Куда я попал?
NIST Cybersecurity Framework (RU)
Framework
DE.AE-3
Для проведения оценки соответствия по документу войдите в систему.
Похожие требования
CIS Critical Security Controls v8 (The 18 CIS CSC):
8.8
8.8 Collect Command-Line Audit Logs
Collect command-line audit logs. Example implementations include collecting audit logs from PowerShell®, BASH™, and remote administrative terminals.
Collect command-line audit logs. Example implementations include collecting audit logs from PowerShell®, BASH™, and remote administrative terminals.
8.6
8.6 Collect DNS Query Audit Logs
Collect DNS query audit logs on enterprise assets, where appropriate and supported.
Collect DNS query audit logs on enterprise assets, where appropriate and supported.
8.7
8.7 Collect URL Request Audit Logs
Collect URL request audit logs on enterprise assets, where appropriate and supported.
Collect URL request audit logs on enterprise assets, where appropriate and supported.
13.1
13.1 Centralize Security Event Alerting Network
Centralize security event alerting across enterprise assets for log correlation and analysis. Best practice implementation requires the use of a SIEM, which includes vendor-defined event correlation alerts. A log analytics platform configured with security-relevant correlation alerts also satisfies this Safeguard.
Centralize security event alerting across enterprise assets for log correlation and analysis. Best practice implementation requires the use of a SIEM, which includes vendor-defined event correlation alerts. A log analytics platform configured with security-relevant correlation alerts also satisfies this Safeguard.
8.2
8.2 Collect Audit Logs
Collect audit logs. Ensure that logging, per the enterprise’s audit log management process, has been enabled across enterprise assets.
Collect audit logs. Ensure that logging, per the enterprise’s audit log management process, has been enabled across enterprise assets.
8.9
8.9 Centralize Audit Logs
Centralize, to the extent possible, audit log collection and retention across enterprise assets.
Centralize, to the extent possible, audit log collection and retention across enterprise assets.
ГОСТ Р № 22301 от 01.01.2022 "Надежность в технике. Системы менеджмента непрерывности деятельности. Требования":
Р. 8 п. 4 пп. 3 ппп. 2
8.4.3.2 Если применимо, должно быть учтено и применено следующее:
- а) аварийное оповещение заинтересованных сторон, которые могут быть затронуты фактическим или надвигающимся нарушением деятельности организации;
- b) обеспечение надлежащей координации и обмена информацией между несколькими ответственными организациями.
Процедуры предупреждения и обмена информацией должны быть выполнены в соответствии с программой учений организации (см. 8.5.)
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
РСБ.3
РСБ.3 Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
8.8
8.8 Собираются журналы командной строки
Журналы ведутся для PowerShell, BASH, терминалов доступа и так далее.
Журналы ведутся для PowerShell, BASH, терминалов доступа и так далее.
8.6
8.6 Собираются журналы DNS-запросов
Собирать журналы DNS-запросов
Собирать журналы DNS-запросов
8.7
8.7 Собираются журналы URL-запросов
Собирать журналы URL-запросов
Собирать журналы URL-запросов
13.1
13.1 Реализовано централизованное оповещение о событиях безопасности
Лучшие практики включают использование SIEM-систем и платформ для анализа журналов безопасности.
Лучшие практики включают использование SIEM-систем и платформ для анализа журналов безопасности.
8.9
8.9 Реализовано централизованное управление журналами регистрации событий
Централизовать ведение журналов аудита
Централизовать ведение журналов аудита
8.2
8.2 Реализован сбор журналов регистрации событий
Логирование включено для всех корпоративных устройств и ПО.
