Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям Framework № PCI DSS 4.0 от 01.... Requirement 10.6.1
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Framework № PCI DSS 4.0 от 01.03.2022

Payment Card Industry Data Security Standard

Requirement 10.6.1

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

CIS Critical Security Controls v8 (The 18 CIS CSC):
8.4
8.4 Standardize Time Synchronization
Standardize time synchronization. Configure at least two synchronized time sources across enterprise assets, where supported.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
MAC.9
MAC.9 Генерация временных меток для данных регистрации о событиях защиты информации и синхронизации системного времени объектов информатизации, используемых для формирования, сбора и анализа данных регистрации
3-Т 2-Т 1-Т
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
РСБ.6 РСБ.6 Генерирование временных меток и (или) синхронизация системного времени в информационной системе
Russian Unified Cyber Security Framework (на основе The 18 CIS CSC):
8.4
8.4 Реализована унифицированная синхронизация времени
Стандартизировать синхронизацию времени
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.12.4.4
A.12.4.4 Синхронизация часов 
Мера обеспечения информационной безопасности: Часы всех систем обработки информации в рамках организации или домена безопасности должны быть синхронизированы с единым эталонным источником времени 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 6.1 CSC 6.1 Utilize Three Synchronized Time Sources
Use at least three synchronized time sources from which all servers and network devices retrieve time information on a regular basis so that timestamps in logs are consistent.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 10.6.1
10.6.1
Определенные Требования к Подходу:
Системные часы и время синхронизируются с помощью технологии синхронизации времени

Цель Индивидуального подхода:
Общее время устанавливается для всех систем.

Примечания по применению:
Поддержание актуальности технологии синхронизации времени включает в себя управление уязвимостями и исправление технологии в соответствии с требованиями PCI DSS 6.3.1 и 6.3.3.

Определенные Процедуры Тестирования Подхода:
  • 10.6.1 Проверьте параметры конфигурации системы, чтобы убедиться, что технология синхронизации времени реализована и поддерживается в актуальном состоянии.
Цель:
Технология синхронизации времени используется для синхронизации часов в нескольких системах. Когда часы не синхронизированы должным образом, может быть трудно, если не невозможно, сравнить файлы журналов из разных систем и установить точную последовательность событий, что имеет решающее значение для криминалистического анализа после взлома.
Для групп судебной экспертизы после инцидента точность и согласованность времени во всех системах и время каждого действия имеют решающее значение для определения того, как были скомпрометированы системы.

Примеры:
Протокол сетевого времени (NTP) является одним из примеров технологии синхронизации времени.
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
РСБ.6 РСБ.6 Генерирование временных меток и (или) синхронизация системного времени в информационной системе
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.8.17
А.8.17 Синхронизация времени
Системное время используемых организацией систем обработки информации должно быть синхронизировано с утвержденными источниками эталонного времени.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
АУД.3 АУД.3 Генерирование временных меток и (или) синхронизация системного времени
Положение Банка России № 779-П от 15.11.2021 "Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"":
п. 2.2.
2.2. Оператор информационной системы, в которой осуществляется выпуск цифровых финансовых активов, оператор обмена цифровых финансовых активов в целях обеспечения операционной надежности в дополнение к установленным пунктами 1.1 - 1.15 настоящего Положения требованиям к операционной надежности в рамках выпуска и обращения цифровых финансовых активов в информационной системе на основе распределенного реестра должны обеспечивать выполнение следующих мероприятий:
  • анализ и применение алгоритмов, сохраняющих свою функциональность в условиях сбоев и обеспечивающих тождественность информации во всех базах данных, составляющих распределенный реестр, в части предотвращения включения (подмены) блоков данных с целью защиты от деструктивного воздействия на информационную систему на основе распределенного реестра, временная синхронизация проводимых финансовых операций с целью присвоения действительной временной метки;
  • применение механизмов, реализующих защиту от угрозы нарушения маршрутизации узлов информационной системы на основе распределенного реестра, включая механизм защиты от формирования альтернативных цепочек блоков данных в информационной системе на основе распределенного реестра, механизмы электронной подписи, позволяющие узлам информационной системы на основе распределенного реестра обеспечивать целостность данных;
  • применение механизмов, реализующих систему защиты от информационных угроз, направленных на отказ в обслуживании на уровне вычислительной сети, включая механизмы, обеспечивающие непрерывную работу информационной системы на основе распределенного реестра при росте количества проводимых финансовых операций, механизмы, реализующие систему защиты от информационных угроз, направленных на задержку доставки блоков данных к узлам информационной системы на основе распределенного реестра.
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
АУД.3 АУД.3 Генерирование временных меток и (или) синхронизация системного времени
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
12.4.4
12.4.4 Синхронизация часов

Мера обеспечения ИБ
Часы всех систем обработки информации в рамках организации или домена безопасности должны быть синхронизированы с единым эталонным источником времени.

Руководство по применению
Внешние и внутренние требования к представлению времени, синхронизаций и точности должны быть задокументированы. Такие требования могут быть правовыми, нормативными, договорными, являться требованиями стандартов или требованиями, касающимися внутреннего мониторинга. В организации должен быть определен стандартный эталон времени.
Подходы организации к получению эталонного времени из внешних источников и надежной синхронизации внутренних часов должны быть задокументированы и реализованы.

Дополнительная информация
Правильная настройка компьютерных часов важна для обеспечения точности журналов аудита, которые могут потребоваться для проведения расследований или в качестве доказательств в юридических или дисциплинарных спорах. Неточные журналы аудита могут препятствовать проведению таких расследований и подрывать достоверность таких доказательств. В качестве эталонного времени в системах регистрации могут быть использованы сигналы точного времени, передаваемые по радио и синхронизированные с национальными центрами стандартов времени и частоты. Для синхронизации всех серверов с эталоном может использоваться протокол сетевого времени (NTP).
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.8.17
А.8.17 Clock synchronization
The clocks of information processing systems used by the organization shall be synchronized to approved time sources.

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.