Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Framework № PCI DSS 4.0 от 01.03.2022

Payment Card Industry Data Security Standard

Requirement 12.10.5

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

CIS Critical Security Controls v8 (The 18 CIS CSC):
13.8 
13.8 Deploy a Network Intrusion Prevention Solution Network
Deploy a network intrusion prevention solution, where appropriate. Example implementations include the use of a Network Intrusion Prevention System (NIPS) or equivalent CSP service. 
Стандарт Банка России № СТО БР ИББС-1.3-2016 от 01.01.2017 "Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств":
Р. 7 п. 17
7.17. Для событий ИБ, связанных с осуществлением информационного взаимодействия на всех уровнях модели взаимодействия открытых систем, определенной в ГОСТ 28906-91, аналитику может быть рекомендовано рассмотрение следующей информации: 
протоколы (журналы) регистрации телекоммуникационного оборудования, средств межсетевого экранирования, средств обнаружения и предотвращения атак и данные сетевого трафика:
  • информация аппаратного (физического) и канального уровней по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ 28906-91:
    • МАС-адреса сетевых карт источника и получателя данных; 
    • данные о протоколе канального уровня (EtherType value);
    • информация об изменениях состояния сетевого интерфейса на аппаратном (физическом) и канальном уровне, в том числе подключение к вычислительной сети, изменение параметров, отключение от вычислительной сети, физическое отсоединение от сети;
  • информация сетевого уровня по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ 28906-91:
    • IP-адреса источника и получателя данных;
    • дата, время и результаты обработки сетевых пакетов;
    • идентификатор и информация о протоколе сетевого и транспортного уровня (IP protocol number, например, ТСР, UDP, ICMP);
    • базовая информация используемого протокола (например, номер порта TCP или UDP, ICMP-тип и код);
    • информация о результатах выполнения операций адресации и маршрутизации (status information) и возникающих при этом ошибках (error information);
    • информация об адресах, портах и результатах выполнения NAT-преобразований;
    • информация о результатах установления и отклонения PROXY-соединений;
    • информация о назначении IP-адресов DHCP и DNS-сервисов, в том числе дата и время обработки назначения (высвобождения) IP-адреса, MAC-адреса средств вычислительной техники, результаты назначения IP-адреса, информация о соответствии MAC-адресов и IP-адресов;
    • информация VPN-шлюзов об установлении взаимодействия на сетевом уровне, в том числе IP-адреса источника и получателя данных, дата и время обработки сетевых пакетов;
    • информация о создании, активации, деактивации, удалении правил фильтрации информационных потоков;
    • информация о результатах применения правил фильтрации информационных потоков;
  • информация транспортного уровня по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ 28906-91:
    • информация об установке и окончании соединений по протоколам TCP, UDP, ICMP;
    • информация о номерах сетевых портов (ports) источника и получателя данных протоколов ТСР и UDP, которые потенциально могут указывать на программное обеспечение, используемое для обмена данными;
    • информация о состоянии интерфейсов транспортного уровня взаимодействия (сокетов), в том числе создание сокета, переход в режим ожидания соединения, отправка и прием запроса на соединение, завершение соединения, удаление сокета;
    • информация о создании, активации, деактивации, удалении правил фильтрации информационных потоков;
    • информация о результатах применения правил фильтрации информационных потоков;
  • информация сеансового и прикладного уровня по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ 28906-91:
    • данные, передаваемые по протоколу NetFlow;
    • информация об установке и окончании сессии взаимодействия на сеансовом уровне;
    • идентификатор и информация о протоколе прикладного уровня; 
    • информация об использованных идентификаторах субъектов доступа;
    • информация о выполняемых операциях и командах, результатах их выполнения;
    • информация о возможных реализациях вторжений (атак), в том числе информация о типе реализуемой атаки (например, атака типа “переполнение буфера”, SQL-инъекция), об использованной уязвимости, результативности реализации атаки; 
    • информация о создании, активации, деактивации, удалении правил фильтрации информационных потоков;
    • информация о результатах применения правил фильтрации информационных потоков;
    • информация о создании, изменении, удалении доверительных отношений между доменами; 
протоколы (журналы) регистрации и данные почтовых серверов, средств контентной фильтрации электронной почты:
  • информация “заголовков” почтовых сообщений:
    • информация о почтовых адресах отправителя и получателя почтового сообщения;
    • информация о дате и времени отправления почтовых сообщений;
    • информация о “теме” почтового сообщения;
    • информация об идентификационных номерах почтовых сообщений (message ID);
    • информация о типе почтового клиента, использованного для формирования почтового клиента;
    • информация о “степени важности” почтового сообщения;
    • информация о маршрутизации почтового сообщения (перечень транзитных почтовых серверов прохождения почтового сообщения, дата и время приема почтового сообщения указанными почтовыми серверами);
  • информация “тела” почтового сообщения: 
    • содержание почтового сообщения;
    • информация о типе содержимого почтового сообщения (например, простой текст, наличие графики, наличие прикрепленных файлов);
    • информация о наличии прикрепленных файлов и содержание прикрепленных файлов;
    • информация о наличии и содержании гиперссылок. 
протоколы (журналы) регистрации и данные почтовых серверов, средств контентной фильтрации электронной почты:
  • информация “заголовков” почтовых сообщений: 
    • информация о почтовых адресах отправителя и получателя почтового сообщения;
    • информация о дате и времени отправления почтовых сообщений;
    • информация о “теме” почтового сообщения;
    • информация об идентификационных номерах почтовых сообщений (message ID);
    • информация о типе почтового клиента, использованного для формирования почтового клиента;
    • информация о “степени важности” почтового сообщения;
    • информация о маршрутизации почтового сообщения (перечень транзитных почтовых серверов прохождения почтового сообщения, дата и время приема почтового сообщения указанными почтовыми серверами);
  • информация “тела” почтового сообщения:
    • содержание почтового сообщения; 
    • информация о типе содержимого почтового сообщения (например, простой текст, наличие графики, наличие прикрепленных файлов);
    • информация о наличии прикрепленных файлов и содержание прикрепленных файлов; • информация о наличии и содержании гиперссылок. 
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.10.5
12.10.5
Определенные Требования к Подходу:
План реагирования на инциденты безопасности включает мониторинг и реагирование на предупреждения от систем мониторинга безопасности, включая, но не ограничиваясь этим:
  • Системы обнаружения вторжений и предотвращения вторжений.
  • Средства контроля сетевой безопасности.
  • Механизмы обнаружения изменений для критически важных файлов.
  • Механизм обнаружения изменений и несанкционированного доступа к платежным страницам. Этот бюллетень является наилучшей практикой до даты его вступления в силу; подробности см. в Примечаниях к применению ниже.
  • Обнаружение несанкционированных точек беспроводного доступа.
Цель Индивидуального подхода:
На предупреждения, генерируемые технологиями мониторинга и обнаружения, реагируют структурированным, повторяющимся образом.

