Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Framework № PCI DSS 4.0 от 01.03.2022

Payment Card Industry Data Security Standard

Requirement 10.3.2

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Стандарт Банка России № СТО БР ИББС-1.3-2016 от 01.01.2017 "Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств":

Р. 6 п.4

6.4. Рекомендации по обеспечению необходимыми техническими средствами и инструментами для сбора и обработки технических данных.
Для реализации сбора и обработки технических данных организации БС РФ рекомендуется обеспечить наличие следующих готовых к использованию технических средств и инструментов:

специально выделенные автоматизированные рабочие места для обработки технических данных, в том числе для поиска (выделения) содержательной (семантической) информации, ее анализа и оформления. Рекомендуется использование автономных автоматизированных рабочих мест, не подключенных к вычислительным сетям (в качестве альтернативы может быть рекомендовано использование для сбора и обработки технических данных выделенных сегментов вычислительных сетей или отдельных виртуальных машин);
технические, в том числе программные, средства для сбора технических данных и проверки (контроля) целостности собранных данных;
технические средства централизованного сбора, хранения и анализа протоколов (журналов) регистрации, а также автоматизированной обработки собранных технических данных (например, систем управления журналами регистрации, SIEM систем);
технические средства записи и хранения данных сетевого трафика;
носители данных для сбора и хранения собранных технических данных. При этом рекомендуется:
- использование носителей, объем хранения которых заведомо превышает объем собираемых технических данных;
- в случае применения инструментов, реализующих посекторное копирование данных, использование носителей, имеющих ту же физическую основу хранения (данные с HDD-накопителей копируются на HDD-накопители, данные с SSD-накопителей копируются на SSD-накопители). При этом носители-приемники должны быть подготовлены (очищены) специальным образом для обеспечения отсутствия каких-либо посторонних данных, для чего рекомендуется использование средств гарантированного уничтожения информации или штатных средств операционной системы, реализующих функцию форматирования с полным удалением (очисткой) записанной информации, сопровождаемое документированием выполненных процедур и сервисных команд;
- в случае копирования данных с SSD-накопителей рекомендуется создание образов в файле данных в формате “RAW”. При невозможности создания образов в файле данных в формате “RAW” рекомендуется использование модели SSD-накопителя, идентичной модели накопителя с исходными данными;
антистатические контейнеры или пакеты для хранения носителей технических данных;
наклейки, этикетки и перманентные маркеры для маркирования носителей собранных технических данных;
немагнитные инструменты, используемые для извлечения запоминающих устройств, накопителей на жестких магнитных дисках;
прошитые книги (блокноты) для фиксации протоколов и описаний выполняемых действий и операций;
цифровые фотоаппараты и диктофоны.

При сборе технических данных следует избегать использования любых средств и материалов, которые производят или излучают статическое или электромагнитное поле, так как оно может повредить или уничтожить собранные данные.
Рекомендации по составу технических средств сбора технических данных приведены в приложении В к настоящему стандарту

Р. 12 п. 3

12.3. Организации БС РФ рекомендуется обеспечить применение для всех целевых систем унифицированного состава технических средств и систем – источников технических данных, а также реализовать систему централизованного сбора и хранения протоколов (журналов) регистрации (например, SIEM систему).
При реализации системы централизованного сбора и хранения протоколов (журналов) регистрации рекомендуется обеспечить:

централизованный сбор и хранение технических данных протоколов (журналов) регистрации, формируемых источниками технических данных, указанных в пункте 12.1 настоящего стандарта;
реализация сбора технических данных путем комбинации следующих способов:
- путем периодического автоматического копирования протоколов (журналов) регистрации;
- путем получения данных, передаваемых с помощью протоколов аудита и диагностики (в том числе SYSLOG, SNMP);
- путем периодического сбора данных о фактическом составе технических средств и систем – источников технических данных путем использования средств инвентаризации и оценки защищенности, протоколов удаленного администрирования (системного сканирования);
- путем копирования сетевого трафика;
контроль работоспособности технических средств, применяемых для сбора протоколов (журналов) регистрации;
хранение собранных технических данных, в том числе архивное хранение, обеспечивающее:
- контроль и протоколирование доступа к собранным техническим данным;
- реализация защитных мер, направленных на обеспечение конфиденциальности, целостности и доступности собранных технических данных;
- обеспечение запрета единоличного изменения и (или) удаления собранных технических данных;
- возможность установления сроков оперативного хранения технических данных;
- архивное хранение по истечении срока оперативного хранения, реализуемое при необходимости внешними системами архивного хранения;
- возможность доступа к архивным данным о событиях информационной безопасности для цели анализа в течение трех лет;
реализацию защиты собранных технических данных от несанкционированного доступа, двустороннюю аутентификацию при использовании общедоступных вычислительных сетей, в том числе информационно-телекоммуникационной сети Интернет, для цели передачи указанных данных;
гарантированную доставку данных о событиях информационной безопасности;
приведение однотипных технических данных, формируемых разными источниками технических данных, к унифицированному формату;
возможность объединения и корреляции технических данных, сформированных разными источниками технических данных, в пределах одного общего инцидента ИБ;
приведение (синхронизация) временных меток записей электронных журналов событий ИБ к единому часовому поясу и единому эталонному времени, для чего рекомендуется:
- использование в качестве основного сигнала точного времени спутниковой системы “ГЛОНАСС”1 ;
- использование в информационной инфраструктуре специального оборудования, содержащего в своем составе приемники сигналов спутниковой системы “ГЛОНАСС” – сервер времени информационной инфраструктуры (Time Server);
- осуществление синхронизации системного времени технических средств, являющихся источниками технических данных, с сервером времени информационной инфраструктуры с одновременным документированием выполнения этой операции;
- осуществление синхронизации системного времени видеорегистраторов, установленных в корпусах технических средств, являющихся источниками технических данных, систем видеонаблюдения и систем контроля доступа, с одновременным документированием выполнения этой операции.

ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":

A.12.4.2

A.12.4.2 Защита информации регистрационных журналов
Мера обеспечения информационной безопасности: Средства регистрации и информация регистрационных журналов должны быть защищены от фальсификации и несанкционированного доступа

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":

Requirement 10.3.2

10.3.2
Определенные Требования к Подходу:
Файлы журнала аудита защищены для предотвращения внесения изменений отдельными лицами.

Цель Индивидуального подхода:
Сохраненные записи о действиях не могут быть изменены персоналом.

Определенные Процедуры Тестирования Подхода:

10.3.2 Изучите системные конфигурации и привилегии и опросите системных администраторов, чтобы убедиться, что текущие файлы журнала аудита защищены от изменений отдельными лицами с помощью механизмов контроля доступа, физического разделения и/или сетевого разделения.

Цель:
Часто злоумышленник, проникший в сеть, пытается отредактировать журналы аудита, чтобы скрыть свою активность. Без надлежащей защиты журналов аудита их полнота, точность и целостность не могут быть гарантированы, и журналы аудита могут стать бесполезными в качестве инструмента расследования после компрометации. Поэтому журналы аудита должны быть защищены в исходных системах, а также в любом другом месте, где они хранятся.

Надлежащая практика:
Организации должны попытаться предотвратить раскрытие журналов в общедоступных местах.

Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":

АУД.6 АУД.6 Защита информации о событиях безопасности

Стандарт Банка России № РС БР ИББС-2.5-2014 от 01.06.2014 "Менеджмент инцидентов информационной безопасности":

Р. 6 п. 5 п.п. 8

6.5.8. В организации БС РФ рекомендуется реализовать процедуры обеспечения целостности журналов, содержащих информацию о событиях ИБ и инцидентах ИБ, используемых в соответствии с рекомендациями, установленными пп. 6.4.4 настоящего документа, на случай возможных сбоев в работе и отказов технических и (или) программных средств.

Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":

АУД.6 АУД.6 Защита информации о событиях безопасности

ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":

12.4.2

12.4.2 Защита информации регистрационных журналов

Мера обеспечения ИБ

Средства регистрации и информация регистрационных журналов должны быть защищены от фальсификации и несанкционированного доступа.

Руководство по применению

Меры обеспечения ИБ должны быть направлены на защиту от несанкционированных изменений информации журнала и проблем, возникающих при эксплуатации средств регистрации, включая:

a) изменение типов сообщений, которые были записаны;
b) удаление или изменение журнала;
c) превышение емкости хранилища файлов журнала, что приводит к невозможности записи событий или перезаписи информации о прошлых событиях.

Может потребоваться сохранять в архиве некоторые журналы аудита как часть политики хранения записей или вследствие наличия требований по сбору и хранению доказательств (см. 16.1.7).

Дополнительная информация

Системные журналы часто содержат большой объем информации, большая часть которой не имеет отношения к мониторингу событий безопасности. Чтобы помочь идентифицировать важные с точки зрения мониторинга ИБ события, следует рассмотреть возможность автоматического копирования записей соответствующего типа во второй журнал, либо использовать подходящие системные служебные программы или инструменты аудита, которые позволят систематизировать файлы журналов.

Системные журналы должны быть защищены, так как, если данные в них можно изменить или удалить, то существование таких журналов может создать ложное чувство безопасности. Копирование журналов в реальном времени в систему, находящуюся вне контроля системного администратора или оператора, может применяться как мера обеспечения безопасности.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.