SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

IRP/SOAR по закону. Финансы

IRP/SOAR по закону. Финансы
18.10.2021

Руслан Рахметов, Security Vision

Направления IRP/SOAR/SGRC на российском рынке ИБ существуют относительно недавно. Мы решили сделать аналитику востребованности систем IRP/SOAR/SGRC в контексте законодательства и ответить на вопрос, какие нормативные требования существуют, какова позиция отраслевого регулятора по наиболее распространенным вопросам. 

В материалах решили приводить только сухие факты и разбить на серию публикаций следующим образом:

1. Аналитика IRP/SOAR по закону для: 
a. Финансового сектора
b. КИИ сектора
c. Госсектора

2. Аналитика SGRC по закону для:
a. Финансового сектора
b. КИИ сектора
c. Госсектора

В своей практике мы часто сталкиваемся с вопросами про сертификацию по требованиям безопасности, про то, для каких классов и категорий подходит наша платформа. Мы предоставляем сертификат и говорим, по каким требованиям сертифицирована платформа. И все-таки за кадром остается вопрос, какие нормативы, рекомендации и требованиям предъявляются к системам класса IRP/SOAR/SGRC.

Итак, начнем, IRP/SOAR по закону. Финансы.

Стандарт PCI DSS версии 3.2.1 от Май 2018 г. "Стандарт безопасности данных индустрии платежных карт. Требования и процедуры аудита безопасности".

10.1 Внедрить журнал регистрации событий, связывающий любой доступ к системным компонентам с конкретным пользователем.

10.2 Выполнять автоматизированную регистрацию событий всех системных компонентов для восстановления следующих событий:...
...
10.6 Просматривать журналы регистрации событий и события безопасности всех системных компонентов с целью обнаружения аномалий или подозрительной активности.
...

10.7 Хранить журналы регистрации событий не менее одного года, и в оперативном доступе не менее трех месяцев...
...

12.10 Внедрить план реагирования на инциденты. Быть готовым немедленно отреагировать на взлом системы.

12.10.1 Разработать план реагирования на инциденты, применяемый в случае взлома системы...
...

12.10.5 Включить в план процедуры реагирования на оповещения систем мониторинга безопасности...

Рекомендации в области стандартизации Банка России РС БР ИББС-2.5-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности".

6.5.1. В состав технических, в том числе программных, средств, используемых в рамках деятельности по обнаружению и реагированию на инциденты ИБ (далее - технические средства), рекомендуется включить:
- технические средства формирования данных, являющихся источниками информации о событиях ИБ и об инцидентах ИБ, в соответствии с рекомендациями, установленными пп. 6.4.4 настоящего документа;
- технические средства централизованного сбора информации о событиях ИБ, корреляции информации о событиях ИБ и обнаружения на основе установленных правил инцидентов ИБ (далее - средства мониторинга ИБ);
- технические средства контроля применяемых в организации БС РФ защитных мер;
- технические средства автоматизации процессов реагирования на инциденты ИБ, включая хранение информации о событиях ИБ и инцидентах ИБ.

6.5.2. Средства мониторинга ИБ и контроля защитных мер должны выполнять следующие основные функции:
- отслеживание и регистрацию событий ИБ в целях обнаружения инцидентов ИБ;
- агрегирование полученной информации о событиях ИБ, корреляцию информации о событиях ИБ, обнаружение инцидентов ИБ на основе установленных в организации БС РФ критериев и правил;
- текущий контроль функционирования применяемых средств защиты информации и обнаружение отклонений в их работе от штатного режима;
- текущий контроль действий пользователей и эксплуатирующего персонала и обнаружение нарушений в эксплуатации технических средств.

...

6.5.4. Технические средства автоматизации процессов реагирования на инциденты ИБ должны обеспечивать реализацию следующих функций:
- хранение и защиту информации о событиях ИБ и инцидентах ИБ;
- проведение классификации инцидентов ИБ, определение атрибутов инцидентов ИБ в соответствии с применяемым в организации БС РФ классификатором инцидентов ИБ;
- реализацию ролевого доступа к информации об инцидентах ИБ членов ГРИИБ (группа реагирования на инциденты информационной безопасности) в соответствии с установленными для них ролями в рамках ГРИИБ;
- отслеживание и контроль выполнения этапов реагирования на инцидент ИБ и контроль выполнения членами ГРИИБ установленных регламентов реагирования на инциденты ИБ.

...

7.3.1. Рекомендуется организовать деятельность по обнаружению и реагированию на инциденты ИБ в соответствии со следующим общим алгоритмом:

...

- регистрация информации о событиях ИБ, включая сбор информации, связанной с событием ИБ, первичную оценку собранной информации, выполняемые оператором-диспетчером ГРИИБ. ... Рекомендуется использование технических средств мониторинга ИБ, осуществляющих автоматическое обнаружение инцидентов ИБ из потока информации о событиях ИБ в соответствии с установленными правилами корреляции событий ИБ;

...

7.3.2. Управление процессом реагирования на инцидент ИБ, фиксация информации в рамках процесса реагирования на инцидент ИБ осуществляются путем использования классификатора инцидентов ИБ. Классификатор инцидентов ИБ используется для определения и фиксации работниками организации БС РФ, задействованными в деятельности по реагированию на инцидент ИБ, информации об инциденте ИБ (атрибутов инцидента ИБ), выявляемой в процессе реагирования на инцидент ИБ.

7.3.3. Классификатор инцидентов ИБ используется для формализации процесса формирования записи об инциденте ИБ централизованной базы данных об инцидентах ИБ (определения атрибутов инцидента ИБ) на этапах обнаружения инцидента ИБ и реагирования на инцидент ИБ, в том числе при выполнении следующих видов деятельности:
- первичная оценка события ИБ, которая проводится путем определения значений выделенных атрибутов (признаков) инцидента ИБ. Значения этих атрибутов заносятся в создаваемую запись об инциденте ИБ;
- управление процессом оповещения конкретных членов ГРИИБ и руководителя ГРИИБ в зависимости от определенных атрибутов инцидента ИБ;
- принятие решения об эскалации инцидента ИБ в зависимости от определенных атрибутов инцидента ИБ;
- определение значений атрибутов инцидента ИБ работниками организации БС РФ, осуществляющими реагирование на инцидент ИБ;
- определение значений атрибутов инцидента ИБ по результатам закрытия инцидента ИБ;
- фиксация фактов о некорректной (ложной) классификации события ИБ в качестве инцидента ИБ.

