Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard (RU)
Requirement 10.4.1.1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
CIS Critical Security Controls v8 (The 18 CIS CSC):
13.1
13.1 Centralize Security Event Alerting Network
Centralize security event alerting across enterprise assets for log correlation and analysis. Best practice implementation requires the use of a SIEM, which includes vendor-defined event correlation alerts. A log analytics platform configured with security-relevant correlation alerts also satisfies this Safeguard.
Centralize security event alerting across enterprise assets for log correlation and analysis. Best practice implementation requires the use of a SIEM, which includes vendor-defined event correlation alerts. A log analytics platform configured with security-relevant correlation alerts also satisfies this Safeguard.
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
13.1
13.1 Реализовано централизованное оповещение о событиях безопасности
Лучшие практики включают использование SIEM-систем и платформ для анализа журналов безопасности.
Лучшие практики включают использование SIEM-систем и платформ для анализа журналов безопасности.
Стандарт Банка России № СТО БР ИББС-1.3-2016 от 01.01.2017 "Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств":
Р. 12 п. 3
12.3. Организации БС РФ рекомендуется обеспечить применение для всех целевых систем унифицированного состава технических средств и систем – источников технических данных, а также реализовать систему централизованного сбора и хранения протоколов (журналов) регистрации (например, SIEM систему).
При реализации системы централизованного сбора и хранения протоколов (журналов) регистрации рекомендуется обеспечить:
При реализации системы централизованного сбора и хранения протоколов (журналов) регистрации рекомендуется обеспечить:
- централизованный сбор и хранение технических данных протоколов (журналов) регистрации, формируемых источниками технических данных, указанных в пункте 12.1 настоящего стандарта;
- реализация сбора технических данных путем комбинации следующих способов:
- путем периодического автоматического копирования протоколов (журналов) регистрации;
- путем получения данных, передаваемых с помощью протоколов аудита и диагностики (в том числе SYSLOG, SNMP);
- путем периодического сбора данных о фактическом составе технических средств и систем – источников технических данных путем использования средств инвентаризации и оценки защищенности, протоколов удаленного администрирования (системного сканирования);
- путем копирования сетевого трафика;
- контроль работоспособности технических средств, применяемых для сбора протоколов (журналов) регистрации;
- хранение собранных технических данных, в том числе архивное хранение, обеспечивающее:
- контроль и протоколирование доступа к собранным техническим данным;
- реализация защитных мер, направленных на обеспечение конфиденциальности, целостности и доступности собранных технических данных;
- обеспечение запрета единоличного изменения и (или) удаления собранных технических данных;
- возможность установления сроков оперативного хранения технических данных;
- архивное хранение по истечении срока оперативного хранения, реализуемое при необходимости внешними системами архивного хранения;
- возможность доступа к архивным данным о событиях информационной безопасности для цели анализа в течение трех лет;
- реализацию защиты собранных технических данных от несанкционированного доступа, двустороннюю аутентификацию при использовании общедоступных вычислительных сетей, в том числе информационно-телекоммуникационной сети Интернет, для цели передачи указанных данных;
- гарантированную доставку данных о событиях информационной безопасности;
- приведение однотипных технических данных, формируемых разными источниками технических данных, к унифицированному формату;
- возможность объединения и корреляции технических данных, сформированных разными источниками технических данных, в пределах одного общего инцидента ИБ;
- приведение (синхронизация) временных меток записей электронных журналов событий ИБ к единому часовому поясу и единому эталонному времени, для чего рекомендуется:
- использование в качестве основного сигнала точного времени спутниковой системы “ГЛОНАСС”1 ;
- использование в информационной инфраструктуре специального оборудования, содержащего в своем составе приемники сигналов спутниковой системы “ГЛОНАСС” – сервер времени информационной инфраструктуры (Time Server);
- осуществление синхронизации системного времени технических средств, являющихся источниками технических данных, с сервером времени информационной инфраструктуры с одновременным документированием выполнения этой операции;
- осуществление синхронизации системного времени видеорегистраторов, установленных в корпусах технических средств, являющихся источниками технических данных, систем видеонаблюдения и систем контроля доступа, с одновременным документированием выполнения этой операции.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 10.4.1.1
10.4.1.1
Defined Approach Requirements:
Automated mechanisms are used to perform audit log reviews.
Customized Approach Objective:
Potentially suspicious or anomalous activities are identified via a repeatable and consistent mechanism.
Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Automated mechanisms are used to perform audit log reviews.
Customized Approach Objective:
Potentially suspicious or anomalous activities are identified via a repeatable and consistent mechanism.
Applicability Notes:
This requirement is a best practice until 31 March 2025, after which it will be required and must be fully considered during a PCI DSS assessment.
Defined Approach Testing Procedures:
- 10.4.1.1 Examine log review mechanisms and interview personnel to verify that automated mechanisms are used to perform log reviews.
Purpose:
Manual log reviews are difficult to perform, even for one or two systems, due to the amount of log data that is generated. However, using log harvesting, parsing, and alerting tools, centralized log management systems, event log analyzers, and security information and event management (SIEM) solutions can help facilitate the process by identifying log events that need to be reviewed.
Good Practice:
The entity should keep logging tools aligned with any changes in their environment by periodically reviewing tool settings and updating settings to reflect any changes.
Manual log reviews are difficult to perform, even for one or two systems, due to the amount of log data that is generated. However, using log harvesting, parsing, and alerting tools, centralized log management systems, event log analyzers, and security information and event management (SIEM) solutions can help facilitate the process by identifying log events that need to be reviewed.
Good Practice:
The entity should keep logging tools aligned with any changes in their environment by periodically reviewing tool settings and updating settings to reflect any changes.
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 6.8
CSC 6.8 Regularly Tune SIEM
On a regular basis, tune your SIEM system to better identify actionable events and decrease event noise.
On a regular basis, tune your SIEM system to better identify actionable events and decrease event noise.
CSC 6.6
CSC 6.6 Deploy SIEM or Log Analytic Tools
Deploy Security Information and Event Management (SIEM) or log analytic tool for log correlation and analysis.
Deploy Security Information and Event Management (SIEM) or log analytic tool for log correlation and analysis.
Приказ ФСБ России № 196 от 06.05.2019 "Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты":
III п.6
6. При осуществлении автоматического анализа событий ИБ и выявления компьютерных инцидентов средства обнаружения должны обеспечивать:
- отбор и фильтрацию событий ИБ;
- выявление последовательностей разнородных событий ИБ, имеющих логическую связь, которые могут быть значимы для выявления возможных нарушений безопасности информации (корреляция) и объединение однородных данных о событиях ИБ (агрегация);
- выявление компьютерных инцидентов, регистрацию методов (способов) их обнаружения;
- возможность корреляции для распределенных по времени и (или) месту возникновения событий ИБ;
- возможность корреляции для последовательности событий ИБ;
- возможность просмотра и редактирования правил корреляции, а также обновления и загрузки новых правил;
- автоматическое назначение приоритетов событиям ИБ на основании задаваемых пользователем показателей.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.