур и сервисных команд по выделению и анализу содержательной (семантической) информации;
  • содержания выделенной семантической информации;
  • результатов анализа с максимально возможно подробным описанием:
    • технических способов и схем реализаций угроз ИБ;
    • результатов идентификации субъектов, реализующих угрозы ИБ;
    • результатов выявления маркеров “скрытого” несанкционированного управления объектами информационной инфраструктуры;
  • рекомендаций по сбору дополнительных технических данных с объектов информационной инфраструктуры, не принадлежащей организации БС РФ, например, протоколов (журналов) регистрации провайдеров сети Интернет или мобильных операторов связи;
  • описания возможных вариантов интерпретации результатов анализа в случае отсутствия у аналитика однозначного вывода относительно инцидента ИБ;
  • подробных выводов и рекомендаций, направленных на:
    • совершенствование обеспечения ИБ организации БС РФ;
    • устранение последствий инцидентов ИБ;
    • устранение выявленных уязвимостей ИБ;
    • инициирование взаимодействия с правоохранительными органами и (или) FinCert Банка России, а также иными организациями, проводящими мероприятия по реагированию на инциденты ИБ. 
Р. 7 п. 8
7.8. Для инцидентов ИБ, связанных с реализацией атак типа “отказ в обслуживании” (DDOS-атаки), реализуемых применительно к информационной инфраструктуре клиентов, систем ДБО и систем фронтофиса организации БС РФ, рекомендуется рассмотрение следующих событий ИБ, значимых для цели поиска (выделения) и анализа содержательной (семантической) информации:
  • исходные (базовые) события ИБ или их группа, являющиеся отправной точкой дальнейшего поиска и анализа: 
    • события, связанные с осуществлением информационного взаимодействия на сетевом уровне модели взаимодействия открытых систем, определенной в ГОСТ 28906-91;
  • события ИБ или их группа, информация о которых потенциально может быть использована для определения технических способов и схем реализаций угроз ИБ: • события, связанные с осуществлением информационного взаимодействия на сетевом и транспортном уровне модели взаимодействия открытых систем, определенной в ГОСТ 28906-91;
  • события ИБ или их группа, информация о которых потенциально может быть использована для проведения идентификации субъектов, реализующих угрозы ИБ:
    • события, связанные с изменением состояния информационной инфраструктуры СВТ бот-сетей;
    • события, связанные с антивирусной защитой СВТ бот-сетей;
    • события, связанные с осуществлением информационного взаимодействия информационной инфраструктуры СВТ бот-сетей на сетевом и транспортном уровнях модели взаимодействия открытых систем, определенной в ГОСТ 28906-91;
  • события ИБ или их группа, информация о которых потенциально может быть использована для выявления маркеров “скрытого” несанкционированного управления объектами информационной инфраструктуры, используемых для осуществления переводов денежных средств: 
    • события, связанные с изменением состояния информационной инфраструктуры СВТ бот-сетей. 
Р. 7 п. 6
7.6. Для инцидентов ИБ, связанных с НСД к объектам информационной инфраструктуры клиентов или информационной инфраструктуре целевых систем, рекомендуется рассмотрение следующих событий ИБ, значимых для цели поиска (выделения) и анализа содержательной (семантической) информации:
  • исходные (базовые) события ИБ или их группа, являющиеся отправной точкой дальнейшего поиска и анализа:
    • события, связанные с осуществлением доступа к целевым системам и информационной инфраструктуре размещения целевых систем, информационной инфраструктуре клиентов;
    • события, связанные с осуществлением удаленного доступа к целевым системам и информационной инфраструктуре размещения целевых систем;
    • события, связанные с выполнением криптографических преобразований;
  • события ИБ или их группа, информация о которых потенциально может быть использована для определения технических способов и схем реализаций угроз ИБ:
    • события, связанные с идентификацией и аутентификацией субъектов доступа в целевых системах и информационной инфраструктуре размещения целевых систем, информационной инфраструктуре клиента;
    • события, связанные с управлением доступом в целевых системах и информационной инфраструктуре размещения целевых систем, информационной инфраструктуре клиентов;
    • события, связанные с изменением состояния информационной инфраструктуры размещения целевых систем, информационной инфраструктуры клиентов;
