LogoLogo
  • О Wiki
  • Определения
    • Определения ГОСТ 57580
    • Определения ГОСТ 50922
    • Определения СТО БР
    • Определения Иные
  • Процессы
    • 1-П. Обеспечение защиты информации при управлении доступом
      • УЗП - Управление учетными записями и правами субъектов логического доступа
        • УЗП 1-4
        • УЗП 5-21
        • УЗП 22-29
      • РД - Идентификация, аутентификация, авторизация (разгранич. доступа) при осуществлении лог. доступа
        • РД 1-16
        • РД 17-29
        • РД 30-38
        • РД 39-44
      • ФД - Защита информации при осуществлении физического доступа
        • ФД 1-16
        • ФД 17-20
        • ФД 21
      • ИУ - Идентификация и учет ресурсов и объектов доступа
        • ИУ 1-6
        • ИУ 7-8
    • 2-П. Обеспечение защиты вычислительных сетей
      • СМЭ - Сегментация и межсетевое экранирование вычислительных сетей
        • СМЭ 1-13
        • СМЭ 14-20
        • СМЭ 21
      • ВСА - Выявление вторжений и сетевых атак
        • ВСА 1-13
        • ВСА 14
      • ЗВС - Защита информации, передаваемой по вычислительным сетям
        • ЗВС 1-2
      • ЗБС - Защита беспроводных сетей
        • ЗБС 1-2
        • ЗБС 3-8
        • ЗБС 9-10
    • 3-П. ЦЗИ - Контроль целостности и защищенности информационной инфраструктуры
      • ЦЗИ 1-11
      • ЦЗИ 12-19
      • ЦЗИ 20-26
      • ЦЗИ 27-36
    • 4-П. ЗВК - Защита от вредоносного кода
      • ЗВК 1-7
      • ЗВК 8-21
      • ЗВК 22-28
    • 5-П. ПУИ - Предотвращение утечек информации
      • ПУИ 1-4
      • ПУИ 5-19
      • ПУИ 20-27
      • ПУИ 28-33
    • 6-П. Управление инцидентами защиты информации
      • МАС - Мониторинг и анализ событий защиты информации
        • МАС 1-7
        • МАС 8-16
        • МАС 17-20
        • МАС 21-23
      • РИ - Обнаружение инцидентов защиты информации и реагирование на них
        • РИ 1-5
        • РИ 6-14
        • РИ 15-18
        • РИ 19
    • 7-П. ЗСВ - Защита среды виртуализации
      • ЗСВ 1-12
      • ЗСВ 13-31
      • ЗСВ 32-43
    • 8-П. ЗУД - Защита информации при осуществлении удаленного логического доступа с использованием моб
      • ЗУД 1-4
      • ЗУД 5-9
      • ЗУД 10-12
  • Направления
    • 1-Н. ПЗИ - Планирование процесса системы защиты информации
      • ПЗИ 1 - 5
    • 2-Н. РЗИ - Реализация процесса системы защиты информации
      • РЗИ 1-4
      • РЗИ 5-10
      • РЗИ 11-16
    • 3-Н. КЗИ - Контроль процесса системы защиты информации
      • КЗИ 1 - 8
      • КЗИ 9 - 12
    • 4-Н. СЗИ - Совершенствование процесса системы защиты информации
      • СЗИ 1 - 4
  • Требования
    • ЖЦ - Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложени
      • ЖЦ 1 -11
      • ЖЦ 12 -14
      • ЖЦ 15 - 25
      • ЖЦ 26 - 28
  • Приложения
    • Б. Состав и содержание организационных мер, связанных с обработкой финансовой организацией ПДн
    • В. Перечень событий защиты информации
Powered by GitBook
On this page
  • РИ.1 (О-Т-Т)
  • РИ.2 (О-Т-Т)
  • РИ.3 (О-О-Т)
  • РИ.4 (О-О-О)
  • РИ.5 (О-Т-Т)
  1. Процессы
  2. 6-П. Управление инцидентами защиты информации
  3. РИ - Обнаружение инцидентов защиты информации и реагирование на них

РИ 1-5

Базовый состав мер по обнаружению и регистрации инцидентов защиты информации применительно к уровням защиты информации

РИ.1 (О-Т-Т)

Регистрация информации о событиях защиты информации, потенциально связанных с инцидентами защиты информации, в том числе НСД, выявленными в рамках мониторинга и анализа событий защиты информации.

Уровень защиты информации 3-О, 2-Т, 1-Т.

