LogoLogo
  • О Wiki
  • Определения
    • Определения ГОСТ 57580
    • Определения ГОСТ 50922
    • Определения СТО БР
    • Определения Иные
  • Процессы
    • 1-П. Обеспечение защиты информации при управлении доступом
      • УЗП - Управление учетными записями и правами субъектов логического доступа
        • УЗП 1-4
        • УЗП 5-21
        • УЗП 22-29
      • РД - Идентификация, аутентификация, авторизация (разгранич. доступа) при осуществлении лог. доступа
        • РД 1-16
        • РД 17-29
        • РД 30-38
        • РД 39-44
      • ФД - Защита информации при осуществлении физического доступа
        • ФД 1-16
        • ФД 17-20
        • ФД 21
      • ИУ - Идентификация и учет ресурсов и объектов доступа
        • ИУ 1-6
        • ИУ 7-8
    • 2-П. Обеспечение защиты вычислительных сетей
      • СМЭ - Сегментация и межсетевое экранирование вычислительных сетей
        • СМЭ 1-13
        • СМЭ 14-20
        • СМЭ 21
      • ВСА - Выявление вторжений и сетевых атак
        • ВСА 1-13
        • ВСА 14
      • ЗВС - Защита информации, передаваемой по вычислительным сетям
        • ЗВС 1-2
      • ЗБС - Защита беспроводных сетей
        • ЗБС 1-2
        • ЗБС 3-8
        • ЗБС 9-10
    • 3-П. ЦЗИ - Контроль целостности и защищенности информационной инфраструктуры
      • ЦЗИ 1-11
      • ЦЗИ 12-19
      • ЦЗИ 20-26
      • ЦЗИ 27-36
    • 4-П. ЗВК - Защита от вредоносного кода
      • ЗВК 1-7
      • ЗВК 8-21
      • ЗВК 22-28
    • 5-П. ПУИ - Предотвращение утечек информации
      • ПУИ 1-4
      • ПУИ 5-19
      • ПУИ 20-27
      • ПУИ 28-33
    • 6-П. Управление инцидентами защиты информации
      • МАС - Мониторинг и анализ событий защиты информации
        • МАС 1-7
        • МАС 8-16
        • МАС 17-20
        • МАС 21-23
      • РИ - Обнаружение инцидентов защиты информации и реагирование на них
        • РИ 1-5
        • РИ 6-14
        • РИ 15-18
        • РИ 19
    • 7-П. ЗСВ - Защита среды виртуализации
      • ЗСВ 1-12
      • ЗСВ 13-31
      • ЗСВ 32-43
    • 8-П. ЗУД - Защита информации при осуществлении удаленного логического доступа с использованием моб
      • ЗУД 1-4
      • ЗУД 5-9
      • ЗУД 10-12
  • Направления
    • 1-Н. ПЗИ - Планирование процесса системы защиты информации
      • ПЗИ 1 - 5
    • 2-Н. РЗИ - Реализация процесса системы защиты информации
      • РЗИ 1-4
      • РЗИ 5-10
      • РЗИ 11-16
    • 3-Н. КЗИ - Контроль процесса системы защиты информации
      • КЗИ 1 - 8
      • КЗИ 9 - 12
    • 4-Н. СЗИ - Совершенствование процесса системы защиты информации
      • СЗИ 1 - 4
  • Требования
    • ЖЦ - Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложени
      • ЖЦ 1 -11
      • ЖЦ 12 -14
      • ЖЦ 15 - 25
      • ЖЦ 26 - 28
  • Приложения
    • Б. Состав и содержание организационных мер, связанных с обработкой финансовой организацией ПДн
    • В. Перечень событий защиты информации
Powered by GitBook
On this page
  • ВСА.1 (Н-Н-Т)
  • ВСА.2 (Н-Т-Т)
  • ВСА.3 (Н-Н-Т)
  • ВСА.4 (Н-Т-Т)
  • ВСА.5 (Н-Т-Т)
  • ВСА.6 (Н-Н-Т)
  • ВСА.7 (Н-Н-Т)
  • ВСА.8 (Н-Т-Т)
  • ВСА.9 (Н-Т-Т)
  • ВСА.10 (Т-Т-Т)
  • ВСА.11 (Н-Т-Т)
  • ВСА.12 (Н-Н-Т)
  • ВСА.13 (Н-Т-Т)
  1. Процессы
  2. 2-П. Обеспечение защиты вычислительных сетей
  3. ВСА - Выявление вторжений и сетевых атак

ВСА 1-13

Базовый состав мер по мониторингу и контролю содержимого сетевого трафика применительно к уровням защиты информации

ВСА.1 (Н-Н-Т)

Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным несанкционированным информационным взаимодействием между сегментами контуров безопасности и иными внутренними вычислительными сетями финансовой организации.

Уровень защиты информации 3-Н, 2-Н, 1-Т.