Логирование включено для всех корпоративных устройств и ПО.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.12.4.1
A.12.4.1 Регистрация событий
Мера обеспечения информационной безопасности: Требуется обеспечивать формирование, ведение и регулярный анализ регистрационных журналов, фиксирующих действия пользователей, нештатные ситуации, ошибки и события информационной безопасности
Мера обеспечения информационной безопасности: Требуется обеспечивать формирование, ведение и регулярный анализ регистрационных журналов, фиксирующих действия пользователей, нештатные ситуации, ошибки и события информационной безопасности
A.16.1.7
A.16.1.7 Сбор свидетельств
Мера обеспечения информационной безопасности: В организациях должны быть определены и применяться процедуры для идентификации, сбора, получения и сохранения информации, которая может использоваться в качестве свидетельств
Мера обеспечения информационной безопасности: В организациях должны быть определены и применяться процедуры для идентификации, сбора, получения и сохранения информации, которая может использоваться в качестве свидетельств
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 7.6
CSC 7.6 Log All URL requester
Log all URL requests from each of the organization's systems, whether on-site or a mobile device, in order to identify potentially malicious activity and assist incident handlers with identifying potentially compromised systems.
Log all URL requests from each of the organization's systems, whether on-site or a mobile device, in order to identify potentially malicious activity and assist incident handlers with identifying potentially compromised systems.
CSC 6.5
CSC 6.5 Central Log Management
Ensure that appropriate logs are being aggregated to a central log management system for analysis and review.
Ensure that appropriate logs are being aggregated to a central log management system for analysis and review.
CSC 8.8
CSC 8.8 Enable Command-Line Audit Logging
Enable command-line audit logging for command shells, such as Microsoft PowerShell and Bash.
Enable command-line audit logging for command shells, such as Microsoft PowerShell and Bash.
CSC 6.6
CSC 6.6 Deploy SIEM or Log Analytic Tools
Deploy Security Information and Event Management (SIEM) or log analytic tool for log correlation and analysis.
Deploy Security Information and Event Management (SIEM) or log analytic tool for log correlation and analysis.
CSC 8.6
CSC 8.6 Centralize Anti-Malware Logging
Send all malware detection events to enterprise anti-malware administration tools and event log servers for analysis and alerting.
Send all malware detection events to enterprise anti-malware administration tools and event log servers for analysis and alerting.
CSC 8.7
CSC 8.7 Enable DNS Query Logging
Enable Domain Name System (DNS) query logging to detect hostname lookups for known malicious domains.
Enable Domain Name System (DNS) query logging to detect hostname lookups for known malicious domains.
CSC 6.2
CSC 6.2 Activate Audit Logging
Ensure that local logging has been enabled on all systems and networking devices.
Ensure that local logging has been enabled on all systems and networking devices.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
РСБ.3
РСБ.3 Сбор, запись и хранение информации о событиях безопасности в течении установленного времени хранения
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.28
А.5.28 Сбор свидетельств
Организация должна установить и внедрить процедуры идентификации, сбора, получения и сохранения свидетельств, связанных с событиями ИБ.
Организация должна установить и внедрить процедуры идентификации, сбора, получения и сохранения свидетельств, связанных с событиями ИБ.
А.8.15
А.8.15 Логирование
Должны создаваться, храниться, защищаться и анализироваться журналы, в которых фиксируются деятельность, исключения, сбои и другие релевантные события.
Должны создаваться, храниться, защищаться и анализироваться журналы, в которых фиксируются деятельность, исключения, сбои и другие релевантные события.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
АУД.4
АУД.4 Регистрация событий безопасности
NIST Cybersecurity Framework (EN):
DE.AE-3
DE.AE-3: Event data are collected and correlated from multiple sources and sensors
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
АУД.4
АУД.4 Регистрация событий безопасности
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
16.1.7
16.1.7 Сбор свидетельств
Мера обеспечения ИБ
В организации должны быть определены и применяться процедуры для идентификации, сбора, получения и сохранения информации, которая может использоваться в качестве свидетельств.
Руководство по применению
Должны быть разработаны и затем выполняться внутренние процедуры при рассмотрении свидетельств с целью принятия мер дисциплинарного и юридического характера.