Пояснение

Реализация - Т

Регистрация информации о событиях защиты информации, потенциально связанных с инцидентами защиты информации, в том числе НСД, может достигаться за счет использования SIEM-системы или встроенных журналов событий средств мониторинга и технических средств защиты (например: АПКШ «Континент», «Graylog», «Log Collector» и т.д.), при этом, обязательно должны обеспечиваться процедуры регистрации инцидентов защиты информации, например в специализированном ПО для регистрации инцидентов защиты информации (например: КСЭД «Директум», СУОР «Ланселот»), сформированных электронных журналах учета инцидентов, хранящихся на защищенном файловом сервере, и т.д.

Для реализации данной меры потребуется выполнение мер связанных с мониторингом и анализом событий защиты информации (МАС.1, МАС.2, МАС.3, МАС.4, МАС.5, МАС.6, МАС.7).

Реализация - О

Для выполнения меры во внутренних документах, определяющих процессы управления инцидентами, необходимо указать источники получения данных об инцидентах, порядок информирования, состав инцидентов, разработать форму для фиксации сведений об инцидентах, последовательность действий для анализа инцидента. Обработка инцидентов должна выполняться согласно установленных процедурам. При этом фиксация сведений об инцидентах и действия по обработке инцидента могут фиксироваться на бумажном носителе (в форме описания инцидента, протоколах расследования).

В данной мере речь идет о необходимости фиксации инцидентов, выявленных на основе мониторинга событий безопасности. Таким образом, информация о событиях безопасности, которые могут свидетельствовать о факте инцидента, должна доводиться до ответственного за регистрацию инцидента работника организации. А порядок информирования установлен внутренним документом.

Для разработки внутренних стандартов рекомендуется использовать ГОСТ Р 59712-2022 «Управление компьютерными инцидентами».

Финансовые организации при разработке документов и выполнении процедур управления инцидентами также должны руководствоваться Стандарт Банка России СТО БР БФБО-1.5-2023 “Безопасность финансовых (банковских) операций Управление инцидентами, связанными с реализацией информационных угроз, и инцидентами операционной надежности О формах и сроках взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и субъектами национальной платежной системы при выявлении инцидентов, связанных с реализацией информационных угроз, и инцидентов операционной надежности”.

Проверочные процедуры (свидетельства) - Т

Проверить факт их регистрации в SIEM-системе, а также проверить выполнение процедуры регистрации инцидентов в специализированном ПО для регистрации инцидентов защиты информации.

Проверить выполнение мер защиты связанных с мониторингом и анализом событий защиты информации (МАС.1, МАС.2, МАС.3, МАС.4, МАС.5, МАС.6, МАС.7).

Проверочные процедуры (свидетельства) - О

Внутренние документы, содержащие порядок регистрации инцидентов. Сканы документов, где зафиксированы инциденты на основе мониторинга событий и последовательность действий по их обработке.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РИ.2 (О-Т-Т)

Регистрация информации, потенциально связанной с инцидентами защиты информации, в том числе НСД, полученной от работников, клиентов и (или) контрагентов финансовой организации.

Уровень защиты информации 3-О, 2-Т, 1-Т.

Пояснение

Реализация - Т

Одной из реализаций данной меры является процедура регистрации инцидентов защиты информации в специализированном ПО (например: КСЭД «Директум», СУОР «Ланселот», R-Vision, электронная почта). Так, субъектам (работники, клиенты и(или) контрагенты) предоставляется возможность предоставлять членам ГРИЗИ информацию, потенциально связанную с инцидентами защиты информации, установленным способом (электронная почта, личный кабинет и пр.). Полученная информация, которая потенциально связанна с инцидентами защиты информации, в том числе НСД, регистрируется в ПО для ведения базы инцидентов защиты информации.

Реализация - О

Для выполнения меры во внутренних документах, определяющих процессы управления инцидентами, необходимо указать источники получения данных об инцидентах, порядок информирования, состав инцидентов, разработать форму для фиксации сведений об инцидентах, последовательность действий для анализа инцидента. Обработка инцидентов должна выполняться согласно установленных процедурам. При этом фиксация сведений об инцидентах и действия по обработке инцидента могут фиксироваться на бумажном носителе (в форме описания инцидента, протоколах расследования).

В данной мере речь идет о необходимости фиксации инцидентов, информация о которых получена от работников, клиентов или контрагентов. Для этого внутренним документом должен быть установлен порядок информирования работниками организации лица, ответственного за регистрацию инцидентов, включая передачу полученной от клиентов или контрагентов информации.