Пояснение

Реализация - Т

Использование системы обнаружения и предотвращения вторжений (IDS/IPS) Vipnet IDS, Континент СОВ или системы обнаружения аномалий (ADS).

Запрет доступа к определенным ресурсам внутренней сети или портам сегментов сети (настройки на коммутаторах уровня агрегации (распределения) и уровня доступа).

Настройка фильтрация трафика между зонами сети на межсетевом экране.

Проведения анализа внутреннего сетевого трафика. SolarWinds Real-Time NetFlow Traffic Analyzer, PT NAD.

Сбор событий в SIEM.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек (логи сетевого оборудования, МЭ).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ВСА.2 (Н-Т-Т)

Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным несанкционированным информационным взаимодействием между вычислительными сетями финансовой организации и сетью Интернет.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Реализация - Т

Использование системы обнаружения и предотвращения вторжений (IDS/IPS) Vipnet IDS, Континет СОВ или системы обнаружения аномалий (ADS) PT NAD.

Запрет доступа к портам сегментов сети (настройки на коммутаторах уровня ядра).

Настройка фильтрация трафика между зонами сети и сетью Интернет на межсетевом экране.

Сбор событий в SIEM.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек (логи сетевого оборудования, МЭ).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ВСА.3 (Н-Н-Т)

Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным несанкционированным информационным взаимодействием между сегментами, предназначенными для размещения общедоступных объектов доступа (в том числе банкоматов, платежных терминалов), и сетью Интернет.

Уровень защиты информации 3-Н, 2-Н, 1-Т.

Пояснение

Реализация - Т

Использование системы обнаружения и предотвращения вторжений (IDS/IPS) Vipnet IDS, Континент СОВ или системы обнаружения аномалий (ADS).

Настройка фильтрация трафика между зонами сети и сетью Интернет на межсетевом экране, настройка разрешений только необходимых сетевых протоколов и портов.

Создания выделенного сегмента сети (DMZ зона) для размещения общедоступных объектов доступа.

Проведения анализа внутреннего сетевого трафика. SolarWinds Real-Time NetFlow Traffic Analyzer, PT NAD.

Сбор событий в SIEM.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек (логи сетевого оборудования, МЭ).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ВСА.4 (Н-Т-Т)

Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным несанкционированным логическим доступом к ресурсам доступа, размещенным в вычислительных сетях финансовой организации, подключенных к сети Интернет.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Реализация - Т

Использование системы обнаружения и предотвращения вторжений (IDS/IPS) Vipnet IDS, Континент СОВ или системы обнаружения аномалий (ADS).

Настройка фильтрация трафика между зонами сети и сетью Интернет на межсетевом экране, настройка разрешений только необходимых сетевых протоколов и портов.

Создания выделенных сегментов сети с различными уровнями доступа.

Проведения анализа внутреннего сетевого трафика. SolarWinds Real-Time NetFlow Traffic Analyzer, PT NAD.

Сбор событий в SIEM.

Проверочные процедуры (свидетельства)

Для процедур.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ВСА.5 (Н-Т-Т)

Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным несанкционированным удаленным доступом.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Реализация - Т

Использование системы обнаружения и предотвращения вторжений (IDS/IPS) Vipnet IDS, Континент СОВ или системы обнаружения аномалий (ADS).

Настройка фильтрация трафика между зонами сети и сетью Интернет на межсетевом экране, настройка разрешений только необходимых сетевых протоколов и портов.

Создания выделенных сегментов сети с различными уровнями доступа.

Настройка VPN шифрования для подключения удаленных сотрудников.

Проведения анализа внутреннего сетевого трафика. SolarWinds Real-Time NetFlow Traffic Analyzer, PT NAD.

Сбор событий в SIEM.

Проверочные процедуры (свидетельства)

Для процедур

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ВСА.6 (Н-Н-Т)

Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным несанкционированным логическим доступом к ресурсам доступа, размещенным во внутренних вычислительных сетях финансовой организации.

Уровень защиты информации 3-Н, 2-Н, 1-Т.

Пояснение

Реализация - Т

Использование системы обнаружения и предотвращения вторжений (IDS/IPS) Vipnet IDS, Континент СОВ или системы обнаружения аномалий (ADS) PT NAD.

Запрет доступа к определенным ресурсам внутренней сети или портам сегментов сети (настройки на коммутаторах уровня доступа).

Настройка фильтрация трафика между зонами сети на межсетевом экране.

Проведения анализа внутреннего сетевого трафика. SolarWinds Real-Time NetFlow Traffic Analyzer, PT NAD.

Сбор событий в SIEM.

Проверочные процедуры (свидетельства)

Для процедур

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ВСА.7 (Н-Н-Т)

Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным несанкционированным доступом к аутентификационным данным легальных субъектов доступа.

Уровень защиты информации 3-Н, 2-Н, 1-Т.