    • события, связанные с функционированием средств защиты от несанкционированного доступа;
    • события, связанные с антивирусной защитой; 
    • события, связанные с выполнением криптографических преобразований; 
    • события, связанные с осуществлением информационного взаимодействия на прикладном уровне модели взаимодействия открытых систем, определенной в ГОСТ 28906-91;
  • события ИБ или их группа, информация о которых потенциально может быть использована для проведения идентификации субъектов, реализующих угрозы ИБ: 
    • события, связанные с идентификацией и аутентификацией субъектов доступа в целевых системах и информационной инфраструктуре размещения целевых систем, информационной инфраструктуре клиентов;
    • события, связанные с осуществлением информационного взаимодействия на аппаратном (физическом), сетевом, транспортном и прикладном уровнях модели взаимодействия открытых систем, определенной в ГОСТ 28906-91; 
  • события ИБ или их группа, информация о которых потенциально может быть использована для выявления маркеров “скрытого” несанкционированного управления объектами информационной инфраструктуры, используемых для осуществления переводов денежных средств:
    • события, связанные с изменением состояния информационной инфраструктуры размещения целевых систем и информационной инфраструктуре клиентов;
    • события, связанные с функционированием средств защиты от несанкционированного доступа;
    • события, связанные с антивирусной защитой;
    • события, связанные с осуществлением информационного взаимодействия на сетевом, транспортном и прикладном уровнях модели взаимодействия открытых систем, определенной в ГОСТ 28906-91. 
Р. 6 п. 3 п.п. 4
6.3.4. Инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры клиентов:
  1. получение данных операционных систем СВТ (сетевые соединения, список открытых сессий доступа), используемых клиентом для осуществления доступа к системам ДБО (рекомендуется к выполнению с высоким приоритетом значимости);
  2. копирование сетевого трафика из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ, указанные в пункте 1; 
  3. отключение СВТ, указанных в пункте 1, путем прерывания питания с последующим извлечением запоминающих устройств и их передачей в адрес организации БС РФ и (или) экспертам FinCert Банка России (рекомендуется к выполнению с высоким приоритетом значимости);
  4. в случае отсутствия технической возможности выполнения пункта 3 – отключение СВТ, указанных в пункте 1, от вычислительной сети путем отключения сетевого кабеля, отключения и (или) выключения сетевых устройств (рекомендуется к выполнению с высоким приоритетом значимости);
  5. в случае отсутствия технической возможности выполнения пункта 3 – копирование содержимого оперативной памяти СВТ, указанных в пункте 1 (рекомендуется к выполнению с высоким приоритетом значимости);
  6.  в случае отсутствия технической возможности выполнения пункта 3 – получение данных операционных систем СВТ, указанных в пункте 1 (список запущенных программных процессов, список открытых файлов, сетевые конфигурации, системные дата и время операционной системы) (рекомендуется к выполнению с высоким приоритетом значимости); 
  7. в случае отсутствия технической возможности выполнения пункта 3 – “криминалистическое” копирование (создание образов) данных запоминающих устройств СВТ, указанных в пункте 1 (рекомендуется к выполнению с высоким приоритетом значимости);
  8. копирование протоколов (журналов) регистрации средств защиты информации информационной инфраструктуры клиента за три месяца, предшествующих инциденту ИБ (рекомендуется к выполнению с высоким приоритетом значимости);
  9. обеспечение сохранности носителей ключевой информации СКЗИ, используемой в системах ДБО (рекомендуется к выполнению с высоким приоритетом значимости); 
  10. копирование протоколов (журналов) регистрации телекоммуникационного оборудования, используемого клиентом для осуществления доступа к системам ДБО, за три месяца, предшествующих инциденту ИБ; 
  11. копирование протоколов (журналов) регистрации автоматических телефонных станций;
  12. копирование протоколов (журналов) регистрации систем видеонаблюдения и систем контроля доступа, используемых для контроля доступа в помещения, предназначенные для размещения СВТ, указанных в пункте 1, за 1 неделю, предшествующую инциденту ИБ;
  13. получение и документирование информации о местоположении клиента – физического лица, осуществляющего доступ к системе ДБО. 
