Раздел Requirement 12.10.1 PCI DSS 4.0 (Ru) - Контроль соответствия

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":

Р. 7 п. 4 п.п. 4

7.4.4. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры мониторинга ИБ, анализа и хранения данных о действиях и операциях, позволяющие выявлять неправомерные или подозрительные операции и транзакции, для чего, среди прочего, следует:

определить действия и операции, подлежащие регистрации;
определить состав и содержание данных о действиях и операциях, подлежащих регистрации, сроки их хранения;
обеспечить резервирование необходимого объема памяти для записи данных;
обеспечить реагирование на сбои при регистрации действий и операций, в том числе аппаратные и программные ошибки, сбои в технических средствах сбора данных;
обеспечить генерацию временных меток для регистрируемых действий и операций и синхронизацию системного времени на технических средствах, используемых для целей мониторинга ИБ, анализа и хранения данных.

В организации БС РФ должно быть реализовано ведение журналов действия и операций автоматизированных рабочих мест, серверного и сетевого оборудования, межсетевых экранов и АБС с целью их использования при реагировании на инциденты ИБ.

Рекомендуется обеспечить хранение данных о действиях и операциях не менее трех лет, а для данных, полученных в результате выполнения банковского платежного технологического процесса, - не менее пяти лет, если иные сроки хранения не установлены законодательством РФ, нормативными актами Банка России.
Для проведения процедур мониторинга ИБ и анализа данных о действиях и операциях следует использовать специализированные программные и (или) технические средства.
Процедуры мониторинга ИБ и анализа данных о действиях и операциях должны использовать зафиксированные критерии выявления неправомерных или подозрительных действий и операций. Указанные процедуры мониторинга ИБ и анализа должны применяться на регулярной основе, например ежедневно, ко всем выполненным действиям и операциям (транзакциям).

Р. 8 п. 10 п.п. 1

8.10.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры обработки инцидентов, включающие:

процедуры обнаружения инцидентов ИБ;
процедуры информирования об инцидентах, в том числе информирования службы ИБ;
процедуры классификации инцидентов и оценки ущерба, нанесенного инцидентом ИБ;
— процедуры реагирования на инцидент;
— процедуры анализа причин инцидентов ИБ и оценки результатов реагирования на инциденты ИБ (при необходимости с участием внешних экспертов в области ИБ).

Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":

п. 6. п.п. 3

6.3. Кредитные организации должны обеспечивать выполнение следующих требований к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации таких инцидентов:

выявление и регистрация инцидентов операционной надежности;
реагирование на инциденты операционной надежности в отношении критичной архитектуры;
восстановление функционирования технологических процессов и объектов информационной инфраструктуры после реализации инцидентов операционной надежности;
проведение анализа причин и последствий реализации инцидентов операционной надежности;
организация взаимодействия между подразделениями кредитной организации, а также между кредитной организацией и Банком России, иными участниками технологического процесса в рамках реагирования на инциденты операционной надежности и восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации инцидентов операционной надежности.

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":

РИ.6

РИ.6 Установление и применение единых правил реагирования на инциденты защиты информации
3-О 2-О 1-О

NIST Cybersecurity Framework (RU):

PR.IP-9

PR.IP-9: Созданы и управляются планы реагирования (реагирование на инциденты и непрерывность бизнеса) и планы восстановления (восстановление после инцидентов и аварийное восстановление)

ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":

ВРВ.26.4

ВРВ.26.4 Процедур восстановления данных** с помощью резервных копий в заданных объемах (согласно ЦТВД);

ВРВ.26.2

ВРВ.26.2 Процедур восстановления выполнения бизнес- и технологических процессов финансовой организации в заданные временные периоды (согласно ЦВВ);

ВРВ.26.1

ВРВ.26.1 Процедур выявления и устранения причин реализации инцидентов, в том числе путем обновления состава объектов информатизации финансовой организации;

ВРВ.14.4

ВРВ.14.4 Процедур по ограничению распространения инцидентов;

