# ВСА 1-13
## ВСА.1 (Н-Н-Т)
> Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным несанкционированным информационным взаимодействием между сегментами контуров безопасности и иными внутренними вычислительными сетями финансовой организации.
>
> Уровень защиты информации 3-Н, 2-Н, 1-Т.
Пояснение
#### Реализация - Т
Использование системы обнаружения и предотвращения вторжений (IDS/IPS) Vipnet IDS, Континент СОВ или системы обнаружения аномалий (ADS).
Запрет доступа к определенным ресурсам внутренней сети или портам сегментов сети (настройки на коммутаторах уровня агрегации (распределения) и уровня доступа).
Настройка фильтрация трафика между зонами сети на межсетевом экране.
Проведения анализа внутреннего сетевого трафика. SolarWinds Real-Time NetFlow Traffic Analyzer, PT NAD.
Сбор событий в SIEM.
#### Проверочные процедуры (свидетельства)
Демонстрация (скриншоты) настроек (логи сетевого оборудования, МЭ).
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## ВСА.2 (Н-Т-Т)
> Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным несанкционированным информационным взаимодействием между вычислительными сетями финансовой организации и сетью Интернет.
>
> Уровень защиты информации 3-Н, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
Использование системы обнаружения и предотвращения вторжений (IDS/IPS) Vipnet IDS, Континет СОВ или системы обнаружения аномалий (ADS) PT NAD.
Запрет доступа к портам сегментов сети (настройки на коммутаторах уровня ядра).
Настройка фильтрация трафика между зонами сети и сетью Интернет на межсетевом экране.
Сбор событий в SIEM.
#### Проверочные процедуры (свидетельства)
Демонстрация (скриншоты) настроек (логи сетевого оборудования, МЭ).
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## ВСА.3 (Н-Н-Т)
> Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным несанкционированным информационным взаимодействием между сегментами, предназначенными для размещения общедоступных объектов доступа (в том числе банкоматов, платежных терминалов), и сетью Интернет.
>
> Уровень защиты информации 3-Н, 2-Н, 1-Т.
Пояснение
#### Реализация - Т
Использование системы обнаружения и предотвращения вторжений (IDS/IPS) Vipnet IDS, Континент СОВ или системы обнаружения аномалий (ADS).
Настройка фильтрация трафика между зонами сети и сетью Интернет на межсетевом экране, настройка разрешений только необходимых сетевых протоколов и портов.
Создания выделенного сегмента сети (DMZ зона) для размещения общедоступных объектов доступа.
Проведения анализа внутреннего сетевого трафика. SolarWinds Real-Time NetFlow Traffic Analyzer, PT NAD.
Сбор событий в SIEM.
#### Проверочные процедуры (свидетельства)
Демонстрация (скриншоты) настроек (логи сетевого оборудования, МЭ).
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## ВСА.4 (Н-Т-Т)
> Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным несанкционированным логическим доступом к ресурсам доступа, размещенным в вычислительных сетях финансовой организации, подключенных к сети Интернет.
>
> Уровень защиты информации 3-Н, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
Использование системы обнаружения и предотвращения вторжений (IDS/IPS) Vipnet IDS, Континент СОВ или системы обнаружения аномалий (ADS).
Настройка фильтрация трафика между зонами сети и сетью Интернет на межсетевом экране, настройка разрешений только необходимых сетевых протоколов и портов.
Создания выделенных сегментов сети с различными уровнями доступа.
Проведения анализа внутреннего сетевого трафика. SolarWinds Real-Time NetFlow Traffic Analyzer, PT NAD.
Сбор событий в SIEM.
#### Проверочные процедуры (свидетельства)
Для процедур.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## ВСА.5 (Н-Т-Т)
> Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным несанкционированным удаленным доступом.
>
> Уровень защиты информации 3-Н, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
Использование системы обнаружения и предотвращения вторжений (IDS/IPS) Vipnet IDS, Континент СОВ или системы обнаружения аномалий (ADS).
Настройка фильтрация трафика между зонами сети и сетью Интернет на межсетевом экране, настройка разрешений только необходимых сетевых протоколов и портов.
Создания выделенных сегментов сети с различными уровнями доступа.
Настройка VPN шифрования для подключения удаленных сотрудников.
Проведения анализа внутреннего сетевого трафика. SolarWinds Real-Time NetFlow Traffic Analyzer, PT NAD.
Сбор событий в SIEM.
#### Проверочные процедуры (свидетельства)
Для процедур
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## ВСА.6 (Н-Н-Т)
> Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным несанкционированным логическим доступом к ресурсам доступа, размещенным во внутренних вычислительных сетях финансовой организации.
>
> Уровень защиты информации 3-Н, 2-Н, 1-Т.
Пояснение
#### Реализация - Т
Использование системы обнаружения и предотвращения вторжений (IDS/IPS) Vipnet IDS, Континент СОВ или системы обнаружения аномалий (ADS) PT NAD.
Запрет доступа к определенным ресурсам внутренней сети или портам сегментов сети (настройки на коммутаторах уровня доступа).
Настройка фильтрация трафика между зонами сети на межсетевом экране.
Проведения анализа внутреннего сетевого трафика. SolarWinds Real-Time NetFlow Traffic Analyzer, PT NAD.
Сбор событий в SIEM.
#### Проверочные процедуры (свидетельства)
Для процедур
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## ВСА.7 (Н-Н-Т)
> Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным несанкционированным доступом к аутентификационным данным легальных субъектов доступа.
>
> Уровень защиты информации 3-Н, 2-Н, 1-Т.
