Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 10.4.1.1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
CIS Critical Security Controls v8 (The 18 CIS CSC):
13.1
13.1 Centralize Security Event Alerting Network
Centralize security event alerting across enterprise assets for log correlation and analysis. Best practice implementation requires the use of a SIEM, which includes vendor-defined event correlation alerts. A log analytics platform configured with security-relevant correlation alerts also satisfies this Safeguard.
Centralize security event alerting across enterprise assets for log correlation and analysis. Best practice implementation requires the use of a SIEM, which includes vendor-defined event correlation alerts. A log analytics platform configured with security-relevant correlation alerts also satisfies this Safeguard.
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
13.1
13.1 Реализовано централизованное оповещение о событиях безопасности
Лучшие практики включают использование SIEM-систем и платформ для анализа журналов безопасности.
Лучшие практики включают использование SIEM-систем и платформ для анализа журналов безопасности.
Стандарт Банка России № СТО БР ИББС-1.3-2016 от 01.01.2017 "Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств":
Р. 12 п. 3
12.3. Организации БС РФ рекомендуется обеспечить применение для всех целевых систем унифицированного состава технических средств и систем – источников технических данных, а также реализовать систему централизованного сбора и хранения протоколов (журналов) регистрации (например, SIEM систему).
При реализации системы централизованного сбора и хранения протоколов (журналов) регистрации рекомендуется обеспечить:
При реализации системы централизованного сбора и хранения протоколов (журналов) регистрации рекомендуется обеспечить:
- централизованный сбор и хранение технических данных протоколов (журналов) регистрации, формируемых источниками технических данных, указанных в пункте 12.1 настоящего стандарта;
- реализация сбора технических данных путем комбинации следующих способов:
- путем периодического автоматического копирования протоколов (журналов) регистрации;
- путем получения данных, передаваемых с помощью протоколов аудита и диагностики (в том числе SYSLOG, SNMP);
- путем периодического сбора данных о фактическом составе технических средств и систем – источников технических данных путем использования средств инвентаризации и оценки защищенности, протоколов удаленного администрирования (системного сканирования);
- путем копирования сетевого трафика;
- контроль работоспособности технических средств, применяемых для сбора протоколов (журналов) регистрации;
- хранение собранных технических данных, в том числе архивное хранение, обеспечивающее:
- контроль и протоколирование доступа к собранным техническим данным;
- реализация защитных мер, направленных на обеспечение конфиденциальности, целостности и доступности собранных технических данных;
- обеспечение запрета единоличного изменения и (или) удаления собранных технических данных;
- возможность установления сроков оперативного хранения технических данных;
- архивное хранение по истечении срока оперативного хранения, реализуемое при необходимости внешними системами архивного хранения;
- возможность доступа к архивным данным о событиях информационной безопасности для цели анализа в течение трех лет;
- реализацию защиты собранных технических данных от несанкционированного доступа, двустороннюю аутентификацию при использовании общедоступных вычислительных сетей, в том числе информационно-телекоммуникационной сети Интернет, для цели передачи указанных данных;
- гарантированную доставку данных о событиях информационной безопасности;
- приведение однотипных технических данных, формируемых разными источниками технических данных, к унифицированному формату;
- возможность объединения и корреляции технических данных, сформированных разными источниками технических данных, в пределах одного общего инцидента ИБ;
- приведение (синхронизация) временных меток записей электронных журналов событий ИБ к единому часовому поясу и единому эталонному времени, для чего рекомендуется:
- использование в качестве основного сигнала точного времени спутниковой системы “ГЛОНАСС”1 ;
- использование в информационной инфраструктуре специального оборудования, содержащего в своем составе приемники сигналов спутниковой системы “ГЛОНАСС” – сервер времени информационной инфраструктуры (Time Server);
- осуществление синхронизации системного времени технических средств, являющихся источниками технических данных, с сервером времени информационной инфраструктуры с одновременным документированием выполнения этой операции;
- осуществление синхронизации системного времени видеорегистраторов, установленных в корпусах технических средств, являющихся источниками технических данных, систем видеонаблюдения и систем контроля доступа, с одновременным документированием выполнения этой операции.
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 6.8
CSC 6.8 Regularly Tune SIEM
On a regular basis, tune your SIEM system to better identify actionable events and decrease event noise.
On a regular basis, tune your SIEM system to better identify actionable events and decrease event noise.
CSC 6.6
CSC 6.6 Deploy SIEM or Log Analytic Tools
Deploy Security Information and Event Management (SIEM) or log analytic tool for log correlation and analysis.
Deploy Security Information and Event Management (SIEM) or log analytic tool for log correlation and analysis.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 10.4.1.1
10.4.1.1
Определенные Требования к Подходу:
Для выполнения проверок журналов аудита используются автоматизированные механизмы.
Цель Индивидуального подхода:
Потенциально подозрительные или аномальные действия выявляются с помощью повторяющегося и последовательного механизма.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Для выполнения проверок журналов аудита используются автоматизированные механизмы.
Цель Индивидуального подхода:
Потенциально подозрительные или аномальные действия выявляются с помощью повторяющегося и последовательного механизма.
Примечания по применению:
Это требование является наилучшей практикой до 31 марта 2025 года, после чего оно станет обязательным и должно быть полностью рассмотрено во время оценки PCI DSS.
Определенные Процедуры Тестирования Подхода:
- 10.4.1.1 Изучить механизмы проверки журналов и опросить персонал, чтобы убедиться, что для проверки журналов используются автоматизированные механизмы.
Цель:
Ручные проверки журналов сложно выполнить даже для одной или двух систем из-за большого объема генерируемых данных журнала. Однако использование инструментов сбора, анализа и оповещения журналов, централизованных систем управления журналами, анализаторов журналов событий и решений для управления информацией о безопасности и событиями (SIEM) может облегчить процесс, определяя события журнала, которые необходимо просмотреть.
Надлежащая практика:
Организация должна поддерживать соответствие инструментов ведения журнала любым изменениям в своей среде, периодически просматривая настройки инструментов и обновляя настройки, чтобы отразить любые изменения.
Ручные проверки журналов сложно выполнить даже для одной или двух систем из-за большого объема генерируемых данных журнала. Однако использование инструментов сбора, анализа и оповещения журналов, централизованных систем управления журналами, анализаторов журналов событий и решений для управления информацией о безопасности и событиями (SIEM) может облегчить процесс, определяя события журнала, которые необходимо просмотреть.
Надлежащая практика:
Организация должна поддерживать соответствие инструментов ведения журнала любым изменениям в своей среде, периодически просматривая настройки инструментов и обновляя настройки, чтобы отразить любые изменения.
Приказ ФСБ России № 196 от 06.05.2019 "Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты":
III п.6
6. При осуществлении автоматического анализа событий ИБ и выявления компьютерных инцидентов средства обнаружения должны обеспечивать:
- отбор и фильтрацию событий ИБ;
- выявление последовательностей разнородных событий ИБ, имеющих логическую связь, которые могут быть значимы для выявления возможных нарушений безопасности информации (корреляция) и объединение однородных данных о событиях ИБ (агрегация);
- выявление компьютерных инцидентов, регистрацию методов (способов) их обнаружения;
- возможность корреляции для распределенных по времени и (или) месту возникновения событий ИБ;
- возможность корреляции для последовательности событий ИБ;
- возможность просмотра и редактирования правил корреляции, а также обновления и загрузки новых правил;
- автоматическое назначение приоритетов событиям ИБ на основании задаваемых пользователем показателей.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.