ВРВ.7.4

ВРВ.7.4 Ролей, связанных с реагированием на инциденты;

ВРВ.26.5

ВРВ.26.5 Процедур привлечения, в случае необходимости, компетентных специалистов соответствующих организаций – поставщиков услуг;

ВРВ.26.8

ВРВ.26.8 Процедур формирования отчетности в рамках восстановления после реализации инцидентов;

ВПУ.2

ВПУ.2 Разработка и применение процедур реагирования в случае реализации информационных угроз, в том числе компьютерных атак со стороны поставщиков услуг, а также в случае идентификации риска распространения вредоносного кода на вычислительные сети финансовой организации*.

ВРВ.26.7

ВРВ.26.7 Процедур сбора и фиксации технических данных (свидетельств) в рамках восстановления после реализации инцидентов для анализа причин и последствий реализации инцидентов;

ВРВ.26.6

ВРВ.26.6 Процедур по снижению СТП инцидентов;

ВРВ.26.3

ВРВ.26.3 Процедур восстановления функционирования объектов информатизации на каждом из уровней информационной инфраструктуры с учетом взаимосвязей и взаимозависимостей между объектами информатизации;

ВРВ.26.9

ВРВ.26.9 Графика (приоритетности и последовательности) при восстановлении функционирования бизнес- и технологических процессов и объектов информатизации.

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":

Requirement 12.10.1

12.10.1
Defined Approach Requirements:
An incident response plan exists and is ready to be activated in the event of a suspected or confirmed security incident. The plan includes, but is not limited to:

Roles, responsibilities, and communication and contact strategies in the event of a suspected or confirmed security incident, including notification of payment brands and acquirers, at a minimum.
Incident response procedures with specific containment and mitigation activities for different types of incidents.
Business recovery and continuity procedures.
Data backup processes.
Analysis of legal requirements for reporting compromises.
Coverage and responses of all critical system components.
Reference or inclusion of incident response procedures from the payment brands.

Customized Approach Objective:
A comprehensive incident response plan that meets card brand expectations is maintained.

Defined Approach Testing Procedures:

12.10.1.a Examine the incident response plan to verify that the plan exists and includes at least the elements specified in this requirement.
12.10.1.b Interview personnel and examine documentation from previously reported incidents or alerts to verify that the documented incident response plan and procedures were followed.

Purpose:
Without a comprehensive incident response plan that is properly disseminated, read, and understood by the parties responsible, confusion and lack of a unified response could create further downtime for the business, unnecessary public media exposure, as well as risk of financial and/or reputational loss and legal liabilities.

Good Practice:
The incident response plan should be thorough and contain all the key elements for stakeholders (for example, legal, communications) to allow the entity to respond effectively in the event of a breach that could impact account data. It is important to keep the plan up to date with current contact information of all individuals designated as having a role in incident response. Other relevant parties for notifications may include customers, financial institutions (acquirers and issuers), and business partners.
Entities should consider how to address all compromises of data within the CDE in their incident response plans, including to account data, wireless encryption keys, encryption keys used for transmission and storage or account data or cardholder data, etc.

Examples:
Legal requirements for reporting compromises include those in most US states, the EU General Data Protection Regulation (GDPR), and the Personal Data Protection Act (Singapore).

Further Information:
For more information, refer to the NIST SP 800- 61 Rev. 2, Computer Security Incident Handling Guide.

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":

A.16.1.1

A.16.1.1 Обязанности и процедуры
Мера обеспечения информационной безопасности: Должны быть установлены обязанности и процедуры менеджмента для обеспечения уверенности в быстром, эффективном и надлежащем реагировании на инциденты информационной безопасности

CIS Critical Security Controls v7.1 (SANS Top 20):

CSC 19.1 CSC 19.1 Document Incident Response Procedures
Ensure that there are written incident response plans that define roles of personnel as well as phases of incident handling/management.

Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":

А.5.24

А.5.24 Планирование и подготовка в отношении инцидентов ИБ
Организация должна организовать процесс управления инцидентами ИБ путем определения, установления и коммуникации процессов управления инцидентами ИБ, ролей и обязанностей.

