Куда я попал?
Framework № PCI DSS 4.0 от 01.03.2022
Payment Card Industry Data Security Standard
Requirement 10.5.1
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 4 п.п. 4
7.4.4. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры мониторинга ИБ, анализа и хранения данных о действиях и операциях, позволяющие выявлять неправомерные или подозрительные операции и транзакции, для чего, среди прочего, следует:
- определить действия и операции, подлежащие регистрации;
- определить состав и содержание данных о действиях и операциях, подлежащих регистрации, сроки их хранения;
- обеспечить резервирование необходимого объема памяти для записи данных;
- обеспечить реагирование на сбои при регистрации действий и операций, в том числе аппаратные и программные ошибки, сбои в технических средствах сбора данных;
- обеспечить генерацию временных меток для регистрируемых действий и операций и синхронизацию системного времени на технических средствах, используемых для целей мониторинга ИБ, анализа и хранения данных.
В организации БС РФ должно быть реализовано ведение журналов действия и операций автоматизированных рабочих мест, серверного и сетевого оборудования, межсетевых экранов и АБС с целью их использования при реагировании на инциденты ИБ.
Рекомендуется обеспечить хранение данных о действиях и операциях не менее трех лет, а для данных, полученных в результате выполнения банковского платежного технологического процесса, - не менее пяти лет, если иные сроки хранения не установлены законодательством РФ, нормативными актами Банка России.
Для проведения процедур мониторинга ИБ и анализа данных о действиях и операциях следует использовать специализированные программные и (или) технические средства.
Процедуры мониторинга ИБ и анализа данных о действиях и операциях должны использовать зафиксированные критерии выявления неправомерных или подозрительных действий и операций. Указанные процедуры мониторинга ИБ и анализа должны применяться на регулярной основе, например ежедневно, ко всем выполненным действиям и операциям (транзакциям).
Для проведения процедур мониторинга ИБ и анализа данных о действиях и операциях следует использовать специализированные программные и (или) технические средства.
Процедуры мониторинга ИБ и анализа данных о действиях и операциях должны использовать зафиксированные критерии выявления неправомерных или подозрительных действий и операций. Указанные процедуры мониторинга ИБ и анализа должны применяться на регулярной основе, например ежедневно, ко всем выполненным действиям и операциям (транзакциям).
CIS Critical Security Controls v8 (The 18 CIS CSC):
8.10
8.10 Retain Audit Logs
Retain audit logs across enterprise assets for a minimum of 90 days.
Retain audit logs across enterprise assets for a minimum of 90 days.
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
8.10
8.10 Реализовано хранение журналов регистрации событий
Срок хранения составляет не менее 90 дней.
Срок хранения составляет не менее 90 дней.
Стандарт Банка России № СТО БР ИББС-1.3-2016 от 01.01.2017 "Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств":
Р. 6 п.6 п.п. 3
6.6.3. Рекомендации по выполнению копирования протоколов (журналов) регистрации. В настоящем стандарте предусматривается целесообразность копирования следующих протоколов (журналов) регистрации:
- протоколы (журналы) регистрации целевых систем;
- протоколы (журналы) регистрации телекоммуникационного оборудования:
- маршрутизаторы, коммутаторы, точки и контроллеры беспроводного доступа, модемы;
- DHCP-сервисы;
- средства, используемые для предоставления удаленного доступа (VPN-шлюзы);
- протоколы (журналы) регистрации средств защиты информации:
- средства (системы) аутентификации, авторизации и разграничения доступа;
- средства межсетевого экранирования;
- средства обнаружения вторжений и сетевых атак, в том числе DDOS-атак;
- средства защиты от НСД;
- средства антивирусной защиты информационной инфраструктуры;
- СКЗИ;
- протоколы (журналы) регистрации и данные почтовых серверов, средств контентной фильтрации электронной почты;
- протоколы (журналы) регистрации и данные web-серверов, средств контентной фильтрации web-протоколов;
- протоколы (журналы) регистрации СУБД;
- протоколы (журналы) регистрации автоматических телефонных станций;
- протоколы (журналы) регистрации и данные систем видеонаблюдения и систем контроля доступа;
В большинстве случаев указанные протоколы (журналы) регистрации хранятся в виде файлов данных, в том числе в проприетарных форматах, текстовых файлах, базах данных, протоколов (журналов) регистрации операционных систем (syslog для UNIX систем, event logs для Windows-систем). При этом для копирования протоколов (журналов) регистрации может быть рекомендована следующая общая последовательность действий:
- выгрузка (копирование) протоколов (журналов) регистрации за определенный требуемый период времени в файлы данных;
- вычисление и сохранение контрольных сумм или значений хэш-функций полученных файлов данных;
- логическое копирование на внешние носители информации (компакт-диски) исходных файлов данных, созданных в рамках выполнения пункта 1;
- вычисление и сохранение контрольных сумм или значений хэш-функций исходных файлов данных, созданных в рамках выполнения пункта 1, и полученных файлов данных, скопированных в рамках выполнения пункта 3, сравнение вычисленных значений со значениями, вычисленными в рамках выполнения пункта 2, для подтверждения целостности скопированных данных с составлением акта, содержащего полученный результат сравнения;
- обеспечение безопасной упаковки и хранения носителей информации, содержащих скопированные файлы.