7.3.4. При регламентации действий членов ГРИИБ и других работников организации БС РФ, участвующих в реагировании на инциденты ИБ, рекомендуется увязывать эти действия со значениями отдельных атрибутов инцидента ИБ в записи о нем, а также предусматривать ведение записи об инциденте ИБ в соответствии с действующим классификатором инцидентов ИБ.

Стандарт Банка России СТО БР БФБО-1.5-2018 от 01.11.2018 "Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации".

3.2. Для целей настоящего стандарта под инцидентом, связанным с нарушением требований к обеспечению защиты информации, понимается одно или серия связанных нежелательных или неожиданных событий защиты информации, которые могут привести или привели к следующим негативным последствиям:

переводу денежных средств без согласия клиента;

проведению финансовой (банковской) операции без согласия клиента;

неоказанию или несвоевременному оказанию услуг по переводу денежных средств;

неоказанию или несвоевременному оказанию финансовых (банковских) услуг.

К событиям защиты информации относятся следующие события:

а) получение уведомлений участниками информационного обмена...

...

б) идентифицированное возникновение и (или) изменение состояния совокупности объектов и ресурсов доступа, средств и систем обработки информации, в том числе автоматизированных систем (далее - АС), используемых для обеспечения информатизации бизнес-процессов и (или) технологических процессов участников информационного обмена, приводящее к следующим последствиям...

Стандарт Банка России СТО БР ИББС-1.3-2016 от 01.01.2017 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств".

6.1. Сбор технических данных рекомендуется реализовывать в рамках установленной и документированной деятельности по сбору и фиксации информации об инцидентах ИБ, выполняемой в соответствии с РС БР ИББС-2.5.

В рамках деятельности по сбору и фиксации информации об инцидентах ИБ рекомендуется для каждого инцидента ИБ обеспечить, помимо сбора технических данных, сбор и документирование обзорной информации об инциденте ИБ - профиля инцидента ИБ, описывающего:

– способ выявления инцидента ИБ;
– источник информации об инциденте ИБ;
– содержание информации об инциденте ИБ, полученной от источника;
– сценарий реализации инцидента ИБ;
– дату и время выявления инцидента ИБ;
– состав информационной инфраструктуры, задействованной в реализации инцидента ИБ, в том числе пострадавшей от инцидента ИБ, уровень ее критичности для деятельности организации БС РФ;
– способы подключения информационной инфраструктуры, задействованной в реализации инцидента ИБ, к сети Интернет или сетям общего пользования;
– контактная информация работников организации БС РФ, в зону ответственности которых входит обеспечение эксплуатации информационной инфраструктуры, задействованной в реализации инцидента ИБ;
– информация об операторе связи и провайдере сети Интернет.

...

Рекомендуется реализовать сбор следующих технических данных:

6.3.1. Информационная инфраструктура клиента:

– энергонезависимые технические данные, расположенные на запоминающих устройствах средств вычислительной техники (СВТ), используемых клиентами для осуществления доступа к системам ДБО:
• серверном оборудовании;
• настольных компьютерах, ноутбуках;
• мобильных устройствах и планшетах;
– энергозависимые технические данные, расположенные в оперативной памяти СВТ, используемые клиентами для осуществления доступа к системам ДБО;
– энергозависимые технические данные операционных систем СВТ, используемых клиентами для осуществления доступа к системам ДБО:
• данные о сетевых конфигурациях;
• данные о сетевых соединениях;
• данные о запущенных программных процессах;
• данные об открытых файлах;
• список открытых сессий доступа;
• системные дата и время операционной системы;
– протоколы (журналы) регистрации телекоммуникационного оборудования, используемого клиентами для осуществления доступа к системам ДБО:
• маршрутизаторы, коммутаторы, точки и контроллеры беспроводного доступа, модемы;
• DHCP-сервисы;
– протоколы (журналы) регистрации средств защиты информации:
• средства (системы) аутентификации, авторизации и разграничения доступа к системам ДБО;
• средства защиты от НСД, размещенные на СВТ, используемых клиентами для осуществления доступа к системам ДБО;
• средства межсетевого экранирования;
• средства обнаружения вторжений и сетевых атак;
• средства антивирусной защиты;
• средства криптографической защиты информации (далее – СКЗИ), используемые в системах ДБО;
– протоколы (журналы) регистрации и данные почтовых серверов и средств контентной фильтрации электронной почты;
– данные сетевого трафика из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ, используемые клиентами для осуществления доступа к системам ДБО;
– протоколы (журналы) регистрации автоматических телефонных станций;
– протоколы (журналы) регистрации и данные систем видеонаблюдения и систем контроля доступа, используемые для контроля доступа в помещения, в которых расположены СВТ, используемые клиентами для осуществления доступа к системам ДБО;
– носители ключевой информации СКЗИ, используемой в системах ДБО.

6.3.2. Информационная инфраструктура организации БС РФ:

– энергонезависимые технические данные, расположенные на запоминающих устройствах СВТ целевых систем:
• серверном оборудовании целевых систем;
• серверном оборудовании, поддерживающем функционирование информационной инфраструктуры целевых систем;
• СВТ, используемых для администрирования целевых систем;
• банкоматах и POS-терминалах;
– энергозависимые технические данные, расположенные в оперативной памяти СВТ целевых систем:
• СВТ, используемых для администрирования информационной инфраструктуры целевых систем;
• серверного оборудования целевых систем;
• серверного оборудования, поддерживающего функционирование информационной инфраструктуры целевых систем;
– энергозависимые технические данные СВТ целевых систем в составе следующих данных:
• данные о сетевых конфигурациях;
• данные о сетевых соединениях;
• данные о запущенных программных процессах;
• данные об открытых файлах;
• список открытых сессий доступа;
• системные дата и время операционной системы;
– протоколы (журналы) регистрации целевых систем;
– протоколы (журналы) регистрации телекоммуникационного оборудования, используемого в информационной инфраструктуре целевых систем:
• маршрутизаторы, коммутаторы, точки и контроллеры беспроводного доступа, модемы;
• средства, используемые для предоставления удаленного доступа (VPN-шлюзы);
– протоколы (журналы) регистрации средств защиты информации, используемых в информационной инфраструктуре целевых систем:
• средства (системы) аутентификации, авторизации и разграничения доступа;
• средства межсетевого экранирования;
• средства обнаружения вторжений и сетевых атак, в том числе DDOS-атак;
• DHCP-сервисы;
• средства защиты от НСД, размещенные на СВТ, используемых для администрирования информационной инфраструктуры целевых систем;
• средства антивирусной защиты информационной инфраструктуры;
• СКЗИ;
– протоколы (журналы) регистрации и данные почтовых серверов и средств контентной фильтрации электронной почты;
– протоколы (журналы) регистрации и данные web-серверов и средств контентной фильтрации web-протоколов;
– протоколы (журналы) регистрации систем управления базами данных (далее – СУБД);
– данные сетевого трафика из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ целевых систем;
– протоколы (журналы) регистрации автоматических телефонных станций;
– протоколы (журналы) регистрации и данные систем видеонаблюдения и систем контроля доступа, используемые для контроля доступа в помещения, в которых расположены СВТ целевых систем.

