Раздел Requirement 10.2.1 PCI DSS 4.0 (En) - Контроль соответствия

CIS Critical Security Controls v8 (The 18 CIS CSC):

8.11

8.11 Conduct Audit Log Reviews
Conduct reviews of audit logs to detect anomalies or abnormal events that could indicate a potential threat. Conduct reviews on a weekly, or more frequent, basis

8.5

8.5 Collect Detailed Audit Logs
Configure detailed audit logging for enterprise assets containing sensitive data. Include event source, date, username, timestamp, source addresses, destination addresses, and other useful elements that could assist in a forensic investigation.

8.2

8.2 Collect Audit Logs
Collect audit logs. Ensure that logging, per the enterprise’s audit log management process, has been enabled across enterprise assets.

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":

МАС.7

МАС.7 Организация мониторинга данных регистрации о событиях защиты информации, формируемых средствами (системами) контроля и управления доступом
3-Н 2-Н 1-Т

МАС.6

МАС.6 Организация мониторинга данных регистрации о событиях защиты информации, формируемых контроллерами доменов
3-Т 2-Т 1-Т

УЗП.26

УЗП.26 Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению техническими мерами, реализующими многофакторную аутентификацию
3-Н 2-Т 1-Т

ФД.21

ФД.21 Регистрация событий защиты информации, связанных с входом (выходом) в помещения (из помещений), в которых расположены объекты доступа
3-Н 2-Н 1-Т

УЗП.28

УЗП.28 Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению криптографическими ключами
3-Т 2-Т 1-Т

УЗП.24

УЗП.24 Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению логическим доступом
3-Т 2-Т 1-Т

УЗП.27

УЗП.27 Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по изменению параметров настроек средств и систем защиты информации, параметров настроек АС, связанных с защитой информации
3-Н 2-Т 1-Т

УЗП.25

УЗП.25 Регистрация событий защиты информации, связанных с действиями по управлению учетными записями и правами субъектов логического доступа
3-Т 2-Т 1-Т

ИУ.8

ИУ.8 Регистрация событий защиты информации, связанных с подключением (регистрацией) объектов доступа в вычислительных сетях финансовой организации
3-Н 2-Н 1-Т

ИУ.7

ИУ.7 Регистрация событий защиты информации, связанных с созданием, копированием, в том числе резервным, и (или) удалением ресурсов доступа (баз данных, сетевых файловых ресурсов, виртуальных машин)
3-Н 2-Т 1-Т

УЗП.22

УЗП.22 Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего привилегированными правами логического доступа, позволяющими осуществить деструктивное воздействие, приводящие к нарушению выполнения бизнес-процессов или технологических процессов финансовой организации
3-Н 2-Т 1-Т

УЗП.23

УЗП.23 Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала и пользователей, обладающих правами логического доступа, в том числе в АС, позволяющими осуществить операции (транзакции), приводящие к финансовым последствиям для финансовой организации, клиентов и контрагентов
3-Т 2-Т 1-Т

NIST Cybersecurity Framework (RU):

PR.PT-1

PR.PT-1: В соответствии с политикой определяются, документируются, внедряются и проверяются записи аудита / журналов событий

Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":

ЗСВ.3 ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре

РСБ.3 РСБ.3 Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):

8.11

8.11 Реализован анализ журналов регистрации событий
Проводить проверку и анализ журналов аудита

8.2

8.2 Реализован сбор журналов регистрации событий
Логирование включено для всех корпоративных устройств и ПО.

8.5

8.5 Собираются детализированные журналы регистрации событий
Подробные журналы ведутся для конфиденциальных данных.
Журналы содержат источник события, дату, имя пользователя, временную метку, исходный и конечный адрес передачи информации.