В общем случае эти процедуры должны обеспечивать процессы идентификации, сбора, получения и сохранения свидетельств в зависимости от типа носителей, устройств и состояния устройств, например включенных или выключенных. Процедуры должны учитывать:
- a) цепочку поставок;
- b) безопасность свидетельств;
- c) безопасность персонала;
- d) роли и обязанности задействованного персонала;
- e) компетентность персонала;
- f) документацию;
- g) инструктаж.
Там, где это возможно, должна быть предусмотрена сертификация или другие соответствующие способы оценки квалификации персонала и инструментария для того, чтобы повысить ценность сохраненных свидетельств.
Криминалистические свидетельства могут выходить за пределы организации или границы юрисдикции. В таких случаях следует обеспечить, чтобы организация имела право собирать требуемую информацию в качестве криминалистических свидетельств. Должны быть учтены требования различных юрисдикций, чтобы максимально увеличить шансы на признание в соответствующих юрисдикциях.
Дополнительная информация
Идентификация - это процесс, включающий в себя поиск, распознавание и документирование возможного свидетельства. Сбор - это процесс сбора физических предметов, которые могут содержать потенциальные свидетельства. Получение - это процесс создания копии данных в рамках определенного набора. Сохранение - это процесс поддержания и защиты целостности и первоначального состояния потенциальных свидетельств.
Когда событие безопасности обнаружено впервые, может быть неясно, приведет ли это событие к судебному разбирательству. Следовательно, существует опасность, что необходимое свидетельство будет намеренно или случайно уничтожено до того, как выяснится серьезность инцидента. Рекомендуется заранее привлекать юриста или полицию к любым предполагаемым действиям юридического характера и прислушиваться к советам по поводу необходимых свидетельств.
ИСО/МЭК 27037 [24] содержит руководства по идентификации, сбору, получению и сохранению цифровых свидетельств.
12.4.1
12.4.1 Регистрация событий
Мера обеспечения ИБ
Требуется обеспечивать формирование, ведение и регулярный анализ регистрационных журналов, фиксирующих действия пользователей, нештатные ситуации, ошибки и события безопасности.
Руководство по применению
Журналы событий, где это применимо, должны включать в себя:
- a) пользовательские идентификаторы;
- b) действия в системе;
- c) дату, время и детали ключевых событий, например вход и выход из системы;
- d) идентификатор устройства или местоположения, если возможно, и системный идентификатор;
- e) записи об успешных и отклоненных попытках доступа к системе;
- f) записи об успешных или отклоненных попытках доступа к данным и иным ресурсам;
- g) изменения конфигурации системы;
- h) использование привилегий;
- i) использование системных служебных программ и приложений;
- j) файлы, к которым был запрошен доступ, а также вид доступа;
- k) сетевые адреса и протоколы;
- l) сигналы тревоги от системы контроля управления доступом;
- m) события активации и деактивации систем защиты, таких как антивирусные средства и системы обнаружения вторжений;
- n) записи транзакций, выполненных пользователями в приложениях.
Ведение журнала событий служит основой для автоматизированных систем мониторинга, которые способны генерировать консолидированные отчеты и оповещения о безопасности системы.
Дополнительная информация
Журналы событий могут содержать информацию ограниченного доступа. Для обеспечения конфиденциальности должны быть приняты соответствующие меры защиты (см. 18.1.4).
Там, где это возможно, системные администраторы не должны иметь прав на удаление или деактивацию журналирования собственных действий (см. 12.4.3).
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.15
А.8.15 Logging
Logs that record activities, exceptions, faults and other relevant events shall be produced, stored, protected and analysed.
Logs that record activities, exceptions, faults and other relevant events shall be produced, stored, protected and analysed.
А.5.28
А.5.28 Collection of evidence
The organization shall establish and implement procedures for the identification, collection, acquisition and preservation of evidence related to information security events.
The organization shall establish and implement procedures for the identification, collection, acquisition and preservation of evidence related to information security events.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.