...

6.4. Рекомендации по обеспечению необходимыми техническими средствами и инструментами для сбора и обработки технических данных.

Для реализации сбора и обработки технических данных организации БС РФ рекомендуется обеспечить наличие следующих готовых к использованию технических средств и инструментов:

...

– технические средства централизованного сбора, хранения и анализа протоколов (журналов) регистрации, а также автоматизированной обработки собранных технических данных (например, систем управления журналами регистрации, SIEM систем);

...

12.3. Организации БС РФ рекомендуется обеспечить применение для всех целевых систем унифицированного состава технических средств и систем – источников технических данных, а также реализовать систему централизованного сбора и хранения протоколов (журналов) регистрации (например, SIEM систему).

При реализации системы централизованного сбора и хранения протоколов (журналов) регистрации рекомендуется обеспечить:
– централизованный сбор и хранение технических данных протоколов (журналов) регистрации, формируемых источниками технических данных, указанных в пункте 12.1 настоящего стандарта;
– реализация сбора технических данных путем комбинации следующих способов:
• путем периодического автоматического копирования протоколов (журналов) регистрации;
• путем получения данных, передаваемых с помощью протоколов аудита и диагностики (в том числе SYSLOG, SNMP);
• путем периодического сбора данных о фактическом составе технических средств и систем – источников технических данных путем использования средств инвентаризации и оценки защищенности, протоколов удаленного администрирования (системного сканирования);
• путем копирования сетевого трафика;
– контроль работоспособности технических средств, применяемых для сбора протоколов (журналов) регистрации;
– хранение собранных технических данных, в том числе архивное хранение, обеспечивающее:
• контроль и протоколирование доступа к собранным техническим данным;
• реализация защитных мер, направленных на обеспечение конфиденциальности, целостности и доступности собранных технических данных;
• обеспечение запрета единоличного изменения и (или) удаления собранных технических данных;
• возможность установления сроков оперативного хранения технических данных;
• архивное хранение по истечении срока оперативного хранения, реализуемое при необходимости внешними системами архивного хранения;
• возможность доступа к архивным данным о событиях информационной безопасности для цели анализа в течение трех лет;
– реализацию защиты собранных технических данных от несанкционированного доступа, двустороннюю аутентификацию при использовании общедоступных вычислительных сетей, в том числе информационно-телекоммуникационной сети Интернет, для цели передачи указанных данных;
– гарантированную доставку данных о событиях информационной безопасности;
– приведение однотипных технических данных, формируемых разными источниками технических данных, к унифицированному формату;
– возможность объединения и корреляции технических данных, сформированных разными источниками технических данных, в пределах одного общего инцидента ИБ;
– приведение (синхронизация) временных меток записей электронных журналов событий ИБ к единому часовому поясу и единому эталонному времени...

Стандарт Банка России СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения".

Система информационной безопасности; СИБ: Совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение.

5.23. ... Для поддержания системы защиты на должном уровне в качестве оперативной меры используется мониторинг событий и инцидентов в СИБ (системе информационной безопасности). Менеджмент событий и инцидентов безопасности, полученных в результате мониторинга ИБ, позволяет избежать деградации и обеспечить требуемый уровень безопасности активов.

...

7.4.4. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры мониторинга ИБ, анализа и хранения данных о действиях и операциях, позволяющие выявлять неправомерные или подозрительные операции и транзакции...

...

В организации БС РФ должно быть реализовано ведение журналов действия и операций автоматизированных рабочих мест, серверного и сетевого оборудования, межсетевых экранов и АБС с целью их использования при реагировании на инциденты ИБ.

...

Для проведения процедур мониторинга ИБ и анализа данных о действиях и операциях следует использовать специализированные программные и (или) технические средства. 

Процедуры мониторинга ИБ и анализа данных о действиях и операциях должны использовать зафиксированные критерии выявления неправомерных или подозрительных действий и операций. Указанные процедуры мониторинга ИБ и анализа должны применяться на регулярной основе, например ежедневно, ко всем выполненным действиям и операциям (транзакциям).

...

7.7.9. Для повышения уровня безопасности при эксплуатации СКЗИ и их ключевых систем рекомендуется реализовать процедуры мониторинга ИБ, регистрирующие все значимые события, состоявшиеся в процессе обмена криптографически защищенными данными, и все инциденты ИБ.

...

8.1.3. В том числе важным является выполнение таких видов деятельности, как организация обучения и повышение осведомленности в области ИБ, реализация обнаружения и реагирования на инциденты ИБ, обеспечение непрерывности бизнеса организации БС (банковской системы) РФ.
...

8.1.6. Для успешного функционирования СМИБ (системы менеджмента информационной безопасности) в организации БС РФ следует выполнить следующие группы требований:

...

требования к организации обнаружения и реагирования на инциденты безопасности;

...

требования к мониторингу СОИБ (системы обеспечения информационной безопасности) и контролю защитных мер;

...

8.10. Требования к организации обнаружения и реагирования на инциденты информационной безопасности
8.10.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры обработки инцидентов, включающие:
— процедуры обнаружения инцидентов ИБ;
— процедуры информирования об инцидентах, в том числе информирования службы ИБ;
— процедуры классификации инцидентов и оценки ущерба, нанесенного инцидентом ИБ;
— процедуры реагирования на инцидент;
— процедуры анализа причин инцидентов ИБ и оценки результатов реагирования на инциденты ИБ (при необходимости с участием внешних экспертов в области ИБ).

8.10.2. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры хранения и распространения информации об инцидентах ИБ, практиках анализа инцидентов ИБ и результатах реагирования на инциденты ИБ.