Стандарт № GMP Annex 11: Computerised Systems (RU) от 30.11.2011 "Правила надлежащей производственной практики. Приложение 11: Компьютеризированные системы":
Р. 4 п. 13 п.п. 1
Все инциденты (непредвиденные случаи), включая системные сбои и ошибки данных, должны быть записаны и оценены. Следует установить основную причину критических сбоев и использовать эту информацию в качестве основы корректирующих и предупреждающих действий. 
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.16
А.8.16 Деятельность по мониторингу
Сети, системы и приложения должны быть объектом мониторинга на предмет выявления аномального поведения и выполнения соответствующих действий по оценке возможных инцидентов ИБ.
А.5.25
А.5.25 Оценка и принятие решений в отношении событий ИБ
Организация должна оценивать события ИБ и решать, следует ли их относить к инцидентам ИБ.
Положение Банка России № 719-П от 04.06.2020 "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств":
Глава 5 п. 2
5.2. Оператор платежной системы в целях снижения риска информационной безопасности в платежной системе должен реализовывать механизмы совершенствования требований, указанных в пункте 5.4 настоящего Положения, предусматривающие в том числе накопление и учет опыта реагирования на инциденты защиты информации и восстановления функционирования платежной системы после их реализации.
Приказ ФСБ России № 196 от 06.05.2019 "Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты":
III п.4
4. Средства обнаружения должны обладать следующими функциями:
  • сбор и первичная обработка событий, связанных с нарушением информационной безопасности (далее - события ИБ), поступающих от операционных систем, средств обнаружения вторжений, межсетевых экранов, средств предотвращения утечек данных, антивирусного программного обеспечения, телекоммуникационного оборудования, прикладных сервисов, средств контроля (анализа) защищенности, средств управления телекоммуникационным оборудованием и сетями связи, систем мониторинга состояния телекоммуникационного оборудования, систем мониторинга качества обслуживания, а также иных средств и систем защиты информации и систем мониторинга, эксплуатируемых субъектом критической информационной инфраструктуры (далее - источники событий ИБ);
  • автоматический анализ событий ИБ и выявление компьютерных инцидентов;
  • повторный анализ ранее зарегистрированных событий ИБ и выявление на основе такого анализа не обнаруженных ранее компьютерных инцидентов.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ИНЦ.1 ИНЦ.1 Выявление компьютерных инцидентов
Положение Банка России № 779-П от 15.11.2021 "Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"":
п. 1.6.
1.6. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны обеспечивать в отношении выявления, регистрации событий операционного риска, связанных с нарушением операционной надежности, и реагирования на них, а также восстановления выполнения технологических процессов, указанных в приложении к настоящему Положению, и функционирования своих объектов информационной инфраструктуры после реализации указанных событий выполнение следующих требований:
  • выявление и регистрацию событий операционного риска, связанных с нарушением операционной надежности;
  • реагирование на события операционного риска, связанные с нарушением операционной надежности, в отношении критичной архитектуры;
  • восстановление выполнения технологических процессов, указанных в приложении к настоящему Положению, и функционирования своих объектов информационной инфраструктуры после реализации событий операционного риска, связанных с нарушением операционной надежности;
  • проведение анализа причин и последствий реализации событий операционного риска, связанных с нарушением операционной надежности;
  • организацию взаимодействия между подразделениями (работниками) некредитной финансовой организации, ответственными за разработку технологических процессов, указанных в приложении к настоящему Положению, поддержание их выполнения, их реализацию, между собой и Банком России, иными участниками технологического процесса в рамках реагирования на события операционного риска, связанные с нарушением операционной надежности, и восстановления выполнения технологических процессов, указанных в приложении к настоящему Положению, а также функционирования своих объектов информационной инфраструктуры после реализации событий операционного риска, связанных с нарушением операционной надежности.
