Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014

Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения

Р. 7 п. 11 п.п. 3-6

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 11.5.1
11.5.1
Defined Approach Requirements: 
 Intrusion-detection and/or intrusionprevention techniques are used to detect and/or prevent intrusions into the network as follows:
  • All traffic is monitored at the perimeter of the CDE. 
  • All traffic is monitored at critical points in the CDE. 
  • Personnel are alerted to suspected compromises.
  • All intrusion-detection and prevention engines, baselines, and signatures are kept up to date. 
Customized Approach Objective:
Mechanisms to detect real-time suspicious or anomalous network traffic that may be indicative of threat actor activity are implemented. Alerts generated by these mechanisms are responded to by personnel, or by automated means that ensure that system components cannot be compromised as a result of the detected activity. 

Defined Approach Testing Procedures:
  • 11.5.1.a Examine system configurations and network diagrams to verify that intrusion-detection and/or intrusion-prevention techniques are in place to monitor all traffic:
    • At the perimeter of the CDE.
    • At critical points in the CDE. 
  • 11.5.1.b Examine system configurations and interview responsible personnel to verify intrusiondetection and/or intrusion-prevention techniques alert personnel of suspected compromises. 
  • 11.5.1.c Examine system configurations and vendor documentation to verify intrusion-detection and/or intrusion-prevention techniques are configured to keep all engines, baselines, and signatures up to date. 
Purpose:
Intrusion-detection and/or intrusion-prevention techniques (such as IDS/IPS) compare the traffic coming into the network with known “signatures” and/or behaviors of thousands of compromise types (hacker tools, Trojans, and other malware), and then send alerts and/or stop the attempt as it happens. Without a proactive approach to detect unauthorized activity, attacks on (or misuse of) computer resources could go unnoticed for long periods of time. The impact of an intrusion into the CDE is, in many ways, a factor of the time that an attacker has in the environment before being detected. 

Good Practice:
Security alerts generated by these techniques should be continually monitored, so that the attempted or actual intrusions can be stopped, and potential damage limited. 