8.10.3. Должны быть определены, выполняться, регистрироваться и контролироваться действия работников организации БС РФ при обнаружении нетипичных событий, связанных с ИБ, и информировании о данных событиях. Работники организации должны быть осведомлены об указанных порядках.

8.10.4. Процедуры расследования инцидентов ИБ должны учитывать законодательство РФ, положения нормативных актов Банка России, а также внутренних документов организации БС РФ в области ИБ.

8.10.5. В организациях БС РФ должны приниматься, фиксироваться и выполняться решения по всем выявленным инцидентам ИБ.

8.10.6. В организации БС РФ должны быть определены роли по обнаружению, классификации, реагированию, анализу и расследованию инцидентов ИБ и назначены ответственные за выполнение указанных ролей.

...

8.12. Требования к мониторингу информационной безопасности и контролю защитных мер

8.12.1. Должны быть определены, выполняться и регистрироваться процедуры мониторинга ИБ и контроля защитных мер, включая контроль параметров конфигурации и настроек средств и механизмов защиты. Выполнение указанных процедур должно организовываться службой ИБ, охватывать все реализованные и эксплуатируемые защитные меры, входящие в СИБ.

8.12.2. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры сбора и хранения информации о действиях работников организации БС РФ, событиях и параметрах, имеющих отношение к функционированию защитных мер.

8.12.3. Информация обо всех инцидентах, выявленных в процессе мониторинга ИБ и контроля защитных мер, должна быть учтена в рамках выполнения процедур хранения информации об инцидентах ИБ.

8.12.4. Процедуры мониторинга ИБ и контроля защитных мер должны подвергаться регулярным, регистрируемым пересмотрам в связи с изменениями в составе и способах использования защитных мер, выявлением новых угроз и уязвимостей ИБ, а также на основе данных об инцидентах ИБ.

8.12.5. В организации БС РФ должны быть определены роли, связанные с выполнением процедур мониторинга ИБ и контроля защитных мер, а также пересмотром указанных процедур, и назначены ответственные за выполнение указанных ролей.

...

8.15. Требования к анализу функционирования системы обеспечения информационной безопасности.

8.15.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры анализа функционирования СОИБ, использующие в том числе:
— результаты мониторинга ИБ и контроля защитных мер;
— сведения об инцидентах ИБ;

...

8.16. Требования к анализу системы обеспечения информационной безопасности со стороны руководства организации банковской системы Российской Федерации.

8.16.1. В организации БС РФ должен быть установлен перечень документов (данных), необходимых для формирования информации, предоставляемой руководству с целью проведения анализа СОИБ. В частности, в указанный перечень документов должны входить:
— отчеты с результатами мониторинга ИБ и контроля защитных мер;
...
— документы, содержащие информацию по выявленным инцидентам ИБ;

...

8.17. Требования к принятию решений по тактическим улучшениям системы обеспечения информационной безопасности.

8.17.1. Для принятия решений, связанных с тактическими улучшениями СОИБ, необходимо рассмотреть, среди прочего, результаты:
— мониторинга ИБ и контроля защитных мер;
...
— обработки инцидентов ИБ;

...

8.18. Требования к принятию решений по стратегическим улучшениям системы обеспечения информационной безопасности.

8.18.1. Для принятия решений, связанных со стратегическими улучшениями СОИБ, необходимо рассмотреть, среди прочего, результаты:
...
— мониторинга ИБ и контроля защитных мер;
...
— обработки инцидентов ИБ;

...

9.2. Основными целями мониторинга ИБ и контроля защитных мер в организации БС РФ являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные цели. Такими целями анализа могут быть:
...
— выявление инцидентов ИБ.

Документ Банка России № 4-МР от 14.02.2019 "Методические рекомендации по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации".

4.1. Банкам рекомендуется обеспечивать регистрацию инцидентов, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор, а также передаче биометрических персональных данных в целях удаленной идентификации.

4.2. Банкам рекомендуется информировать Банк России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор, а также передаче биометрических персональных данных в целях удаленной идентификации.

4.2.1. Рекомендуется направлять в Банк России сведения о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор, а также передаче биометрических персональных данных в целях удаленной идентификации с использованием технической инфраструктуры (автоматизированной системы) Банка России.

4.2.2. Банкам рекомендуется направлять информацию о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор, а также передаче биометрических персональных данных в целях удаленной идентификации, по формам предоставления, размещенным на официальном сайте Банка России в информационно-телекоммуникационной сети «Интернет».

4.3. Информирование Банка России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор, а также передаче биометрических персональных данных в целях удаленной идентификации рекомендуется осуществлять в максимально короткие сроки, по возможности, не превышающие одного рабочего дня с момента выявления инцидента.

Приказ Минкомсвязи России № 321 от 25.06.2018 "Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации".

9. В дополнение к мерам, предусмотренным пунктом 7 настоящего Порядка, банки должны обеспечивать:

1) информирование Банка России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации (далее - инциденты безопасности, требования по защите информации соответственно), которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации.

Банки осуществляют информирование Банка России о выявленных инцидентах безопасности не позднее одного рабочего дня с момента их выявления.

...

Приложение 2 к Приказу Минкомсвязи России № 321.

6. При размещении и обновлении сведений в единой биометрической системе банки должны осуществлять информирование Банка России о выявленных инцидентах безопасности в соответствии с подпунктом 1 пункта 9 Порядка обработки.

Приложение 3 к Приказу Минкомсвязи России № 321.

5. Банки при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации должны использовать информационные технологии и технические средства, которые соответствуют 2-му уровню защиты информации (стандартный), установленному национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер», утвержденному приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года № 882-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2017).

Положение Банка России № 716-П от 08.04.2020 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе".

1.3. Система управления операционным риском в кредитной организации (головной кредитной организации банковской группы) включает следующие элементы:

...

базу событий;

...

автоматизированную информационную систему, объем и функциональность которой определяется осуществляемыми операциями и (или) действующими процессами кредитной организации (головной кредитной организации банковской группы), обеспечивающую функционирование как в целом системы управления операционным риском, так и отдельных ее элементов (например, базы событий), в том числе сохранность данных и их защиту от искажений;

...

2.1.2. Сбор и регистрация информации о внутренних событиях операционного риска и потерях от его реализации, включающие следующие способы:

автоматизированное выявление информации из информационных систем о реализовавшихся или возможных в будущем событиях операционного риска;

...

2.1.7. Мониторинг операционного риска, включающий следующие способы:

....