Стандарт Банка России № СТО БР ИББС-1.3-2016 от 01.01.2017 "Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств":

Р. 7 п. 11

7.11. Для событий ИБ, связанных с осуществлением доступа к целевым системам и информационной инфраструктуре размещения целевых систем, аналитику может быть рекомендовано рассмотрение следующей информации:
энергонезависимые технические данные, расположенные на запоминающих устройствах СВТ:

информация конфигурационных файлов данных операционных систем и приложений целевых систем, информация системного реестра операционной системы Windows:
- информация, определяющая размещение файлов протоколов (журналов) регистрации (log-файлов) и временных файлов;
- информация о составе субъектов доступа, включая информацию о составе учетных записей субъектов доступа, статусах учетных записей субъектов доступа, о включении учетных записей субъектов доступа в группы;
- информация о правах доступа, предоставленных субъектам доступа и группам;
- информация о статусах учетных записей субъектов доступа;
- информация о пользовательских настройках, информация о домашней директории пользователя – субъекта доступа;
информация протоколов (журналов) регистрации (system events, application events, audit records) операционных систем и приложений целевых систем:
- информация, связанная с выполнением авторизации субъектов доступа;
- информация об истории выполненных субъектами доступа команд (command history);
- информация об использовании субъектами доступа файлов данных (recently accessed files);
- информация об использовании субъектами доступа ресурсов сети Интернет (история web-браузера);

энергозависимые технические данные операционных систем и данные, расположенные в оперативной памяти СВТ:

информация об операциях, связанных с осуществлением доступа к файлам данных;
информация о сетевых соединениях;
информация о запущенных программных процессах;
информация об открытых файлах данных;
информация об открытых сессиях доступа;

протоколы (журналы) регистрации целевых систем, средств (систем) аутентификации, авторизации и разграничения доступа, СУБД:

информация об операциях, связанных с управлением доступом субъектов доступа к целевым системам, информационной инфраструктуре размещения целевых систем, информационной инфраструктуре клиентов, СУБД:
- информация о составе учетных записей субъектов доступа, статусах учетных записей субъектов доступа;
- информация о действиях и операциях, связанных с изменением состава и значений атрибутов учетных записей;
- информация о действиях и операциях, связанных с блокированием (разблокированием) учетных записей;
- информация о действиях и операциях, связанных с предоставлением, блокированием и (или) прекращением предоставления логического доступа;
- информация о действиях и операциях, связанных с изменением прав доступа;
- информация о действиях и операциях, связанных с созданием, изменением, удалением роли, группы;
- информация о действиях и операциях, связанных с изменением прав доступа роли, группы;
- информация о действиях и операциях, связанных с назначением ролей (изменением состава групп);
информация о действиях и операциях, связанных с осуществлением доступа субъектов доступа к целевым системам, информационной инфраструктуре размещения целевых систем, информационной инфраструктуре клиентов, СУБД:
- информация об авторизации, завершении и (или) прерывании (приостановке) осуществления доступа;
- информация о действиях и операциях, выполненных субъектами доступа;
- информация о неуспешных попытках доступа;
- информация о выполненных субъектами доступа действий и операций, для которых не требуется выполнения предварительной идентификации и аутентификации;
- информация о выполненных DML-операторах, операторе SELECT- и DDL-операторах;
информация об изменении конфигурационных данных целевых систем, информационной инфраструктуры целевых систем, СУБД;
информация об атрибутах выполненных операций в целевых системах, информационной инфраструктуры целевых систем, СУБД:
- информация о содержании выполненной операции;
- дата и время осуществления операции;
- результат выполнения операции (успешная или неуспешная);
- идентификационные данные субъекта доступа, выполнившего операцию;
- идентификационные данные СВТ, которое использовалось для выполнения операции.

Guideline for a healthy information system v.2.0 (EN):

36 STANDARD

/STANDARD
Having relevant logs is required in order to be able to detect possible malfunctions and illegal access attempts to the components of the information system.

The first stage consists of determining what the critical components of the information system are. These may be network and security devices, critical servers, sensitive user workstations, etc.

For each of these, it is advisable to analyse the configuration of logged elements (format, frequency of file rotation, maximum size of log files, event categories recorded, etc.) and to adapt it as a consequence. The critical events for security must be logged and saved for at least one year (or more, depending on the legal requirements of the business area).

A contextual assessment of the information system must be carried out and the following elements must be logged:

firewall: packets blocked;
systems and applications: authentications and authorisations (failures and successes), unplanned downtime;
services: protocol errors (for example the errors 403, 404 and 500 for HTTP services), traceability of flows applicable to interconnections (URL on a HTTP relay, headers of messages on a SMTP relay, etc).