Definitions:
Critical locations could include, but are not limited to, network security controls between network segments (for example, between a DMZ and an internal network or between an in-scope and outof-scope network) and points protecting connections between a less trusted and a more trusted system component. 
Приказ ФСТЭК России № 77 от 29.04.2021 "Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну.":
Пункт 11
11. Для проведения работ по аттестации владелец объекта информатизации представляет в орган по аттестации следующие документы или их копии:
  • технический паспорт на объект информатизации по форме согласно приложениям № 1, 2 к настоящему Порядку;
  • акт классификации информационной (автоматизированной) системы по форме согласно приложению № 3 к настоящему Порядку, акт категорирования значимого объекта критической информационной инфраструктуры Российской Федерации (далее – акт категорирования значимого объекта);
  • модель угроз безопасности информации (в случае ее разработки в соответствии с требованиями по защите информации);
  • техническое задание на создание (развитие, модернизацию) объекта информатизации и (или) частное техническое задание на создание (развитие, модернизацию) системы защиты информации объекта информатизации (для объекта информатизации, входящего в состав объекта капитального строительства, задание на проектирование (реконструкцию) объекта капитального строительства) (в случае их разработки в ходе создания объекта информатизации);
  • проектную документацию на систему защиты информации объекта информатизации (в случае ее разработки в ходе создания объекта информатизации);
  • эксплуатационную документацию на систему защиты информации объекта информатизации и применяемые средства защиты информации;
  • организационно-распорядительные документы по защите информации владельца объекта информатизации, регламентирующие защиту информации в ходе эксплуатации объекта информатизации, в том числе план мероприятий по защите информации на объекте информатизации, документы по порядку оценки угроз безопасности информации, управлению (администрированию) системой защиты информации, управлению конфигурацией объекта информатизации, реагированию на инциденты безопасности, информированию и обучению персонала, контролю за обеспечением уровня защищенности информации (далее – документы по защите информации владельца объекта информатизации);
  • документы, содержащие результаты анализа уязвимостей объекта информатизации и приемочных испытаний системы защиты информации объекта информатизации (в случае проведения анализа и испытаний в ходе создания объекта информатизации).
По решению владельца объекта информатизации указанные в настоящем пункте документы (их копии) представляются в орган по аттестации в виде электронных документов.
Положение Банка России № 802-П от 25.07.2022 "О требованиях к защите информации в платежной системе Банка России":
П. 5
5. ОПКЦ СБП должен размещать объекты информационной инфраструктуры, используемые при предоставлении операционных услуг и услуг платежного клиринга участникам СБП, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Для объектов информационной инфраструктуры в пределах выделенного (отдельного) сегмента (группы сегментов) вычислительных сетей ОПКЦ СБП должен применять меры защиты информации, посредством выполнения которых обеспечивается реализация усиленного уровня (уровня 1) защиты информации, предусмотренного пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017.
П. 6
6. ОУИО СБП должен размещать объекты информационной инфраструктуры, используемые при предоставлении услуг информационного обмена участникам СБП, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Для объектов информационной инфраструктуры в пределах выделенного (отдельного) сегмента (группы сегментов) вычислительных сетей ОУИО СБП должен применять меры защиты информации, посредством выполнения которых обеспечивается реализация стандартного уровня (уровня 2) защиты информации, предусмотренного пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017.
П. 4
4. Участники обмена, международные финансовые организации при осуществлении переводов денежных средств с использованием сервиса быстрых платежей (далее при совместном упоминании - участники СБП) должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса быстрых платежей, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Для объектов информационной инфраструктуры в пределах выделенного (отдельного) сегмента (группы сегментов) вычислительных сетей участники СБП должны применять меры защиты информации, посредством выполнения которых обеспечивается реализация стандартного уровня (уровня 2) защиты информации, предусмотренного пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017.
П. 7 п.п. 1
7.1. Участники ССНП, участники СБП, ОПКЦ СБП и ОУИО СБП должны разработать и утвердить внутренние документы, регламентирующие выполнение следующих процессов (направлений) защиты информации в рамках процессов (направлений) защиты информации, предусмотренных подпунктом 7.1.1 пункта 7.1 раздела 7 ГОСТ Р 57580.1-2017:
  • обеспечение защиты информации при управлении доступом;
  • обеспечение защиты вычислительных сетей;
  • контроль целостности и защищенности информационной инфраструктуры;
  • защита от вредоносного кода;
  • предотвращение утечек информации;
  • управление инцидентами защиты информации;
  • защита среды виртуализации;
  • защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.
П. 3
3. Участники обмена при осуществлении переводов денежных средств в платежной системе Банка России (далее - осуществление переводов денежных средств) с использованием сервиса срочного перевода и сервиса несрочного перевода (далее - участники ССНП) должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса срочного перевода и сервиса несрочного перевода, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Для объектов информационной инфраструктуры в пределах выделенного (отдельного) сегмента (группы сегментов) вычислительных сетей участники ССНП должны применять меры защиты информации, посредством выполнения которых обеспечивается реализация стандартного уровня (уровня 2) защиты информации, предусмотренного пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст и введенного в действие 1 января 2018 года (далее - ГОСТ Р 57580.1-2017).
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 11.5.1
11.5.1
Определенные Требования к Подходу:
Методы обнаружения вторжений и/или предотвращения вторжений используются для обнаружения и/или предотвращения вторжений в сеть следующим образом:
  • Весь трафик контролируется по периметру CDE.
  • Весь трафик отслеживается в критических точках CDE.
  • Персонал предупреждается о подозрительных событиях и инцидентах.
  • Все механизмы обнаружения и предотвращения вторжений, исходные данные и сигнатуры поддерживаются в актуальном состоянии.
Цель Индивидуального подхода:
Реализованы механизмы обнаружения подозрительного или аномального сетевого трафика в режиме реального времени, который может указывать на активность субъекта угрозы. Предупреждения, генерируемые этими механизмами, реагируются персоналом или автоматизированными средствами, которые гарантируют, что компоненты системы не могут быть скомпрометированы в результате обнаруженной активности.