мониторинг потоков информации в рамках реализации операционного риска, поступающей от подразделений кредитной организации (головной кредитной организации банковской группы) и центров компетенций, единоличного и коллегиального органов управления кредитной организации (головной кредитной организации банковской группы), из других источников информации.

...

4.1.5. Комплекс мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, включая мероприятия, направленные на предотвращение и (или) снижение вероятности событий операционного риска, и мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска.

...

Мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска, включают:

...

разработку кредитной организацией (головной кредитной организацией банковской группы) планов по обеспечению непрерывности и (или) восстановления критически важных процессов и функционирования информационных систем, включая автоматизированные системы, программные и (или) программно-аппаратные средства, телекоммуникационное оборудование и линии связи, эксплуатация и использование которых обеспечивается кредитной организацией (головной кредитной организацией банковской группы) для осуществления процессов и операций (далее - объекты информационной инфраструктуры), а также планов по обеспечению безопасности и целостности информационных систем и информации, в том числе в соответствии с требованиями главы 8 настоящего Положения, с учетом внешних факторов, влияющих на критически важный процесс и (или) информационную систему, в случае реализации операционного риска, включая систему быстрого реагирования на события операционного риска;

...

7.3. Инциденты, приведшие к фактической реализации риска информационной безопасности, в том числе киберриска, обусловленные источниками риска информационной безопасности, в том числе инциденты, связанные с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных в соответствии с Положением Банка России от 9 июня 2012 года № 382-П ... и Положением Банка России от 17 апреля 2019 года № 683-П ... (далее - инциденты защиты информации), вследствие которых возникли прямые и непрямые потери кредитной организации (головной кредитной организации банковской группы) (далее - событие риска информационной безопасности), фиксируются кредитной организацией (головной кредитной организацией банковской группы) в базе событий с присвоением вида операционного риска...

7.7. Кредитная организация (головная кредитная организация банковской группы) в целях управления риском информационной безопасности определяет во внутренних документах порядок функционирования системы информационной безопасности и обеспечивает его выполнение, в том числе:

...

выявление событий риска информационной безопасности, включая обнаружение компьютерных атак, рассмотрение обращений клиентов, контрагентов, работников и третьих лиц, связанных с нарушением информационной безопасности, выявление и регистрацию инцидентов защиты информации, выявление уязвимостей и фактов компрометации объектов информационной инфраструктуры;

порядок реагирования на выявленные события риска информационной безопасности и восстановления деятельности кредитной организации (головной кредитной организации банковской группы) в случае реализации таких событий, включая порядок взаимодействия кредитной организации (головной кредитной организации банковской группы) с клиентами и третьими лицами, в том числе в случае получения уведомлений об осуществлении переводов денежных средств без согласия клиентов;

обмен информацией о событиях риска информационной безопасности, в том числе об инцидентах защиты информации, и предоставление данных в Банк России в соответствии с требованиями пункта 8 Положения Банка России № 683-П;

...

выполнение требований к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, в соответствии с пунктом 5 Положения Банка России № 683-П;

...

7.9.2. В целях управления риском информационной безопасности:

соблюдение процедур управления операционным риском, установленных в подпунктах 2.1.1, 2.1.2 и 2.1.7 пункта 2.1 настоящего Положения, в части идентификации, сбора и регистрации информации о событиях риска информационной безопасности и потерях в базе событий, мониторинга риска информационной безопасности, в том числе на основе информации, предоставляемой центрами компетенций, ответственными за сбор информации о событиях операционного риска;

ведение базы событий риска информационной безопасности;

...

Положение Банка России № 672-П от 09.01.2019 "О требованиях к защите информации в платежной системе Банка России".

6.1. Документы должны приниматься в рамках следующих процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017:

...

управление инцидентами защиты информации;

...

19.1. Обращения о приостановлении обмена электронными сообщениями в случае выявления инцидента, связанного с несоблюдением требований к защите информации, и обращения об отмене приостановления обмена электронными сообщениями (далее при совместном упоминании - обращения) должны направляться с использованием технической инфраструктуры (автоматизированной системы) Банка России.

Положение Банка России № 684-П от 17.04.2019 "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций".

13. Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны осуществлять регистрацию инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков (далее - инциденты защиты информации), а также представлять сведения о выявленных инцидентах защиты информации должностному лицу (отдельному структурному подразделению), ответственному за управление рисками, при наличии указанного должностного лица (отдельного структурного подразделения) в соответствии с внутренними документами указанных некредитных финансовых организаций при соблюдении следующих требований.

13.1. Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, к инцидентам защиты информации должны относить события, которые привели или могут по оценке указанных некредитных финансовых организаций привести к осуществлению финансовых операций без согласия клиента некредитной финансовой организации, неоказанию услуг, связанных с осуществлением финансовых операций, в том числе события, включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на своем официальном сайте в сети "Интернет" (далее - перечень типов инцидентов).

13.2. По каждому инциденту защиты информации некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны осуществлять регистрацию следующей информации:

защищаемой информации на технологических участках, на которых произошел несанкционированный доступ к защищаемой информации;

результата реагирования на инцидент защиты информации, в том числе совершенных действий по возврату денежных средств, ценных бумаг и иного имущества клиента некредитной финансовой организации.

14. Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать:

хранение информации, указанной в абзацах втором и четвертом пункта 1 настоящего Положения, информации о регистрации данных, указанных в пункте 12 настоящего Положения, и информации об инцидентах защиты информации;

целостность и доступность информации, указанной в абзаце первом настоящего пункта, в течение не менее чем пяти лет с даты ее формирования некредитной финансовой организацией (даты поступления в некредитную финансовую организацию), а в случае если законодательством Российской Федерации, регулирующим деятельность некредитных финансовых организаций, установлен иной срок - на срок, установленный законодательством Российской Федерации, регулирующим деятельность некредитных финансовых организаций.

15. Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны информировать Банк России:

о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов;

о планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайтах в сети "Интернет", в отношении инцидентов защиты информации не позднее одного рабочего дня до дня проведения мероприятия.

Положение Банка России № 683-П от 17.04.2019 "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента".

5.2. Кредитные организации должны обеспечивать регламентацию, реализацию, контроль (мониторинг) технологии обработки защищаемой информации...

5.2.3. Регистрации подлежат данные о действиях работников, выполняемых с использованием автоматизированных систем, программного обеспечения...