NIST Cybersecurity Framework (EN):
DE.AE-2 DE.AE-2: Detected events are analyzed to understand attack targets and methods
DE.AE-4 DE.AE-4: Impact of events is determined
RS.AN-2 RS.AN-2: The impact of the incident is understood
DE.AE-5 DE.AE-5: Incident alert thresholds are established
RS.AN-4 RS.AN-4: Incidents are categorized consistent with response plans
Стандарт Банка России № РС БР ИББС-2.5-2014 от 01.06.2014 "Менеджмент инцидентов информационной безопасности":
Р. 7 п. 3 п.п. 1
7.3.1. Рекомендуется организовать деятельность по обнаружению и реагированию на инциденты ИБ в соответствии со следующим общим алгоритмом:
  • обнаружение событий ИБ, выполняемое работниками организации БС РФ и (или) техническими средствами. Работник организации БС РФ осуществляет первичное документирование информации об обнаруженном событии ИБ и оповещение оператора-диспетчера ГРИИБ в соответствии с установленным регламентом. Для обнаружения событий ИБ работники организации БС РФ используют доведенный до них перечень событий ИБ. Технические средства эксплуатируются в соответствии с документацией, согласованной со службой ИБ организации БС РФ. Информацию о событиях ИБ, выявляемых клиентами и партнерами организации БС РФ, рекомендуется также доводить до оператора-диспетчера ГРИИБ;
  • регистрация информации о событиях ИБ, включая сбор информации, связанной с событием ИБ, первичную оценку собранной информации, выполняемые оператором-диспетчером ГРИИБ. Основная задача при первичной оценке — определение, является ли событие ИБ инцидентом ИБ, в частности, произошло ли нарушение ИБ или требований к обеспечению ИБ, установленных для организации БС РФ. Рекомендуется использование технических средств мониторинга ИБ, осуществляющих автоматическое обнаружение инцидентов ИБ из потока информации о событиях ИБ в соответствии с установленными правилами корреляции событий ИБ;
  • оповещение членов и (или) руководителя ГРИИБ об инциденте ИБ, выполняемое оператором-диспетчером ГРИИБ. В зависимости от характера инцидента ИБ на основе критериев, установленных в регламенте работы оператора-диспетчера ГРИИБ, оповещается определенный аналитик ГРИИБ, руководитель определенной функциональной группы ГРИИБ и (или) руководитель ГРИИБ;
  • вторичная оценка инцидента ИБ, выполняемая аналитиком ГРИИБ с целью подтвердить или опровергнуть то, что обнаруженное событие ИБ является инцидентом ИБ;
  • в случае подтверждения того, что обнаруженное событие ИБ является инцидентом ИБ, принятие конкретных мер по закрытию инцидента ИБ, в том числе принятие решения об эскалации инцидента ИБ, устранение нарушения в СОИБ организации БС РФ, прекращение воздействия реализовавшейся угрозы (угроз) ИБ, восстановление выполнения банковских технологических процессов организации БС РФ;
  • эскалация инцидента ИБ и привлечение дополнительной компетенции для его обработки. Необходимость эскалации определяет руководитель ГРИИБ и в случае необходимости обращается к куратору ГРИИБ. Эскалация может быть иерархической — если полномочий руководителя ГРИИБ недостаточно для выполнения действий в рамках реагирования на инциденты ИБ, которые, по его мнению, необходимо осуществить (например, прекратить выполнение определенных банковских технологических процессов), а также функциональной — если требуется привлечение специалистов, не входящих в состав ГРИИБ. К иерархической эскалации относится также обращение в ГРИИБ центрального уровня в случае невозможности закрытия инцидента ИБ силами ГРИИБ филиала организации БС РФ или при других обстоятельствах, например в случае невозможности закрытия инцидента ИБ силами ГРИИБ филиала организации БС РФ в установленный срок;
  • в случае если инцидент ИБ может привести к судебному разбирательству против лица или организации, а также для проведения дисциплинарных процедур в организации БС РФ вся информация, относящаяся к данному инциденту ИБ, должна быть собрана, сохранена и представлена с целью проведения дальнейшего анализа и возможного принятия судом в качестве доказательства. В зависимости от характера инцидента ИБ желательно максимально полное дублирование журналов о событиях ИБ и об инцидентах ИБ с учетом возможности сохранения необходимости указанных действий и после закрытия инцидента ИБ;
  • принятие решения о закрытии инцидента, утверждаемое руководителем ГРИИБ, осуществляемое только после полного восстановления нарушений в СОИБ организации БС РФ, выполнения банковских технологических процессов организации БС РФ, последствий реализации угрозы ИБ, выяснения причин всех проявлений нештатного выполнения бизнес-процессов организации БС РФ и нетипичного поведения работников организации БС РФ. 