При выполнении копирования протоколов (журналов) и данных телекоммуникационного оборудования необходимо учитывать, что отключение телекоммуникационного оборудования путем прерывания питания, как правило, приводит к удалению всех технических данных. Копирование протоколов (журналов) телекоммуникационного оборудования рекомендуется сопровождать получением данных о его текущем статусе:
- системные дата и время;
- версия программного обеспечения;
- значения контрольных сумм программного обеспечения;
- сетевая информация, таблица маршрутизации;
- текущая конфигурация оборудования;
- конфигурация оборудования, примененная при загрузке;
- состав администраторов оборудования;
- состав запущенных программных процессов.
При копировании протоколов (журналов) регистрации и данных телекоммуникационного оборудования рекомендуется подключение к телекоммуникационному оборудованию через консольный порт (не рекомендуется выполнять удаленное подключение через протоколы Telnet или SSH), при этом категорически не рекомендуется изменять конфигурацию маршрутизатора или вводить какие-либо команды конфигурации.
При организации копирования протоколов (журналов) регистрации рекомендуется обеспечивать:
При организации копирования протоколов (журналов) регистрации рекомендуется обеспечивать:
- принятие необходимых мер к ограничению доступа к собираемым копиям данных с учетом возможного нахождения в копиях данных информации, защищаемой в соответствии с требованиями законодательства Российской Федерации, нормативными актами Банка России, в том числе:
- персональных данных;
- аутентификационных данных;
- данных, используемых для подтверждения распоряжений на перевод денежных средств; • банковской тайны;
- принятие мер к обеспечению достаточной емкости носителей и хранилищ, используемых для сбора протоколов (журналов) регистрации, позволяющих избежать перезаписи и (или) потери информации;
- использование специализированных технических средств централизованного сбора, анализа и хранения протоколов (журналов) регистрации (например, систем управления журналами регистрации, SIEM систем), позволяющих минимизировать риски злоумышленных действий по изменению, повреждению и (или) уничтожению протоколов (журналов) регистрации;
- заблаговременное включение в договоры положений, определяющих условия и процедуры получения протоколов (журналов) регистрации СВТ и иных технических средств, находящихся в собственности третьих лиц (например, протоколов (журналов) регистрации почтовых сервисов, сервисов обнаружения и отражения DDOS-атак, технических средств провайдеров сети Интернет и операторов мобильной связи).
Приказ Минздрава № 911н от 24.12.2018 "Требования к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам":
Раздел II п. 9 п.п. д)
д) обеспечивать протоколирование и сохранение сведений о предоставлении доступа и о других операциях с документами и метаданными в автоматизированном режиме, а также автоматизированное ведение электронных журналов учета точного времени и фактов размещения, изменения и удаления информации, содержания вносимых изменений;
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 10.5.1
10.5.1
Определенные Требования к Подходу:
Сохраняйте историю журнала аудита не менее 12 месяцев, причем по крайней мере последние три месяца будут немедленно доступны для анализа.
Цель Индивидуального подхода:
Исторические записи о действиях доступны немедленно для поддержки реагирования на инциденты и хранятся не менее 12 месяцев.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Сохраняйте историю журнала аудита не менее 12 месяцев, причем по крайней мере последние три месяца будут немедленно доступны для анализа.
Цель Индивидуального подхода:
Исторические записи о действиях доступны немедленно для поддержки реагирования на инциденты и хранятся не менее 12 месяцев.
Определенные Процедуры Тестирования Подхода:
- 10.5.1.a Изучите документацию, чтобы убедиться, что определено следующее:
- Политики хранения журналов аудита.
- Процедуры сохранения истории журнала аудита в течение как минимум 12 месяцев, причем по крайней мере последние три месяца немедленно доступны в Интернете.
- 10.5.1.b Изучите конфигурации истории журналов аудита, опросите персонал и изучите журналы аудита, чтобы убедиться, что история журналов аудита сохраняется не менее 12 месяцев.
- 10.5.1.c Опрашивать персонал и наблюдать за процессами, чтобы убедиться, что по крайней мере история журнала аудита за последние три месяца немедленно доступна для анализа.
Надлежащая практика:
Сохранение исторических журналов аудита в течение как минимум 12 месяцев необходимо, поскольку компромиссы часто остаются незамеченными в течение значительного периода времени. Централизованно хранимая история журналов позволяет исследователям лучше определить продолжительность времени, в течение которого происходило потенциальное нарушение, и возможные затронутые системы. Благодаря немедленному доступу к журналам за три месяца организация может быстро идентифицировать и минимизировать последствия утечки данных.
Примеры:
Методы, позволяющие сделать журналы доступными немедленно, включают хранение журналов в режиме онлайн, архивирование журналов или быстрое восстановление журналов из резервных копий.
Сохранение исторических журналов аудита в течение как минимум 12 месяцев необходимо, поскольку компромиссы часто остаются незамеченными в течение значительного периода времени. Централизованно хранимая история журналов позволяет исследователям лучше определить продолжительность времени, в течение которого происходило потенциальное нарушение, и возможные затронутые системы. Благодаря немедленному доступу к журналам за три месяца организация может быстро идентифицировать и минимизировать последствия утечки данных.
Примеры:
Методы, позволяющие сделать журналы доступными немедленно, включают хранение журналов в режиме онлайн, архивирование журналов или быстрое восстановление журналов из резервных копий.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.