5.2.4. Регистрации подлежат данные о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения...

5.2.5. Кредитные организации должны обеспечивать хранение:

...

информации, указанной в подпунктах 5.2.3 и 5.2.4 настоящего пункта, пункте 8 настоящего Положения.

Кредитные организации должны обеспечивать целостность и доступность информации, указанной в настоящем подпункте, не менее пяти лет начиная с даты ее формирования (поступления).

...

8. Кредитные организации к инцидентам, связанным с нарушениями требований к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств (далее - инциденты защиты информации), должны относить события, которые привели или могут привести к осуществлению банковских операций без согласия клиента, неоказанию услуг, связанных с осуществлением банковских операций, в том числе включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на официальном сайте Банка России в сети "Интернет" (далее - перечень типов инцидентов).

Кредитные организации устанавливают во внутренних документах порядок регистрации инцидентов защиты информации и информационного обмена со службой управления рисками, создаваемой в соответствии с пунктом 3.6 Указания Банка России от 15 апреля 2015 года N 3624-У "О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы", зарегистрированного Министерством юстиции Российской Федерации 26 мая 2015 года N 37388, 28 декабря 2015 года N 40325, 7 декабря 2017 года N 49156, 5 сентября 2018 года № 52084. Сведения об инцидентах защиты информации направляются в службу управления рисками в целях включения их в аналитическую базу данных об убытках, понесенных вследствие реализации операционного риска, в порядке, установленном внутренними документами кредитной организации.

Кредитные организации должны обеспечивать регистрацию инцидентов защиты информации.

По каждому инциденту защиты информации кредитные организации должны обеспечивать регистрацию:

защищаемой информации, обрабатываемой на технологическом участке (участках), на котором (которых) произошел несанкционированный доступ к защищаемой информации;

результата реагирования на инцидент защиты информации, в том числе действий по возврату денежных средств или электронных денежных средств.

Кредитные организации должны осуществлять информирование Банка России:

о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов;

о планируемых мероприятиях по раскрытию информации об инцидентах защиты информации, включая размещение информации на официальных сайтах в сети "Интернет", выпуск пресс-релизов и проведение пресс-конференций не позднее одного рабочего дня до дня проведения мероприятия.

...

Постановление Правительства РФ № 584 от 13.06.2012 "Об утверждении Положения о защите информации в платежной системе".

4. Правила платежной системы должны предусматривать в том числе следующие требования к защите информации:

...

ж) выявление инцидентов, связанных с нарушением требований к защите информации, реагирование на них;

...

Положение Банка России № 719-П от 04.06.2020 "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" вступает в силу с 01 января 2022 года, заменяя Положение Банка России № 382-П от 09.06.2012 г.

1.5. Операторы по переводу денежных средств, операторы услуг платежной инфраструктуры в части требований к обеспечению защиты информации при осуществлении переводов денежных средств, применяемых в отношении информирования Банка России об инцидентах (событиях), связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, в том числе включенных в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, и размещаемый Банком России на официальном сайте Банка России в сети «Интернет» (далее соответственно - инциденты защиты информации, перечень типов инцидентов), должны осуществлять информирование Банка России:

о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов;

о планируемых мероприятиях по раскрытию информации об инцидентах защиты информации, включая размещение информации на официальных сайтах в сети «Интернет», выпуск пресс-релизов и проведение пресс-конференций, не позднее одного рабочего дня до дня проведения мероприятия.
...

2.6. Операторы по переводу денежных средств должны установить порядок их информирования привлекаемыми ими банковскими платежными агентами (субагентами), операторами услуг информационного обмена о выявленных инцидентах защиты информации. Операторы по переводу денежных средств по запросу Банка России должны направлять в Банк России сведения об инцидентах защиты информации, полученные от привлекаемых ими банковских платежных агентов (субагентов), операторов услуг информационного обмена.

5.1. Оператор платежной системы в целях реализации пункта 11 части 3 статьи 28 Федерального закона № 161-ФЗ (Собрание законодательства Российской Федерации, 2011, № 27, ст. 3872) в рамках системы управления рисками в платежной системе определяет в правилах платежной системы и иных документах порядок обеспечения защиты информации в платежной системе для операторов по переводу денежных средств, являющихся участниками платежной системы, операторов услуг платежной инфраструктуры с учетом требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - требования к обеспечению защиты информации в платежной системе).

Оператор платежной системы должен определить требования к обеспечению защиты информации в платежной системе в отношении следующих мероприятий: 

...

реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры процессов реагирования на инциденты защиты информации и восстановления штатного функционирования объектов информационной инфраструктуры в случае реализации инцидентов защиты информации;

реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры взаимодействия при обмене информацией об инцидентах защиты информации;

...

5.2. Оператор платежной системы в целях снижения риска информационной безопасности в платежной системе должен реализовывать механизмы совершенствования требований, указанных в пункте 5.4 настоящего Положения, предусматривающие в том числе накопление и учет опыта реагирования на инциденты защиты информации и восстановления функционирования платежной системы после их реализации.

...

5.4. Оператор платежной системы должен обеспечить учет и доступность для операторов по переводу денежных средств, являющихся участниками платежной системы, и операторов услуг платежной инфраструктуры информации:

о выявленных в платежной системе инцидентах защиты информации;

о методиках анализа и реагирования на инциденты защиты информации.

...

Приложение 1 к Положению Банка России № 719-П от 04.06.2020 г.

1. В целях обеспечения защиты информации при совершении операций, связанных с осуществлением переводов денежных средств, банковскими платежными агентами (субагентами), операторами услуг информационного обмена, операторами услуг платежной инфраструктуры могут применяться следующие технологические меры.

...

1.10. Обеспечение хранения защищаемой информации, информации о событиях, подлежащих регистрации, информации об инцидентах защиты информации в течение пяти лет с даты формирования информации в неизменном виде.

...

Положение Банка России № 382-П от 09.06.2012 (в редакции от 07.05.2018) "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", которое действует до 01 января 2022 года, когда вступает в силу новое Положение Банка России № 719-П от 04.06.2020 "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".

Требования:

2.2. Требования к обеспечению защиты информации при осуществлении переводов денежных средств включают в себя:

...

требования к выявлению инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, и реагированию на них;

...

2.13. В состав требований к выявлению инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, и реагирования на них включаются следующие требования.