Для разработки внутренних стандартов рекомендуется использовать ГОСТ Р 59712-2022 «Управление компьютерными инцидентами».

Финансовые организации при разработке документов и выполнении процедур управления инцидентами также должны руководствоваться Стандарт Банка России СТО БР БФБО-1.5-2023 “Безопасность финансовых (банковских) операций Управление инцидентами, связанными с реализацией информационных угроз, и инцидентами операционной надежности О формах и сроках взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и субъектами национальной платежной системы при выявлении инцидентов, связанных с реализацией информационных угроз, и инцидентов операционной надежности”.

Проверочные процедуры (свидетельства) - Т

Проверить факт их регистрации в SIEM-системе, а также проверить выполнение процедуры регистрации инцидентов в специализированном ПО для регистрации инцидентов защиты информации.

Проверочные процедуры (свидетельства) - О

Внутренние документы, содержащие порядок регистрации инцидентов. Сканы документов, где зафиксированы инциденты на основе информации от работников или обращения клиентов и последовательность действий по их обработке.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РИ.3 (О-О-Т)

Классификация инцидентов защиты информации с учетом степени их влияния (критичности) на предоставление финансовых услуг, реализацию бизнес-процессов и (или) технологических процессов финансовой организации.

Уровень защиты информации 3-О, 2-О, 1-Т.

Пояснение

Реализация - Т

Одной из технических реализаций данной меры является процедура присваивания обнаруженным инцидентам защиты информации уровня критичности в соответствии с утверждёнными в Организации критериями. Встроенный функционал используемого ПО для учета инцидентов защиты информации, должен обладать функционалом позволяющим создать классификацию уровней критичности с их последующим закреплением за выявленными инцидентами защиты информации.

Дальнейшая обработки инцидента защиты информации в ПО для учета инцидентов защиты информации должна выполняться согласно присвоенному уровню критичности.

В соответствии с требованиями данной меры, в целях классификации инцидентов защиты информации необходимо в ВНД, регламентирующем процесс управления инцидентами защиты информации, установить классификацию уровней критичности исходя из возможного влияния инцидента защиты информации на, технологические процессы и бизнес-процессы Организации. Например:

· Критичный (Существует высокая вероятность прямых финансовых потерь; важные клиентские сервисы недоступны; нарушена работа важных для обеспечения непрерывности деятельности Организации ИТ-сервисов; может последовать негативный отзыв о Организации в СМИ; предусмотрена существенная юридическая ответственность (по закону или договору); риску компрометации подвергается строго конфиденциальная информация.);

· Важный (Существует ограниченная вероятность прямых финансовых потерь;

· нарушена работа нескольких ИТ-сервисов, массово поступают внутренние жалобы на недоступность; предусмотрена юридическая ответственность (по закону или договору); риску компрометации подвергается конфиденциальная информация.);

· Незначительный (Существует малая вероятность прямых финансовых потерь; нарушена работоспособность отдельного ИТ-сервиса, поступают внутренние жалобы на недоступность);

· Ложное срабатывание (Негативное влияние отсутствует).

При обнаружении инцидента защиты информации ему необходимо присвоить уровень критичности. Дальнейшая обработки инцидента защиты информации выполняется согласно присвоенному уровню критичности.

Реализация - О

Для выполнения меры во внутренних документах, определяющих процессы управления инцидентами, необходимо указать порядок классификации инцидента с учетом степени влияния (критичности) на предоставление финансовых услуг, реализацию бизнес-процессов и (или) технологических процессов финансовой организации. Для определения степени влияния могут использоваться подходы, указанные в Положение Банка России № 716-П от 08.04.2020 «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», где указаны критические процессы первого уровня. Форма регистрации инцидента должна содержать поля, позволяющие указать затронутый инцидентом процесс, степень критичности как самого процесса, так и инцидента.

Проверочные процедуры (свидетельства) - Т

Проверить наличие классификации инцидентов защиты информации в ВНД Организации.

Проверить функционал ПО, используемого для учета инцидентов защиты информации, на наличии возможности присвоения выявленным инцидентам защиты информации уровня критичности.

Проверочные процедуры (свидетельства) - О

Внутренние документы, содержащие порядок регистрации инцидентов. Сканы документов, где зафиксированы инциденты, при этом указана критичность инцидента, а также состав затронутых процессов и их степень критичности.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РИ.4 (О-О-О)

Установление и применение единых правил получения от работников, клиентов и (или) контрагентов финансовой организации информации, потенциально связанной с инцидентами защиты информации.

