Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard (RU)
Requirement 5.3.4
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ЗВК.22
ЗВК.22 Регистрация операций по проведению проверок на отсутствие вредоносного кода
3-Т 2-Т 1-Т
3-Т 2-Т 1-Т
ЗВК.28
ЗВК.28 Регистрация нарушений целостности программных компонентов средств защиты от вредоносного кода
3-Т 2-Т 1-Т
3-Т 2-Т 1-Т
ЗВК.24
ЗВК.24 Регистрация неконтролируемого использования технологии мобильного кода (в том числе Java, JavaScript, ActiveX, VBScript и иные аналогичные технологии)
3-Т 2-Т 1-Т
3-Т 2-Т 1-Т
ЗВК.25
ЗВК.25 Регистрация сбоев в функционировании средств защиты от вредоносного кода
3-Т 2-Т 1-Т
3-Т 2-Т 1-Т
NIST Cybersecurity Framework (RU):
PR.PT-1
PR.PT-1: В соответствии с политикой определяются, документируются, внедряются и проверяются записи аудита / журналов событий
Стандарт Банка России № СТО БР ИББС-1.3-2016 от 01.01.2017 "Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств":
Р. 12 п. 1
12.1. Для обеспечения наличия и сохранности технических данных для цели реагирования на инциденты ИБ организации БС РФ рекомендуется:
- установить ограничения и организовать контроль использования административных учетных записей для объектов информационной инфраструктуры, являющихся источниками технических данных;
- установить ограничения на совмещение одним лицом полномочий по использованию административных учетных записей разных объектов информационной инфраструктуры, являющихся источниками технических данных, в том числе установить ограничения на выполнение одним лицом функций администратора операционных систем, СУБД, целевых систем;
- принятие мер по мониторингу сообщений о выявленных уязвимостях объектов информационной инфраструктуры, являющихся источниками технических данных, и по реагированию на них в соответствии с РС БР ИББС-2.6, направленных на обеспечение невозможности использования уязвимостей для несанкционированного отключения протоколирования и повреждения технических данных, сокрытия нарушителем своих действий;
- принятие мер по контролю фактического состава технических средств и систем – источников технических данных путем применения средств инвентаризации и оценки защищенности целевых систем;
- протоколирование всех действий с данными протоколов (журналов) регистрации, в том числе действий по отключению ведения и (или) очистке протоколов (журналов);
- принятие организационных мер по ограничению использования “непротоколируемых” административных учетных записей, например, путем разделения административного пароля на две части для цели реализации принципа “двойного контроля”;
- обеспечение постоянного формирования и контроля формирования технических данных – протоколов (журналов) регистрации, являющихся потенциальной содержательной (семантической) информацией, состав которой определен в пунктах 7.10–7.17 настоящего стандарта. Обеспечение ведения протоколов (журналов) регистрации реализуется путем соответствующего выбора, настройки и (или) создания следующих источников технических данных:
- операционные системы;
- целевые системы;
- средства (системы) аутентификации, авторизации и разграничения доступа;
- средства антивирусной защиты информационной инфраструктуры;
- средства криптографической защиты информации;
- средства защиты от несанкционированного доступа;
- маршрутизаторы и средства межсетевого экранирования, в том числе средства межсетевого экранирования прикладного уровня;
Р. 6 п.6 п.п. 3
6.6.3. Рекомендации по выполнению копирования протоколов (журналов) регистрации. В настоящем стандарте предусматривается целесообразность копирования следующих протоколов (журналов) регистрации:
- протоколы (журналы) регистрации целевых систем;
- протоколы (журналы) регистрации телекоммуникационного оборудования:
- маршрутизаторы, коммутаторы, точки и контроллеры беспроводного доступа, модемы;
- DHCP-сервисы;
- средства, используемые для предоставления удаленного доступа (VPN-шлюзы);
- протоколы (журналы) регистрации средств защиты информации:
- средства (системы) аутентификации, авторизации и разграничения доступа;
- средства межсетевого экранирования;
- средства обнаружения вторжений и сетевых атак, в том числе DDOS-атак;
- средства защиты от НСД;
- средства антивирусной защиты информационной инфраструктуры;
- СКЗИ;
- протоколы (журналы) регистрации и данные почтовых серверов, средств контентной фильтрации электронной почты;
- протоколы (журналы) регистрации и данные web-серверов, средств контентной фильтрации web-протоколов;
- протоколы (журналы) регистрации СУБД;
- протоколы (журналы) регистрации автоматических телефонных станций;
- протоколы (журналы) регистрации и данные систем видеонаблюдения и систем контроля доступа;
В большинстве случаев указанные протоколы (журналы) регистрации хранятся в виде файлов данных, в том числе в проприетарных форматах, текстовых файлах, базах данных, протоколов (журналов) регистрации операционных систем (syslog для UNIX систем, event logs для Windows-систем). При этом для копирования протоколов (журналов) регистрации может быть рекомендована следующая общая последовательность действий:
- выгрузка (копирование) протоколов (журналов) регистрации за определенный требуемый период времени в файлы данных;
- вычисление и сохранение контрольных сумм или значений хэш-функций полученных файлов данных;
- логическое копирование на внешние носители информации (компакт-диски) исходных файлов данных, созданных в рамках выполнения пункта 1;
- вычисление и сохранение контрольных сумм или значений хэш-функций исходных файлов данных, созданных в рамках выполнения пункта 1, и полученных файлов данных, скопированных в рамках выполнения пункта 3, сравнение вычисленных значений со значениями, вычисленными в рамках выполнения пункта 2, для подтверждения целостности скопированных данных с составлением акта, содержащего полученный результат сравнения;
- обеспечение безопасной упаковки и хранения носителей информации, содержащих скопированные файлы.