Положение Банка России № 719-П от 04.06.2020 "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств":

Глава 5 п. 1

5.1. Оператор платежной системы в целях реализации пункта 11 части 3 статьи 28 Федерального закона № 161-ФЗ (Собрание законодательства Российской Федерации, 2011, № 27, ст. 3872) в рамках системы управления рисками в платежной системе определяет в правилах платежной системы и иных документах порядок обеспечения защиты информации в платежной системе для операторов по переводу денежных средств, являющихся участниками платежной системы, операторов услуг платежной инфраструктуры с учетом требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - требования к обеспечению защиты информации в платежной системе).

Оператор платежной системы должен определить требования к обеспечению защиты информации в платежной системе в отношении следующих мероприятий:

управление риском информационной безопасности в платежной системе как одним из видов операционного риска в платежной системе, источниками реализации которого являются: недостатки процессов обеспечения защиты информации, в том числе недостатки применяемых технологических мер защиты информации, недостатки прикладного программного обеспечения автоматизированных систем и приложений, а также несоблюдение требований к указанным процессам деятельности операторами по переводу денежных средств, являющимися участниками платежной системы, операторами услуг платежной инфраструктуры (далее - риск информационной безопасности в платежной системе);
установление состава показателей уровня риска информационной безопасности в платежной системе;
реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры механизмов, направленных на соблюдение требований к обеспечению защиты информации при осуществлении переводов денежных средств, и контроль их соблюдения операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры;
реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры процессов выявления и идентификации риска информационной безопасности в платежной системе в отношении объектов информационной инфраструктуры участников платежной системы, операторов услуг платежной инфраструктуры;
выявление и анализ операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры риска информационной безопасности в платежной системе;
реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры процессов реагирования на инциденты защиты информации и восстановления штатного функционирования объектов информационной инфраструктуры в случае реализации инцидентов защиты информации;
реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры взаимодействия при обмене информацией об инцидентах защиты информации;
реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента, определенных пунктами 2.2 и 2.4 Указания Банка России от 8 октября 2018 года № 4926-У «О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента», зарегистрированного Министерством юстиции Российской Федерации 12 декабря 2018 года № 52988;
реализация операторами платежных систем процессов применения в отношении операторов по переводу денежных средств, являющихся участниками платежной системы, и операторов услуг платежной инфраструктуры ограничений по параметрам операций по осуществлению переводов денежных средств в случае выявления факта превышения значений показателей уровня риска информационной безопасности в платежной системе, в том числе условий снятия таких ограничений.

SWIFT Customer Security Controls Framework v2022:

7 - 7.1 Cyber Incident Response Planning

7.1 Cyber Incident Response Planning

Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":

ИНЦ.0 ИНЦ.0 Разработка политики реагирования на компьютерные инциденты

NIST Cybersecurity Framework (EN):

PR.IP-9 PR.IP-9: Response plans (Incident Response and Business Continuity) and recovery plans (Incident Recovery and Disaster Recovery) are in place and managed

Стандарт Банка России № РС БР ИББС-2.5-2014 от 01.06.2014 "Менеджмент инцидентов информационной безопасности":

Р. 6 п. 4 п.п. 9

6.4.9. В регламенты оценки событий ИБ, обнаружения инцидента ИБ и оповещения об инциденте ИБ рекомендуется включать:

порядок первичной оценки и критерии классификации событий ИБ в качестве инцидента ИБ;
порядок использования классификатора инцидентов ИБ и первичной классификации инцидента ИБ;
порядок оповещения руководителя и членов ГРИИБ об обнаруженном инциденте ИБ;
порядок и критерии необходимости эскалации инцидента ИБ на центральный уровень реагирования на инциденты ИБ.