Определенные Процедуры Тестирования Подхода
:
  • 11.5.1.a Изучите системные конфигурации и сетевые схемы, чтобы убедиться, что методы обнаружения вторжений и/или предотвращения вторжений используются для мониторинга всего трафика:
    • По периметру CDE.
    • В критических точках CDE.
  • 11.5.1.b Изучите конфигурации системы и опросите ответственный персонал для проверки методов обнаружения вторжений и/или предотвращения вторжений, предупреждающих персонал о предполагаемых компрометациях.
  • 11.5.1.c Изучите системные конфигурации и документацию поставщика, чтобы убедиться, что методы обнаружения вторжений и/или предотвращения вторжений настроены таким образом, чтобы поддерживать все механизмы, базовые параметры и сигнатуры в актуальном состоянии.
Цель:
Методы обнаружения вторжений и/или предотвращения вторжений (такие как IDS/IPS) сравнивают трафик, поступающий в сеть, с известными “сигнатурами” и/или поведением тысяч типов компрометации (хакерские инструменты, трояны и другие вредоносные программы), а затем отправляют предупреждения и/или останавливают попытку как это случается. Без упреждающего подхода к обнаружению несанкционированной активности атаки на компьютерные ресурсы (или неправильное использование) могут оставаться незамеченными в течение длительного периода времени. Влияние вторжения в CDE во многих отношениях зависит от времени, которое злоумышленник проводит в среде, прежде чем его обнаружат.

Надлежащая практика:
Сигналы безопасности, генерируемые с помощью этих методов, должны постоянно контролироваться, чтобы можно было остановить попытки или фактические вторжения и ограничить потенциальный ущерб.

Определения:
Критические местоположения могут включать, но не ограничиваться ими, средства управления сетевой безопасностью между сегментами сети (например, между DMZ и внутренней сетью или между внутренней и внешней сетью) и точки защиты соединений между менее надежным и более надежным системным компонентом.
Положение Банка России № 719-П от 04.06.2020 "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств":
Глава 1 п. 4
1.4. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры должны обеспечивать регистрацию результатов совершения следующих действий, связанных с осуществлением доступа к защищаемой информации:
  • идентификация, аутентификация и авторизация клиентов операторов по переводу денежных средств при совершении действий в целях осуществления переводов денежных средств;
  • прием электронных сообщений от клиентов операторов по переводу денежных средств;
  • прием (передача) электронных сообщений при взаимодействии операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов услуг информационного обмена, операторов услуг платежной инфраструктуры при осуществлении переводов денежных средств, в том числе для удостоверения права клиентов операторов по переводу денежных средств распоряжаться денежными средствами и для учета результатов переводов денежных средств;
  • реализация мер, направленных на проверку правильности формирования (подготовки) электронных сообщений (двойной контроль), применяемых в соответствии с подпунктом 1.9 пункта 1 приложения 1 к настоящему Положению;
  • осуществление доступа работников к защищаемой информации и осуществление действий клиентами операторов по переводу денежных средств с защищаемой информацией, выполняемых с использованием автоматизированных систем, программного обеспечения.
Регистрации подлежат следующие данные о действиях, выполняемых работниками с использованием автоматизированных систем, программного обеспечения:
  • дата (день, месяц, год) и время (часы, минуты, секунды) совершения работником действий с защищаемой информацией;
  • присвоенный работнику идентификатор, позволяющий установить работника в автоматизированной системе, программном обеспечении;
  • код, соответствующий технологическому участку;
  • результат совершения работником действия с защищаемой информацией (успешно или неуспешно);
  • информация, используемая для идентификации устройств, при помощи которых либо в отношении которых осуществлен доступ к автоматизированной системе, программному обеспечению в целях совершения работником действий с защищаемой информацией.
Регистрации подлежат следующие данные о действиях, выполняемых клиентами операторов по переводу денежных средств с использованием автоматизированных систем, программного обеспечения:
  • дата (день, месяц, год) и время (часы, минуты, секунды) совершения клиентом оператора по переводу денежных средств действий с защищаемой информацией;
  • присвоенный клиенту оператора по переводу денежных средств идентификатор, позволяющий установить клиента оператора по переводу денежных средств в автоматизированной системе, программном обеспечении; код, соответствующий технологическому участку;
  • результат совершения клиентом оператора по переводу денежных средств действия с защищаемой информацией (успешно или неуспешно);
  • информация, используемая для идентификации устройств, при помощи которых либо в отношении которых осуществлен доступ к автоматизированной системе, программному обеспечению в целях совершения клиентом оператора по переводу денежных средств действий с защищаемой информацией.

Связанные защитные меры

Ничего не найдено