2.13.1. Оператор платежной системы определяет:

требования к порядку, форме и срокам информирования оператора платежной системы, операторов по переводу денежных средств и операторов услуг платежной инфраструктуры о выявленных в платежной системе инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств; информирование оператора платежной системы о выявленных операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры, привлекаемыми для оказания услуг платежной инфраструктуры в платежной системе, инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, осуществляется ежемесячно;

требования к взаимодействию оператора платежной системы, операторов по переводу денежных средств и операторов услуг платежной инфраструктуры в случае выявления в платежной системе инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств.

Оператор по переводу денежных средств и оператор услуг платежной инфраструктуры обеспечивают выполнение указанных в настоящем подпункте требований.

2.13.2. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают:

применение организационных мер защиты информации и (или) использование технических средств защиты информации, предназначенных для выявления инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств;

информирование службы информационной безопасности, в случае ее наличия, о выявлении инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств;

реагирование на выявленные инциденты, связанные с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств;

анализ причин выявленных инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, проведение оценки результатов реагирования на такие инциденты.

2.13.3. Оператор платежной системы обеспечивает учет и доступность для операторов по переводу денежных средств, являющихся участниками платежной системы, и операторов услуг платежной инфраструктуры, привлекаемых для оказания услуг платежной инфраструктуры в платежной системе, информации:

о выявленных в платежной системе инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств;

о методиках анализа и реагирования на инциденты, связанные с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств.

2.16.2. Информация, направляемая операторами по переводу денежных средств и операторами услуг платежной инфраструктуры, за исключением операционных центров, находящихся за пределами Российской Федерации, оператору платежной системы для целей анализа обеспечения в платежной системе защиты информации при осуществлении переводов денежных средств, включает следующую информацию:

...

о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств;

...

2.18.6. Оператор по переводу денежных средств обеспечивает периодический контроль состояния ТУ ДБО с целью выявления событий, влияющих на обеспечение защиты информации при осуществлении переводов денежных средств. К таким событиям, в том числе, относятся:

несанкционированное внесение изменений в программное обеспечение ТУ ДБО, включая внедрение вредоносного кода;

несанкционированное внесение изменений в аппаратное обеспечение ТУ ДБО (установка несанкционированного оборудования на (в) ТУ ДБО), включая несанкционированное использование коммуникационных портов;

сбои и отказы в работе технических средств защиты информации, устройств приема платежных карт (при наличии данных устройств), устройств приема наличных денежных средств (при наличии данных устройств), устройств выдачи наличных денежных средств (при наличии данных устройств).

В случае выявления событий, указанных в настоящем подпункте, оператор по переводу денежных средств обеспечивает приведение ТУ ДБО в такое состояние, при котором обслуживание клиентов невозможно, до минимизации возможности наступления негативных последствий выявленных событий или устранения несанкционированных изменений в программном и аппаратном обеспечении ТУ ДБО.

ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер".

7.7 Процесс 6 "Управление инцидентами защиты информации"

7.7.1 Подпроцесс "Мониторинг и анализ событий защиты информации"

7.7.1.1 Применяемые финансовой организацией меры по мониторингу и анализу событий защиты информации должны обеспечивать:
- организацию мониторинга данных регистрации о событиях защиты информации, формируемых средствами и системами защиты информации, объектами информатизации, в том числе в соответствии с требованиями к содержанию базового состава мер защиты информации настоящего стандарта;
- сбор, защиту и хранение данных регистрации о событиях защиты информации;
- анализ данных регистрации о событиях защиты информации;
- регистрацию событий защиты информации, связанных с операциями по обработке данных регистрации о событиях защиты информации.

7.7.1.2 Базовый состав мер по организации мониторинга данных регистрации о событиях защиты информации, формируемых объектами информатизации, применительно к уровням защиты информации ...

МАС.1 Организация мониторинга данных регистрации о событиях защиты информации, формируемых техническими мерами, входящими в состав системы защиты информации
МАС.2 Организация мониторинга данных регистрации о событиях защиты информации, формируемых сетевым оборудованием, в том числе активным сетевым оборудованием, маршрутизаторами, коммутаторами
МАС.3 Организация мониторинга данных регистрации о событиях защиты информации, формируемых сетевыми приложениями и сервисами
МАС.4 Организация мониторинга данных регистрации о событиях защиты информации, формируемых системным ПО, операционными системами, СУБД
MAC.5 Организация мониторинга данных регистрации о событиях защиты информации, формируемых АС и приложениями
МАС.6 Организация мониторинга данных регистрации о событиях защиты информации, формируемых контроллерами доменов
MAC.7 Организация мониторинга данных регистрации о событиях защиты информации, формируемых средствами (системами) контроля и управления доступом

7.7.1.3 Базовый состав мер по сбору, защите и хранению данных регистрации о событиях защиты информации применительно к уровням защиты информации ….

MAC.8 Централизованный сбор данных регистрации о событиях защиты информации, формируемых объектами информатизации, определенных мерами МАС.1-MAC.7 таблицы 33
MAC.9 Генерация временных меток для данных регистрации о событиях защиты информации и синхронизации системного времени объектов информатизации, используемых для формирования, сбора и анализа данных регистрации
MAC.10 Контроль формирования данных регистрации о событиях защиты информации объектов информатизации, определенных мерами МАС.1- МAC.7 таблицы 33
MAC.11 Реализация защиты данных регистрации о событиях защиты информации от раскрытия и модификации, двухсторонней аутентификации при передаче данных регистрации с использованием сети Интернет
MAC.12 Обеспечение гарантированной доставки данных регистрации о событиях защиты информации при их централизованном сборе
MAC.13 Резервирование необходимого объема памяти для хранения данных регистрации о событиях защиты информации
MAC.14 Реализация защиты данных регистрации о событиях защиты информации от НСД при их хранении, обеспечение целостности и доступности хранимых данных регистрации
MAC.15 Обеспечение возможности доступа к данным регистрации о событиях защиты информации в течение трех лет
MAC.16 Обеспечение возможности доступа к данным регистрации о событиях защиты информации в течение пяти лет

7.7.1.4 Базовый состав мер по анализу данных регистрации о событиях защиты информации применительно к уровням защиты информации ….