Р. 6 п. 4 п.п. 17

6.4.17. В регламенты закрытия инцидента ИБ рекомендуется включать:

порядок и условия функциональной эскалации инцидента ИБ и (или) привлечения дополнительной компетенции;
порядок взаимодействия членов ГРИИБ и лиц, привлекаемых к закрытию инцидента ИБ;
детальное описание способов документирования и хранения информации о результатах реагирования на инцидент ИБ, в том числе закрытия инцидентах ИБ, а также результатах анализа причин инцидента ИБ;
порядок информирования руководства организации БС РФ о результатах анализа инцидента ИБ;
порядок подготовки и направления информации об инциденте ИБ, связанном с осуществлением переводов денежных средств, в адрес оператора платежной системы в соответствии с правилами платежной системы и в адрес Банка России в соответствии с требованиями нормативных актов Банка России.

Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":

ИНЦ.0 ИНЦ.0 Регламентация правил и процедур реагирования на компьютерные инциденты

ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":

16.1.1

16.1.1 Обязанности и процедуры

Мера обеспечения ИБ

Должны быть установлены обязанности и процедуры менеджмента для обеспечения уверенности в быстром, эффективном и надлежащем реагировании на инциденты ИБ.

Руководство по применению

Должны быть приняты во внимание следующие рекомендации для обязанностей и процедур по управлению инцидентами ИБ:

a) должны быть установлены обязанности по управлению, чтобы гарантировать, что следующие процедуры разработаны и должным образом доведены до сведения внутри организации:

процедуры планирования и подготовки реагирования на инциденты;
процедуры мониторинга, обнаружения, анализа и информирования о событиях и инцидентах безопасности;
процедуры регистрации действий по управлению инцидентами;
процедуры обращения с криминалистическими свидетельствами;
оценка недостатков ИБ;
процедуры реагирования, включая процедуры эскалации, контролируемого восстановления после инцидента и информирования персонала внутри организации, лиц за ее пределами, а также организаций;

b) установленные процедуры должны обеспечивать, что:

вопросы, связанные с инцидентами ИБ в организации, решает компетентный персонал;
существуют контактные лица по вопросам обнаружения и информирования об инцидентах безопасности;
поддерживаются соответствующие контакты с органами власти, внешними заинтересованными группами или форумами, которые занимаются вопросами, связанными с инцидентами ИБ;

c) процедуры оповещения должны включать в себя:

подготовку форм оповещения о событиях безопасности для обеспечения действий по оповещению и для того, чтобы лица, сообщающие о нарушениях, могли запомнить все необходимые действия в случае, если произошло событие безопасности;
процедуру, которая должна быть предпринята в случае, если произошло событие ИБ, например немедленное фиксирование всех деталей, таких как вид несоответствия или нарушения, произошедший отказ, сообщения на экране и незамедлительное оповещение контактных лиц, а также принятие скоординированных действий;
ссылку на установленный формальный процесс принятия дисциплинарных мер к работникам, которые совершают нарушения безопасности;
соответствующие процессы обратной связи для обеспечения того, чтобы лица, сообщающие о событиях безопасности, были уведомлены о результатах после решения и закрытия проблемы.

Цели управления инцидентами ИБ должны быть согласованы с руководством и должны гарантировать, что лица, ответственные за управление инцидентами ИБ, понимают приоритеты организации при обработке инцидентов ИБ.

Дополнительная информация

Инциденты ИБ могут выходить за пределы организационных и национальных границ. Для реагирования на такие инциденты возрастает необходимость в координации и обмене информацией об этих инцидентах со сторонними организациями, в той мере, насколько это возможно.

Подробное руководство по управлению инцидентами ИБ приведено в ИСО/МЭК 27035 [20].

Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":

А.5.24

А.5.24 Information security incident management planning and preparation
The organization shall plan and prepare for managing information security incidents by defining, establishing and communicating information security incident management processes, roles and responsibilities.

Framework № PCI DSS 4.0 от 01.03.2022

Payment Card Industry Data Security Standard (RU)

Requirement 12.10.1

Список требований

Поддерживать политику информационной безопасности

Похожие требования

Связанные защитные меры