Уровень защиты информации 3-О, 2-О, 1-О.

Пояснение

Мера определяет порядок получения данных об инциденте ИБ.

Реализация - О

Данная мера должна быть регламентирована в документах по управлению инцидентами ИБ.

В документе устанавливается порядок получения сведений об инцидентах (каналы взаимодействия, способ идентификации направляющего сведения, способ и объем необходимых данных, срок и порядок регистрации полученных данных). Следует обратить внимание, что порядок в полном объеме должен быть определен не только для внутренних инцидентов организации, но и в отношении инцидентов клиентов (при этом данные об инцидентах могут передаваться и клиентами, и работниками), инцидентов контрагентов (к которым, в том числе относятся компании, предоставляющие ИТ услуги, платежные агенты, операторы услуг платежной инфраструктуры и т. д). В документах организации в части правил регистрации инцидентов должен быть охвачен весь состав физических и юридических лиц, кто может иметь и передавать сведения об инцидентах ИБ, оказывающих влияние на ИБ организации.

Документы могут разделяться по различным направлениям (внутренние инциденты, инциденты клиентов, инциденты контрагентов и пр.).

При заключении договоров с клиентами, контрагентами организация должна доводить до клиента или контрагента порядок передачи сведений об инцидентах и указывать в договорах обязанность исполнения порядка с указанием ответственности при невыполнении.

Проверочные процедуры (свидетельства)

Свидетельства выполнения установленного порядка получения информации об инцидентах (письма, скрины обращений из систем, записи звонков и пр.).

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РИ.5 (О-Т-Т)

Установление и применение единых правил регистрации и классификации инцидентов защиты информации в части состава и содержания атрибутов, описывающих инцидент защиты информации, и их возможных значений.

Уровень защиты информации 3-О, 2-Т, 1-Т.

Пояснение

Реализация - Т

Одной из технических реализаций данной меры является процедура регистрации и классификации инцидентов защиты информации в соответствии с установленными требованиями внутренних нормативных документов, регламентирующих процесс управления инцидентами защиты информации, за счет применения специализированного ПО для учета инцидентов.

(например: КСЭД «Директум», СУОР «Ланселот»). Для этого в ПО учета инцидентов настраивается стандартный шаблон регистрации инцидента. В соответствии с требованиями данной меры, функционал используемого для учета инцидентов защиты информации ПО должен позволять заполнение созданных карточек инцидентов защиты информации по установленной единой форме в соответствии с требованиями внутренних нормативных документов, регламентирующих процесс управления инцидентами защиты информации.

Например:

· Автор события;

· Тип инцидента;

· Подразделение Организации;

· Дата и время регистрации события;

· Дата и время реализации события;

· Тип инцидента;

· Подробное описание инцидента;

· Статус;

· Иное.

Реализация - О

Для выполнения меры во внутренних документах, определяющих процессы управления инцидентами, необходимо указать правила регистрации и классификации инцидентов защиты информации в части состава и содержания атрибутов, описывающих инцидент защиты информации, и возможных значений атрибутов.

Для разработки внутренних стандартов рекомендуется использовать ГОСТ Р 59712-2022 «Управление компьютерными инцидентами».

Финансовые организации при разработке документов и выполнении процедур управления инцидентами также должны руководствоваться Стандарт Банка России СТО БР БФБО-1.5-2023 “Безопасность финансовых (банковских) операций Управление инцидентами, связанными с реализацией информационных угроз, и инцидентами операционной надежности О формах и сроках взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и субъектами национальной платежной системы при выявлении инцидентов, связанных с реализацией информационных угроз, и инцидентов операционной надежности”.

Проверочные процедуры (свидетельства) - Т

Проверить наличие в Организации, установленной форму для регистрации инцидентов защиты информации.

Проверить и соотнести с установленной формой для регистрации инцидентов защиты информации возможные поля и их значения в ПО для чета инцидентов.

Запросить карточку регистрации инцидентов защиты информации.

Проверочные процедуры (свидетельства) - О

Внутренние документы, содержащие порядок регистрации инцидентов. Образец единой формы, используемой для регистрации инцидентов.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

PreviousРИ - Обнаружение инцидентов защиты информации и реагирование на нихNextРИ 6-14

Last updated 10 months ago