MAC.17 Обеспечение возможности выполнения операции нормализации (приведения к единому формату), фильтрации, агрегации и классификации данных регистрации о событиях защиты информации
MAC.18 Обеспечение возможности выявления и анализа событий защиты информации, потенциально связанных с инцидентами защиты информации, в том числе НСД*
MAC.19 Обеспечение возможности определения состава действий и (или) операций конкретного субъекта доступа
МАС.20 Обеспечение возможности определения состава действий и (или) операций субъектов доступа при осуществлении логического доступа к конкретному ресурсу доступа

7.7.1.5 Базовый состав мер по регистрации событий защиты информации, связанных с операциями по обработке данных регистрации о событиях защиты информации, применительно к уровням защиты информации...

МАС.21 Регистрация нарушений и сбоев в формировании и сборе данных о событиях защиты информации
МАС.22 Регистрация доступа к хранимым данным о событиях защиты информации
МАС.23 Регистрация операций, связанных с изменением правил нормализации (приведения к единому формату), фильтрации, агрегации и классификации данных регистрации о событиях защиты информации

7.7.2 Подпроцесс "Обнаружение инцидентов защиты информации и реагирование на них"

7.7.2.1 Применяемые финансовой организацией меры по обнаружению инцидентов защиты информации и реагирование на них должны обеспечивать:
- обнаружение и регистрацию инцидентов защиты информации;
- организацию реагирования на инциденты защиты информации;
- организацию хранения и защиту информации об инцидентах защиты информации;
- регистрацию событий защиты информации, связанных с результатами обнаружения инцидентов защиты информации и реагирования на них.

7.7.2.2 Базовый состав мер по обнаружению и регистрации инцидентов защиты информации применительно к уровням защиты информации ...

РИ.1 Регистрация информации о событиях защиты информации, потенциально связанных с инцидентами защиты информации, в том числе НСД, выявленными в рамках мониторинга и анализа событий защиты информации
РИ.2 Регистрация информации, потенциально связанной с инцидентами защиты информации, в том числе НСД, полученной от работников, клиентов и (или) контрагентов финансовой организации
РИ.3 Классификация инцидентов защиты информации с учетом степени их влияния (критичности) на предоставление финансовых услуг, реализацию бизнес-процессов и (или) технологических процессов финансовой организации
РИ.4 Установление и применение единых правил получения от работников, клиентов и (или) контрагентов финансовой организации информации, потенциально связанной с инцидентами защиты информации
РИ.5 Установление и применение единых правил регистрации и классификации инцидентов защиты информации в части состава и содержания атрибутов, описывающих инцидент защиты информации, и их возможных значений

7.7.2.3 Базовый состав мер по организации реагирования на инциденты защиты информации применительно к уровням защиты информации ...

РИ.6 Установление и применение единых правил реагирования на инциденты защиты информации

РИ.10 Своевременное (оперативное) оповещение членов ГРИЗИ о выявленных инцидентах защиты информации
РИ.11 Предоставление членам ГРИЗИ прав логического и физического доступа и административных полномочий, необходимых для проведения реагирования на инциденты защиты информации
РИ.12 Проведение реагирования на каждый обнаруженный инцидент защиты информации, включающего:
- анализ инцидента;
- определение источников и причин возникновения инцидента;
- оценку последствий инцидента на предоставление финансовых услуг, реализацию бизнес-процессов или технологических процессов финансовой организации;
- принятие мер по устранению последствий инцидента;
- планирование и принятие мер по предотвращению повторного возникновения инцидента
РИ.13 Установление и применение единых правил сбора, фиксации и распространения информации об инцидентах защиты информации
РИ.14 Установление и применение единых правил закрытия инцидентов защиты информации

7.7.2.4 Базовый состав мер по организации хранения и защите информации об инцидентах защиты информации применительно к уровням защиты информации ...

РИ.15 Реализация защиты информации об инцидентах защиты информации от НСД, обеспечение целостности и доступности указанной информации
РИ.16 Разграничение доступа членов ГРИЗИ к информации об инцидентах защиты информации в соответствии с определенным распределением ролей, связанных с реагированием на инциденты защиты информации
РИ.17 Обеспечение возможности доступа к информации об инцидентах защиты информации в течение трех лет
РИ.18 Обеспечение возможности доступа к информации об инцидентах защиты информации в течение пяти лет

7.7.2.5 Базовый состав мер по регистрации событий защиты информации, связанных с результатами обнаружения инцидентов защиты информации и реагирования на них, применительно к уровням защиты информации ...

РИ.19 Регистрация доступа к информации об инцидентах защиты информации

SOAR IRP 382-п Финансы в ИБ

Рекомендуем

Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Security Vision 5.0: швейцарский нож в информационной безопасности
Security Vision 5.0: швейцарский нож в информационной безопасности
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Особенности обеспечения безопасности в платежных процессах за счет технологии
Особенности обеспечения безопасности в платежных процессах за счет технологии
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Нормативные документы по ИБ. Часть 15. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 15. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Обзор Security Vision 3.4 — российской платформы SGRC
Обзор Security Vision 3.4 — российской платформы SGRC
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
ГОСТ Р 57580. От тенденций к действенной автоматизации
ГОСТ Р 57580. От тенденций к действенной автоматизации

Рекомендуем

Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)
Security Vision 5.0: швейцарский нож в информационной безопасности
Security Vision 5.0: швейцарский нож в информационной безопасности
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Нормативные документы по ИБ. Часть 1. Стандарты ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Особенности обеспечения безопасности в платежных процессах за счет технологии
Особенности обеспечения безопасности в платежных процессах за счет технологии
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Нормативные документы по ИБ. Часть 15. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Нормативные документы по ИБ. Часть 15. Обзор российского законодательства в области ИБ финансовых организаций - продолжение
Обзор Security Vision 3.4 — российской платформы SGRC
Обзор Security Vision 3.4 — российской платформы SGRC
Средства обеспечения информационной безопасности – виды и описание
Средства обеспечения информационной безопасности – виды и описание
ГОСТ Р 57580. От тенденций к действенной автоматизации
ГОСТ Р 57580. От тенденций к действенной автоматизации

Похожие статьи

Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Защита веб-приложений: WAF
Защита веб-приложений: WAF
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных

Похожие статьи

Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Нормативные документы по ИБ. Часть 12. Обзор российского законодательства в области информационной безопасности финансовых организаций
Защита веб-приложений: WAF
Защита веб-приложений: WAF
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Расширение защиты в NGFW и UTM
Расширение защиты в NGFW и UTM
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Обзор публикации NIST SP 800-61 "Computer Security Incident Handling Guide". Часть 2
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных
Нормативные документы по ИБ. Часть 4. Обзор российского и международного законодательства в области защиты персональных данных