Пояснение
"Контроль выявления аномальных запросов в сети, которые прямо или косвенно связаны с попытками несанкционированной аутентификации при краже паролек/токенов или их переборе ранее, когда у злодея уже есть данные для авторизации", Выявление подобных аномалий:
1. Ранее наличие брутфорса паролей для одного идентификатора (логина).
2. Неожиданные данные при аутентификации: страна вне контура РФ, useragent нелегитимного ПО, неожиданный fingerprint нового (недоверенного) устройства при использовании данной технологии и т.п.
3. Спам или большое число запросов от аутентифицированного пользователя.
4. Неожиданные запросы от аутентифицированного пользователя - попытки эксплуатации уязвимостей, попытки выведения денежных средств и т.п.5.
5. При наличии honeypot - обращения к honeypot-узлу со скомпрометированными данными.
#### Реализация - Т
Использование многофакторной аутентификации.
Установить строгие права доступа (наименьшие привилегии) к необходимым ресурсам.
Использование системы обнаружения и предотвращения вторжений (IDS/IPS) Vipnet IDS, Континент СОВ или системы обнаружения аномалий (ADS).
Сбор событий в SIEM.
#### Проверочные процедуры (свидетельства)
Для процедур
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## ВСА.8 (Н-Т-Т)
> Контроль отсутствия (выявление) аномальной сетевой активности, связанной с возможным осуществлением атак типа «отказ в обслуживании», предпринимаемых в отношении ресурсов доступа, размещенных в вычислительных сетях финансовой организации, подключенных к сети Интернет.
>
> Уровень защиты информации 3-Н, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
Использование системы обнаружения и предотвращения вторжений (IDS/IPS) Vipnet IDS, Континент СОВ, С-Терра, модуль обнаружения атак в UserGate.
Проведения анализа сетевого трафика. SolarWinds Real-Time NetFlow Traffic Analyzer.
Использование межсетевого экрана уровня веб-приложений PTAF.
Сбор событий в SIEM.
#### Проверочные процедуры (свидетельства)
Демонстрация (скриншоты) настроек (логи сетевого оборудования).
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## ВСА.9 (Н-Т-Т)
> Блокирование атак типа «отказ в обслуживании» в масштабе времени, близком к реальному.
>
> Уровень защиты информации 3-Н, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
Secret Net Studio 8.5 – временное блокировка атакующего хоста.
Astra Linux - реализуется мандатным контролем целостности, ограничением замкнутой программной среды, настройкой режима «киоск», ограничением пользователей по использованию вычислительных ресурсов. Использование системы обнаружения и предотвращения вторжений (IDS/IPS) Vipnet IDS, Континент СОВ, С-Терра, модуль обнаружения атак в UserGate.
Проведения анализа сетевого трафика. SolarWinds Real-Time NetFlow Traffic Analyzer.
Использование межсетевого экрана уровня веб-приложений PTAF.
Сбор событий в SIEM.
#### Проверочные процедуры (свидетельства)
Демонстрация (скриншоты) настроек.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## ВСА.10 (Т-Т-Т)
> Контроль и обеспечение возможности блокировки нежелательных сообщений электронной почты (SPAM).
>
> Уровень защиты информации 3-Т, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
Антиспам- решения:
Kaspersky , Dr.Web Mail Security Suite Anti-Spam\
МЭ: UserGate модуль антивирусной̆ защиты позволяет осуществлять проверку транзитного почтового трафика на предмет наличия в нем вирусов и спам-сообщений.
#### Проверочные процедуры (свидетельства)
Демонстрация (скриншоты) настроек.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## ВСА.11 (Н-Т-Т)
> Реализация контроля, предусмотренного мерами ВСА.1 — ВСА.9 настоящей таблицы, путем сканирования и анализа сетевого трафика между группами сегментов вычислительных сетей финансовой организации, входящих в разные контуры безопасности.
>
> Уровень защиты информации 3-Н, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
Проведения анализа сетевого трафика. SolarWinds Real-Time NetFlow Traffic Analyzer, PT NAD.
Настройка фильтрация трафика между зонами сети.
Сбор событий в SIEM.
#### Проверочные процедуры (свидетельства)
Демонстрация (скриншоты) настроекю
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## ВСА.12 (Н-Н-Т)
> Реализация контроля, предусмотренного мерами ВСА.1 — ВСА.9 настоящей таблицы, путем сканирования и анализа сетевого трафика в пределах сегмента контура безопасности.
>
> Уровень защиты информации 3-Н, 2-Н, 1-Т.
Пояснение
#### Реализация - Т
Проведения анализа сетевого трафика. SolarWinds Real - Time NetFlow Traffic Analyzer, PT NAD.
Сбор событий в SIEM.
#### Проверочные процедуры (свидетельства)
Демонстрация (скриншоты) настроек.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.
## ВСА.13 (Н-Т-Т)
> Реализация контроля, предусмотренного мерами ВСА.1 — ВСА.9 настоящей таблицы, путем сканирования и анализа сетевого трафика между вычислительными сетями финансовой организации и сетью Интернет.
>
> Уровень защиты информации 3-Н, 2-Т, 1-Т.
Пояснение
#### Реализация - Т
Проведения анализа сетевого трафика. SolarWinds Real-Time NetFlow Traffic Analyzer, PT NAD.
Настройка фильтрация трафика между зонами сети и сетью Интернет на межсетевом экране.
Использование межсетевого экрана уровня веб-приложений PTAF.
Сбор событий в SIEM.
#### Проверочные процедуры (свидетельства)
Демонстрация (скриншоты) настроек.
#### Типичные недостатки
Не выявлены.
#### Компенсационные меры
Не выявлены.
#### Выявленные коллизии
Не выявлены.