Примечания по применению:
Приведенный выше пункт (для мониторинга и реагирования на предупреждения от механизма обнаружения изменений и несанкционированного доступа к платежным страницам) является наилучшей практикой до 31 марта 2025 года, после чего он потребуется как часть требования 12.10.5 и должен быть полностью рассмотрен во время оценки PCI DSS.

Определенные Процедуры Тестирования Подхода:
  • 12.10.5 Изучайте документацию и наблюдайте за процессами реагирования на инциденты, чтобы убедиться, что мониторинг и реагирование на предупреждения от систем мониторинга безопасности включены в план реагирования на инциденты безопасности, включая, но не ограничиваясь, системы, указанные в этом требовании.
Цель:
Реагирование на предупреждения, генерируемые системами мониторинга безопасности, которые специально разработаны для выявления потенциального риска для данных, имеет решающее значение для предотвращения взлома, и поэтому это должно быть включено в процессы реагирования на инциденты.
Strategies to Mitigate Cyber Security Incidents (EN):
3.2.
Host-based intrusion detection/prevention system to identify anomalous behaviour during program execution (e.g. process injection, keystroke logging, driver loading and persistence).
Relative Security Effectiveness:  Very Good | Potential User Resistance:   Low | Upfront Cost:  Medium | Ongoing Maintenance Cost:  Medium
3.5.
Network-based intrusion detection/prevention system using signatures and heuristics to identify anomalous traffic both internally and crossing network perimeter boundaries.
Relative Security Effectiveness:  Limited | Potential User Resistance:   Low | Upfront Cost:  High | Ongoing Maintenance Cost:  Medium
Положение Банка России № 719-П от 04.06.2020 "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств":
Глава 5 п. 1
5.1. Оператор платежной системы в целях реализации пункта 11 части 3 статьи 28 Федерального закона № 161-ФЗ (Собрание законодательства Российской Федерации, 2011, № 27, ст. 3872) в рамках системы управления рисками в платежной системе определяет в правилах платежной системы и иных документах порядок обеспечения защиты информации в платежной системе для операторов по переводу денежных средств, являющихся участниками платежной системы, операторов услуг платежной инфраструктуры с учетом требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - требования к обеспечению защиты информации в платежной системе).