In order to be able to correlate the events between the different components, their time synchronisation source (thanks to NTP protocol) must be identical.

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":

A.12.4.1

A.12.4.1 Регистрация событий
Мера обеспечения информационной безопасности: Требуется обеспечивать формирование, ведение и регулярный анализ регистрационных журналов, фиксирующих действия пользователей, нештатные ситуации, ошибки и события информационной безопасности

A.12.7.1

A.12.7.1 Меры обеспечения информационной безопасности в отношении аудита информационных систем
Мера обеспечения информационной безопасности: Требования к процессу регистрации событий (аудиту) и деятельности, связанной с контролем находящихся в эксплуатации систем, должны быть тщательно спланированы и согласованы для минимизации сбоев в бизнес-процессах

CIS Critical Security Controls v7.1 (SANS Top 20):

CSC 6.3 CSC 6.3 Enable Detailed Logging
Enable system logging to include detailed information such as a event source, date, user, timestamp, source addresses, destination addresses, and other useful elements.

CSC 6.7 CSC 6.7 Regularly Review Logs
On a regular basis, review logs to identify anomalies or abnormal events.

CSC 6.2 CSC 6.2 Activate Audit Logging
Ensure that local logging has been enabled on all systems and networking devices.

Положение Банка России № 802-П от 25.07.2022 "О требованиях к защите информации в платежной системе Банка России":

П. 16.1

16.1. Участник СБП - банк плательщика должен осуществлять:

выявление операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, установленным Банком России в соответствии с частью 5.1 статьи 8 Федерального закона от 27 июня 2011 года N 161-ФЗ (далее - признаки осуществления переводов денежных средств без согласия клиента), в рамках реализуемой им системы управления рисками при осуществлении переводов денежных средств с использованием сервиса быстрых платежей;
приостановление в соответствии с частью 5.1 статьи 8 Федерального закона от 27 июня 2011 года N 161-ФЗ исполнения распоряжения в рамках выявленной операции, соответствующей признакам осуществления переводов денежных средств без согласия клиента, с учетом информации об уровне риска операции без согласия клиента (далее - индикатор уровня риска операции), включенной в электронное сообщение, полученной от ОПКЦ СБП в формате и порядке, установленных договором об оказании услуг между участником СБП и ОПКЦ СБП, содержащей в том числе информацию об индикаторе уровня риска операции, сформированном участником СБП - банком получателя;
формирование индикатора уровня риска операции на основе оценки рисков операций в рамках реализуемой участником СБП - банком плательщика системы управления рисками и его направление в электронном сообщении в ОПКЦ СБП в формате и порядке, установленных договором об оказании услуг между участником СБП и ОПКЦ СБП, - в случае невыявления признаков осуществления перевода денежных средств без согласия клиента.

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":

Requirement 10.2.1

10.2.1
Определенные Требования к Подходу:
Журналы аудита включены и активны для всех компонентов системы и данных о держателях карт.

Цель Индивидуального подхода:
Фиксируются записи всех действий, влияющих на компоненты системы, и данные о держателях карт.

Определенные Процедуры Тестирования Подхода:

10.2.1 Опросите системного администратора и изучите системные конфигурации, чтобы убедиться, что журналы аудита включены и активны для всех компонентов системы.

Цель:
Журналы аудита должны существовать для всех компонентов системы. Журналы аудита отправляют предупреждения системному администратору, предоставляют данные другим механизмам мониторинга, таким как системы обнаружения вторжений (IDS) и средства защиты информации и систем мониторинга событий (SIEM), а также обеспечивают отслеживание истории для расследования после инцидента.
Ведение журнала и анализ событий, связанных с безопасностью, позволяют организации выявлять и отслеживать потенциально вредоносные действия.

Надлежащая практика:
Когда организация решает, какую информацию записывать в свои журналы, важно помнить, что информация, хранящаяся в журналах аудита, является конфиденциальной и должна быть защищена в соответствии с требованиями настоящего стандарта. Следует позаботиться о том, чтобы в журналах аудита сохранялась только важная информация, чтобы свести к минимуму риск.

Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":

ЗСВ.3 ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре

РСБ.3 РСБ.3 Сбор, запись и хранение информации о событиях безопасности в течении установленного времени хранения

Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":

А.8.15

А.8.15 Логирование
Должны создаваться, храниться, защищаться и анализироваться журналы, в которых фиксируются деятельность, исключения, сбои и другие релевантные события.

SWIFT Customer Security Controls Framework v2022:

6 - 6.4 Logging and Monitoring

6.4 Logging and Monitoring

Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":

АУД.9 АУД.9 Анализ действий пользователей

АУД.4 АУД.4 Регистрация событий безопасности

NIST Cybersecurity Framework (EN):

PR.PT-1 PR.PT-1: Audit/log records are determined, documented, implemented, and reviewed in accordance with policy

Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":

АУД.9 АУД.9 Анализ действий отдельных пользователей

АУД.4 АУД.4 Регистрация событий безопасности

ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":

12.4.1

12.4.1 Регистрация событий

Мера обеспечения ИБ

Требуется обеспечивать формирование, ведение и регулярный анализ регистрационных журналов, фиксирующих действия пользователей, нештатные ситуации, ошибки и события безопасности.

Руководство по применению

Журналы событий, где это применимо, должны включать в себя:

a) пользовательские идентификаторы;
b) действия в системе;
c) дату, время и детали ключевых событий, например вход и выход из системы;
d) идентификатор устройства или местоположения, если возможно, и системный идентификатор;
e) записи об успешных и отклоненных попытках доступа к системе;
f) записи об успешных или отклоненных попытках доступа к данным и иным ресурсам;
g) изменения конфигурации системы;
h) использование привилегий;
i) использование системных служебных программ и приложений;
j) файлы, к которым был запрошен доступ, а также вид доступа;
k) сетевые адреса и протоколы;
l) сигналы тревоги от системы контроля управления доступом;
m) события активации и деактивации систем защиты, таких как антивирусные средства и системы обнаружения вторжений;
n) записи транзакций, выполненных пользователями в приложениях.

Ведение журнала событий служит основой для автоматизированных систем мониторинга, которые способны генерировать консолидированные отчеты и оповещения о безопасности системы.

Дополнительная информация

Журналы событий могут содержать информацию ограниченного доступа. Для обеспечения конфиденциальности должны быть приняты соответствующие меры защиты (см. 18.1.4).

Там, где это возможно, системные администраторы не должны иметь прав на удаление или деактивацию журналирования собственных действий (см. 12.4.3).

12.7.1

12.7.1 Меры обеспечения информационной безопасности в отношении аудита информационных систем

Мера обеспечения ИБ

Требования к процессу регистрации событий [аудиту] и деятельности, связанной с контролем находящихся в эксплуатации систем, должны быть тщательно спланированы и согласованы для минимизации сбоев в бизнес-процессах.

Руководство по применению

Необходимо придерживаться следующих рекомендаций:

a) требования доступа к системам и данным для проведения аудита должны быть согласованы с соответствующим руководством;
b) область действия технического аудита должна быть согласована и проконтролирована;
c) аудиторские тесты должны быть ограничены доступом уровня "только на чтение" в отношении программного обеспечения и данных;
d) доступ, отличный от режима "только на чтение", должен быть разрешен только для изолированных копий системных файлов, которые должны быть уничтожены по завершении аудита или обеспечены соответствующей защитой, если существует необходимость сохранять такие файлы в соответствии с требованиями документации по аудиту;
e) требования к специальной и дополнительной обработке должны быть идентифицированы и согласованы;
f) аудиторские тесты, которые могут повлиять на доступность системы, следует проводить в нерабочее время;
g) любой доступ должен контролироваться и регистрироваться для создания прослеживаемости.

Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":

А.8.15

А.8.15 Logging
Logs that record activities, exceptions, faults and other relevant events shall be produced, stored, protected and analysed.

Framework № PCI DSS 4.0 от 01.03.2022

Payment Card Industry Data Security Standard

Requirement 10.2.1

Список требований

Похожие требования

Связанные защитные меры