При выполнении копирования протоколов (журналов) и данных телекоммуникационного оборудования необходимо учитывать, что отключение телекоммуникационного оборудования путем прерывания питания, как правило, приводит к удалению всех технических данных. Копирование протоколов (журналов) телекоммуникационного оборудования рекомендуется сопровождать получением данных о его текущем статусе:
- системные дата и время;
- версия программного обеспечения;
- значения контрольных сумм программного обеспечения;
- сетевая информация, таблица маршрутизации;
- текущая конфигурация оборудования;
- конфигурация оборудования, примененная при загрузке;
- состав администраторов оборудования;
- состав запущенных программных процессов.
При копировании протоколов (журналов) регистрации и данных телекоммуникационного оборудования рекомендуется подключение к телекоммуникационному оборудованию через консольный порт (не рекомендуется выполнять удаленное подключение через протоколы Telnet или SSH), при этом категорически не рекомендуется изменять конфигурацию маршрутизатора или вводить какие-либо команды конфигурации.
При организации копирования протоколов (журналов) регистрации рекомендуется обеспечивать:
При организации копирования протоколов (журналов) регистрации рекомендуется обеспечивать:
- принятие необходимых мер к ограничению доступа к собираемым копиям данных с учетом возможного нахождения в копиях данных информации, защищаемой в соответствии с требованиями законодательства Российской Федерации, нормативными актами Банка России, в том числе:
- персональных данных;
- аутентификационных данных;
- данных, используемых для подтверждения распоряжений на перевод денежных средств; • банковской тайны;
- принятие мер к обеспечению достаточной емкости носителей и хранилищ, используемых для сбора протоколов (журналов) регистрации, позволяющих избежать перезаписи и (или) потери информации;
- использование специализированных технических средств централизованного сбора, анализа и хранения протоколов (журналов) регистрации (например, систем управления журналами регистрации, SIEM систем), позволяющих минимизировать риски злоумышленных действий по изменению, повреждению и (или) уничтожению протоколов (журналов) регистрации;
- заблаговременное включение в договоры положений, определяющих условия и процедуры получения протоколов (журналов) регистрации СВТ и иных технических средств, находящихся в собственности третьих лиц (например, протоколов (журналов) регистрации почтовых сервисов, сервисов обнаружения и отражения DDOS-атак, технических средств провайдеров сети Интернет и операторов мобильной связи).
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 5.3.4
5.3.4
Defined Approach Requirements:
Audit logs for the anti-malware solution(s) are enabled and retained in accordance with Requirement 10.5.1.
Customized Approach Objective:
Historical records of anti-malware actions are immediately available and retained for at least 12 months.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Audit logs for the anti-malware solution(s) are enabled and retained in accordance with Requirement 10.5.1.
Customized Approach Objective:
Historical records of anti-malware actions are immediately available and retained for at least 12 months.
Defined Approach Testing Procedures:
- 5.3.4 Examine anti-malware solution(s) configurations to verify logs are enabled and retained in accordance with Requirement 10.5.1.
Purpose:
It is important to track the effectiveness of the anti-malware mechanisms—for example, by confirming that updates and scans are being performed as expected, and that malware is identified and addressed. Audit logs also allow an entity to determine how malware entered the environment and track its activity when inside the entity’s network.
It is important to track the effectiveness of the anti-malware mechanisms—for example, by confirming that updates and scans are being performed as expected, and that malware is identified and addressed. Audit logs also allow an entity to determine how malware entered the environment and track its activity when inside the entity’s network.
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 8.6
CSC 8.6 Centralize Anti-Malware Logging
Send all malware detection events to enterprise anti-malware administration tools and event log servers for analysis and alerting.
Send all malware detection events to enterprise anti-malware administration tools and event log servers for analysis and alerting.
NIST Cybersecurity Framework (EN):
PR.PT-1
PR.PT-1: Audit/log records are determined, documented, implemented, and reviewed in accordance with policy
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.