Р. 6 п. 1 п.п. 2 п.п.п. 2
2. Общее описание состава событий ИБ и критериев классификации событий ИБ как инцидентов ИБ. Описание событий ИБ рекомендуется производить путем формирования перечня типов событий ИБ для каждого из уровней информационной инфраструктуры организации БС РФ, определенных СТО БР ИББС-1.0. 
Р. 6 п. 5 п.п. 2
6.5.2. Средства мониторинга ИБ и контроля защитных мер должны выполнять следующие основные функции: 
  • отслеживание и регистрацию событий ИБ в целях обнаружения инцидентов ИБ;
  • агрегирование полученной информации о событиях ИБ, корреляцию информации о событиях ИБ, обнаружение инцидентов ИБ на основе установленных в организации БС РФ критериев и правил;
  • текущий контроль функционирования применяемых средств защиты информации и обнаружение отклонений в их работе от штатного режима;
  • текущий контроль действий пользователей и эксплуатирующего персонала и обнаружение нарушений в эксплуатации технических средств. 
Р. 6 п. 3 п.п. 3 п.п.п.п. 4
4. Роль аналитика ГРИИБ, который обладает необходимой компетенцией и назначается ответственным исполнителем ГРИИБ для реагирования на обнаруженный и зарегистрированный инцидент ИБ. 
Аналитик ГРИИБ выполняет следующие основные функции:
  • проведение вторичной оценки события ИБ с целью подтвердить, что событие ИБ является инцидентом ИБ, и, в случае такого подтверждения, проведение мероприятий по реагированию на инцидент ИБ и расследованию инцидента ИБ, в том числе сбор и фиксация информации, координирование и контроль закрытия инцидента ИБ;
  • оповещение работников организации БС РФ об инциденте ИБ в соответствии с установленными регламентами;
  • взаимодействие с оператором-диспетчером ГРИИБ, руководителем ГРИИБ по вопросам реагирования на инцидент ИБ;
  • выдвижение предложений о необходимости взаимодействия в рамках расследования инцидентов ИБ со сторонними организациями и правоохранительными органами;
  • выдвижение предложений по результатам реагирования на инцидент ИБ, в том числе предложений по совершенствованию СОИБ организации БС РФ, совершенствованию процессов менеджмента инцидентов ИБ, регламентов реагирования на инциденты ИБ, внутренних документов организации БС РФ, связанных с инцидентами ИБ. 
Рекомендуется объединять аналитиков ГРИИБ в функциональные группы для решения задач по реагированию на инциденты ИБ определенного вида, например инциденты ИБ, связанные с воздействием вредоносного кода, или инциденты ИБ при осуществлении дистанционного банковского обслуживания.
Рекомендуется назначать аналитиков ГРИИБ из числа работников службы ИБ или работников подразделения информатизации организации БС РФ. 
Р. 6 п. 4 п.п. 9
6.4.9. В регламенты оценки событий ИБ, обнаружения инцидента ИБ и оповещения об инциденте ИБ рекомендуется включать:
  • порядок первичной оценки и критерии классификации событий ИБ в качестве инцидента ИБ;
  • порядок использования классификатора инцидентов ИБ и первичной классификации инцидента ИБ;
  • порядок оповещения руководителя и членов ГРИИБ об обнаруженном инциденте ИБ;
  • порядок и критерии необходимости эскалации инцидента ИБ на центральный уровень реагирования на инциденты ИБ. 
Р. 6 п. 4 п.п. 10
6.4.10. Первичная оценка события ИБ и его классификация в качестве инцидента ИБ осуществляется оператором-диспетчером ГРИИБ на основе установленных организацией БС РФ критериев, а также на основе компетентного суждения оператора-диспетчера ГРИИБ. 
Вынесение суждения о классификации события ИБ в качестве инцидента ИБ рекомендуется в следующих случаях:
  • событие ИБ указывает на нарушение требований законодательства РФ, нормативных актов Банка России, правил платежной системы, внутренних документов организации БС РФ;
  • событие ИБ указывает на несанкционированные и (или) нерегламентированные действия в отношении информационных активов организации БС РФ; 
  • событие ИБ указывает на возможные нарушения в выполнении банковских технологических процессов организации БС РФ;
  • событие ИБ указывает на возможное хищение денежных средств и (или) осуществление несанкционированного перевода денежных средств. 