Пояснение

"Контроль выявления аномальных запросов в сети, которые прямо или косвенно связаны с попытками несанкционированной аутентификации при краже паролек/токенов или их переборе ранее, когда у злодея уже есть данные для авторизации", Выявление подобных аномалий:

  1. Ранее наличие брутфорса паролей для одного идентификатора (логина).

  2. Неожиданные данные при аутентификации: страна вне контура РФ, useragent нелегитимного ПО, неожиданный fingerprint нового (недоверенного) устройства при использовании данной технологии и т.п.

  3. Спам или большое число запросов от аутентифицированного пользователя.

  4. Неожиданные запросы от аутентифицированного пользователя - попытки эксплуатации уязвимостей, попытки выведения денежных средств и т.п.5.

  5. При наличии honeypot - обращения к honeypot-узлу со скомпрометированными данными.

Реализация - Т

Использование многофакторной аутентификации.

Установить строгие права доступа (наименьшие привилегии) к необходимым ресурсам.

Использование системы обнаружения и предотвращения вторжений (IDS/IPS) Vipnet IDS, Континент СОВ или системы обнаружения аномалий (ADS).

Сбор событий в SIEM.

Проверочные процедуры (свидетельства)

Для процедур

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ВСА.8 (Н-Т-Т)

Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным осуществлением атак типа «отказ в обслуживании», предпринимаемых в отношении ресурсов доступа, размещенных в вычислительных сетях финансовой организации, подключенных к сети Интернет.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Реализация - Т

Использование системы обнаружения и предотвращения вторжений (IDS/IPS) Vipnet IDS, Континент СОВ, С-Терра, модуль обнаружения атак в UserGate.

Проведения анализа сетевого трафика. SolarWinds Real-Time NetFlow Traffic Analyzer.

Использование межсетевого экрана уровня веб-приложений PTAF.

Сбор событий в SIEM.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек (логи сетевого оборудования).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ВСА.9 (Н-Т-Т)

Блокирование атак типа «отказ в обслуживании» в масштабе времени, близком к реальному.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Реализация - Т

Secret Net Studio 8.5 – временное блокировка атакующего хоста.

Astra Linux - реализуется мандатным контролем целостности, ограничением замкнутой программной среды, настройкой режима «киоск», ограничением пользователей по использованию вычислительных ресурсов. Использование системы обнаружения и предотвращения вторжений (IDS/IPS) Vipnet IDS, Континент СОВ, С-Терра, модуль обнаружения атак в UserGate.

Проведения анализа сетевого трафика. SolarWinds Real-Time NetFlow Traffic Analyzer.

Использование межсетевого экрана уровня веб-приложений PTAF.

Сбор событий в SIEM.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ВСА.10 (Т-Т-Т)

Контроль и обеспечение возможности блокировки нежелательных сообщений электронной почты (SPAM).

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Реализация - Т

Антиспам- решения:

Kaspersky , Dr.Web Mail Security Suite Anti-Spam МЭ: UserGate модуль антивирусной̆ защиты позволяет осуществлять проверку транзитного почтового трафика на предмет наличия в нем вирусов и спам-сообщений.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ВСА.11 (Н-Т-Т)

Реализация контроля, предусмотренного мерами ВСА.1 — ВСА.9 настоящей таблицы, путем сканирования и анализа сетевого трафика между группами сегментов вычислительных сетей финансовой организации, входящих в разные контуры безопасности.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Реализация - Т

Проведения анализа сетевого трафика. SolarWinds Real-Time NetFlow Traffic Analyzer, PT NAD.

Настройка фильтрация трафика между зонами сети.

Сбор событий в SIEM.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроекю

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ВСА.12 (Н-Н-Т)

Реализация контроля, предусмотренного мерами ВСА.1 — ВСА.9 настоящей таблицы, путем сканирования и анализа сетевого трафика в пределах сегмента контура безопасности.

Уровень защиты информации 3-Н, 2-Н, 1-Т.

Пояснение

Реализация - Т

Проведения анализа сетевого трафика. SolarWinds Real - Time NetFlow Traffic Analyzer, PT NAD.

Сбор событий в SIEM.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

ВСА.13 (Н-Т-Т)

Реализация контроля, предусмотренного мерами ВСА.1 — ВСА.9 настоящей таблицы, путем сканирования и анализа сетевого трафика между вычислительными сетями финансовой организации и сетью Интернет.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Реализация - Т

Проведения анализа сетевого трафика. SolarWinds Real-Time NetFlow Traffic Analyzer, PT NAD.

Настройка фильтрация трафика между зонами сети и сетью Интернет на межсетевом экране.

Использование межсетевого экрана уровня веб-приложений PTAF.

Сбор событий в SIEM.

Проверочные процедуры (свидетельства)

Демонстрация (скриншоты) настроек.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

PreviousВСА - Выявление вторжений и сетевых атакNextВСА 14

Last updated 12 months ago