Оператор платежной системы должен определить требования к обеспечению защиты информации в платежной системе в отношении следующих мероприятий:
  • управление риском информационной безопасности в платежной системе как одним из видов операционного риска в платежной системе, источниками реализации которого являются: недостатки процессов обеспечения защиты информации, в том числе недостатки применяемых технологических мер защиты информации, недостатки прикладного программного обеспечения автоматизированных систем и приложений, а также несоблюдение требований к указанным процессам деятельности операторами по переводу денежных средств, являющимися участниками платежной системы, операторами услуг платежной инфраструктуры (далее - риск информационной безопасности в платежной системе);
  • установление состава показателей уровня риска информационной безопасности в платежной системе;
  • реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры механизмов, направленных на соблюдение требований к обеспечению защиты информации при осуществлении переводов денежных средств, и контроль их соблюдения операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры;
  • реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры процессов выявления и идентификации риска информационной безопасности в платежной системе в отношении объектов информационной инфраструктуры участников платежной системы, операторов услуг платежной инфраструктуры;
  • выявление и анализ операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры риска информационной безопасности в платежной системе;
  • реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры процессов реагирования на инциденты защиты информации и восстановления штатного функционирования объектов информационной инфраструктуры в случае реализации инцидентов защиты информации;
  • реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры взаимодействия при обмене информацией об инцидентах защиты информации;
  • реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента, определенных пунктами 2.2 и 2.4 Указания Банка России от 8 октября 2018 года № 4926-У «О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента», зарегистрированного Министерством юстиции Российской Федерации 12 декабря 2018 года № 52988;
  • реализация операторами платежных систем процессов применения в отношении операторов по переводу денежных средств, являющихся участниками платежной системы, и операторов услуг платежной инфраструктуры ограничений по параметрам операций по осуществлению переводов денежных средств в случае выявления факта превышения значений показателей уровня риска информационной безопасности в платежной системе, в том числе условий снятия таких ограничений.

Приказ ФСБ России № 196 от 06.05.2019 "Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты":
III п.4
4. Средства обнаружения должны обладать следующими функциями:
  • сбор и первичная обработка событий, связанных с нарушением информационной безопасности (далее - события ИБ), поступающих от операционных систем, средств обнаружения вторжений, межсетевых экранов, средств предотвращения утечек данных, антивирусного программного обеспечения, телекоммуникационного оборудования, прикладных сервисов, средств контроля (анализа) защищенности, средств управления телекоммуникационным оборудованием и сетями связи, систем мониторинга состояния телекоммуникационного оборудования, систем мониторинга качества обслуживания, а также иных средств и систем защиты информации и систем мониторинга, эксплуатируемых субъектом критической информационной инфраструктуры (далее - источники событий ИБ);
  • автоматический анализ событий ИБ и выявление компьютерных инцидентов;
  • повторный анализ ранее зарегистрированных событий ИБ и выявление на основе такого анализа не обнаруженных ранее компьютерных инцидентов.
Стандарт Банка России № РС БР ИББС-2.5-2014 от 01.06.2014 "Менеджмент инцидентов информационной безопасности":
Р. 6 п. 4 п.п. 4
6.4.4. В качестве источников информации о событиях ИБ организации БС РФ, формируемых техническими и программными средствами мониторинга ИБ и контроля эксплуатации применяемых защитных мер, рекомендуется использовать:
  • регистрационные журналы систем управления, контроля и мониторинга ИБ;
  • системные журналы операционных систем;
  • системные журналы систем управления базами данных;
  • регистрационные журналы прикладного программного обеспечения;
  • регистрационные журналы активного сетевого оборудования;
  • регистрационные журналы применяемых средств защиты информации, в том числе средств защиты информации от несанкционированного доступа, средств защиты от воздействия вредоносного кода, регистрационные журналы специализированных программно-технических средств обнаружения вторжений и сетевых атак, программного обеспечения проверки целостности файлов;
  • информацию специализированных устройств контроля физического доступа, в том числе телевизионных систем охранного наблюдения, систем контроля и управления доступом и охранной сигнализации. 
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
СОВ.0 СОВ.0 Регламентация правил и процедур предотвращения вторжений (компьютерных атак)

Связанные защитные меры

Ничего не найдено