Р. 7 п. 2 п.п. 2
7.2.2. Рекомендуется ознакомление работников организации БС РФ с процедурой информирования о событиях ИБ, а также о необходимости незамедлительного сообщения об обнаруженных событиях ИБ оператору-диспетчеру ГРИИБ. В процедуры ознакомления рекомендуется включать:
  • перечень или описание событий ИБ, о которых требуется сообщать;
  • форму сообщения о событиях ИБ, включая детали, существенные для классификации инцидента ИБ, и описание действий по реагированию (например, о типе несоответствия или нарушения, возникновениях неправильных срабатываний, появлении сообщений на экране, нетипичном поведении);
  • способы первичного документирования информации о событиях ИБ;
  • рекомендации по поведению в случае явных нарушений ИБ, например о выполнении или, наоборот, запрете каких-либо действий, кроме немедленного оповещения оператора-диспетчера ГРИИБ. 
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ИНЦ.1 ИНЦ.1 Выявление компьютерных инцидентов
ИНЦ.5 ИНЦ.5 Принятие мер по предотвращению повторного возникновения компьютерных инцидентов
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.16
А.8.16 Monitoring activities
Networks, systems and applications shall be monitored for anomalous behaviour and appropriate actions taken to evaluate potential information security incidents.
А.5.25
А.5.25 Assessment and decision on information security events
The organization shall assess information security events and decide if they are to be categorized as information security incidents.
Приказ ФСТЭК России № 235 от 21.12.2017 "Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования":
IV п.25 п.п. в)
в) правила безопасной работы работников субъекта критической информационной инфраструктуры на значимых объектах критической информационной инфраструктуры, действия работников субъекта критической информационной инфраструктуры при возникновении компьютерных инцидентов и иных нештатных ситуаций.
II п.10
10. Руководитель субъекта критической информационной инфраструктуры создает или определяет структурное подразделение, ответственное за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - структурное подразделение по безопасности), или назначает отдельных работников, ответственных за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - специалисты по безопасности).
Структурное подразделение по безопасности, специалисты по безопасности должны осуществлять следующие функции:
  • разрабатывать предложения по совершенствованию организационно-распорядительных документов по безопасности значимых объектов и представлять их руководителю субъекта критической информационной инфраструктуры (уполномоченному лицу);
  • проводить анализ угроз безопасности информации в отношении значимых объектов критической информационной инфраструктуры и выявлять уязвимости в них;
  • обеспечивать реализацию требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленных в соответствии со статьей 11 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - требования по безопасности);
  • обеспечивать в соответствии с требованиями по безопасности реализацию организационных мер и применение средств защиты информации, эксплуатацию средств защиты информации;
  • осуществлять реагирование на компьютерные инциденты в порядке, установленном в соответствии с пунктом 6 части 4 статьи 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации";
  • организовывать проведение оценки соответствия значимых объектов критической информационной инфраструктуры требованиям по безопасности;
  • готовить предложения по совершенствованию функционирования систем безопасности, а также по повышению уровня безопасности значимых объектов критической информационной инфраструктуры.
Структурное подразделение по безопасности, специалисты по безопасности реализуют указанные функции во взаимодействии с подразделениями (работниками), эксплуатирующими значимые объекты критической информационной инфраструктуры, и подразделениями (работниками), обеспечивающими функционирование значимых объектов критической информационной инфраструктуры.
Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":
Глава 7. Пункт 4.
7.4. Кредитная организация (головная кредитная организация банковской группы) классифицирует события риска информационной безопасности по источникам операционного риска в соответствии с пунктом 3.3 настоящего Положения, а также по уязвимостям информационных систем и их компонентов как источникам последующих уровней классификации источников событий операционного риска в соответствии с пунктом 3.4 настоящего Положения, обусловленным недостатками процессов обеспечения защиты информации, способствующими реализации угрозы безопасности информации (совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации).

Связанные защитные меры

Ничего не найдено