Куда я попал?
Стандарт Банка России № СТО БР ИББС-1.3-2016 от 01.01.2017
Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств
Р. 6 п. 3
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ВРВ.34.1
ВРВ.34.1 Определение целевых показателей анализа технических данных (свидетельств);
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 10.2.2
10.2.2
Defined Approach Requirements:
Audit logs record the following details for each auditable event:
Defined Approach Requirements:
Audit logs record the following details for each auditable event:
- User identification.
- Type of event.
- Date and time.
- Success and failure indication.
- Origination of event.
- Identity or name of affected data, system component, resource, or service (for example, name and protocol).
Customized Approach Objective:
Sufficient data to be able to identify successful and failed attempts and who, what, when, where, and how for each event listed in requirement 10.2.1 are captured.
Defined Approach Testing Procedures:
Sufficient data to be able to identify successful and failed attempts and who, what, when, where, and how for each event listed in requirement 10.2.1 are captured.
Defined Approach Testing Procedures:
- 10.2.2 Interview personnel and examine audit log configurations and log data to verify that all elements specified in this requirement are included in log entries for each auditable event (from 10.2.1.1 through 10.2.1.7).
Purpose:
By recording these details for the auditable events at 10.2.1.1 through 10.2.1.7, a potential compromise can be quickly identified, with sufficient detail to facilitate following up on suspicious activities.
By recording these details for the auditable events at 10.2.1.1 through 10.2.1.7, a potential compromise can be quickly identified, with sufficient detail to facilitate following up on suspicious activities.
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.16.1.5
A.16.1.5 Реагирование на инциденты информационной безопасности
Мера обеспечения информационной безопасности: Реагирование на инциденты информационной безопасности должно осуществляться в соответствии с документально оформленными процедурами
Мера обеспечения информационной безопасности: Реагирование на инциденты информационной безопасности должно осуществляться в соответствии с документально оформленными процедурами
A.12.7.1
A.12.7.1 Меры обеспечения информационной безопасности в отношении аудита информационных систем
Мера обеспечения информационной безопасности: Требования к процессу регистрации событий (аудиту) и деятельности, связанной с контролем находящихся в эксплуатации систем, должны быть тщательно спланированы и согласованы для минимизации сбоев в бизнес-процессах
Мера обеспечения информационной безопасности: Требования к процессу регистрации событий (аудиту) и деятельности, связанной с контролем находящихся в эксплуатации систем, должны быть тщательно спланированы и согласованы для минимизации сбоев в бизнес-процессах
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 10.2.2
10.2.2
Определенные Требования к Подходу:
Журналы аудита записывают следующие сведения для каждого проверяемого события:
Определенные Требования к Подходу:
Журналы аудита записывают следующие сведения для каждого проверяемого события:
- Идентификация пользователя.
- Тип события.
- Дата и время.
- Индикация успеха и неудачи.
- Возникновение события.
- Идентификатор или имя затронутых данных, системного компонента, ресурса или службы (например, имя и протокол).
Цель Индивидуального подхода:
Фиксируются достаточные данные, позволяющие идентифицировать успешные и неудачные попытки, а также кто, что, когда, где и как для каждого события, перечисленного в требовании 10.2.1.
Определенные Процедуры Тестирования Подхода:
Фиксируются достаточные данные, позволяющие идентифицировать успешные и неудачные попытки, а также кто, что, когда, где и как для каждого события, перечисленного в требовании 10.2.1.
Определенные Процедуры Тестирования Подхода:
- 10.2.2 Опросите персонал и изучите конфигурации журнала аудита и данные журнала, чтобы убедиться, что все элементы, указанные в этом требовании, включены в записи журнала для каждого проверяемого события (с 10.2.1.1 по 10.2.1.7).
Цель:
Записывая эти сведения для проверяемых событий в пунктах с 10.2.1.1 по 10.2.1.7, можно быстро идентифицировать потенциальный компромисс с достаточной детализацией, чтобы облегчить отслеживание подозрительных действий.
Записывая эти сведения для проверяемых событий в пунктах с 10.2.1.1 по 10.2.1.7, можно быстро идентифицировать потенциальный компромисс с достаточной детализацией, чтобы облегчить отслеживание подозрительных действий.
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":
А.5.26
А.5.26 Реагирование на инциденты ИБ
Реагирование на инциденты ИБ должно осуществляться в соответствии с документированными процедурами.
Реагирование на инциденты ИБ должно осуществляться в соответствии с документированными процедурами.
ГОСТ Р № ИСО/МЭК 27002-2021 от 30.11.2021 "Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности":
16.1.5
16.1.5 Реагирование на инциденты информационной безопасности
Мера обеспечения ИБ
Реагирование на инциденты ИБ должно осуществляться в соответствии с документально оформленными процедурами.
Руководство по применению
Реагирование на инциденты ИБ должно осуществляться назначенными контактными лицами и другими соответствующими лицами из числа самой организации или сторонних организаций (см. 16.1.1).
Реагирование должно включать в себя следующее:
- a) как можно более быстрый сбор свидетельств произошедшего;
- b) проведение криминалистического анализа ИБ по мере необходимости (см. 16.1.7);
- c) эскалация, если требуется;
- d) обеспечение того, что все выполняемые действия по реагированию соответствующим образом зарегистрированы для дальнейшего анализа;
- e) информирование о факте инцидента ИБ или любых существенных деталях о нем других лиц из числа самой организации или сторонних организаций в соответствии с принципом "необходимого знания";
- f) устранение недостатка(ов) ИБ, которые могут стать причиной или способствовать возникновению инцидента;
- g) после того, как инцидент успешно отработан, необходимо формально закрыть и записать его.
После инцидента должен проводиться анализ для выявления первопричины инцидента.
Дополнительная информация
Первоочередной целью реагирования на инцидент является возобновление "нормального уровня безопасности", а затем инициирование необходимого восстановления.
12.7.1
12.7.1 Меры обеспечения информационной безопасности в отношении аудита информационных систем
Мера обеспечения ИБ
Требования к процессу регистрации событий [аудиту] и деятельности, связанной с контролем находящихся в эксплуатации систем, должны быть тщательно спланированы и согласованы для минимизации сбоев в бизнес-процессах.
Руководство по применению
Необходимо придерживаться следующих рекомендаций:
- a) требования доступа к системам и данным для проведения аудита должны быть согласованы с соответствующим руководством;
- b) область действия технического аудита должна быть согласована и проконтролирована;
- c) аудиторские тесты должны быть ограничены доступом уровня "только на чтение" в отношении программного обеспечения и данных;
- d) доступ, отличный от режима "только на чтение", должен быть разрешен только для изолированных копий системных файлов, которые должны быть уничтожены по завершении аудита или обеспечены соответствующей защитой, если существует необходимость сохранять такие файлы в соответствии с требованиями документации по аудиту;
- e) требования к специальной и дополнительной обработке должны быть идентифицированы и согласованы;
- f) аудиторские тесты, которые могут повлиять на доступность системы, следует проводить в нерабочее время;
- g) любой доступ должен контролироваться и регистрироваться для создания прослеживаемости.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":
А.5.26
А.5.26 Response to information security incidents
Information security incidents shall be responded to in accordance with the documented procedures.
Information security incidents shall be responded to in accordance with the documented procedures.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.