LogoLogo
  • О Wiki
  • Определения
    • Определения ГОСТ 57580
    • Определения ГОСТ 50922
    • Определения СТО БР
    • Определения Иные
  • Процессы
    • 1-П. Обеспечение защиты информации при управлении доступом
      • УЗП - Управление учетными записями и правами субъектов логического доступа
        • УЗП 1-4
        • УЗП 5-21
        • УЗП 22-29
      • РД - Идентификация, аутентификация, авторизация (разгранич. доступа) при осуществлении лог. доступа
        • РД 1-16
        • РД 17-29
        • РД 30-38
        • РД 39-44
      • ФД - Защита информации при осуществлении физического доступа
        • ФД 1-16
        • ФД 17-20
        • ФД 21
      • ИУ - Идентификация и учет ресурсов и объектов доступа
        • ИУ 1-6
        • ИУ 7-8
    • 2-П. Обеспечение защиты вычислительных сетей
      • СМЭ - Сегментация и межсетевое экранирование вычислительных сетей
        • СМЭ 1-13
        • СМЭ 14-20
        • СМЭ 21
      • ВСА - Выявление вторжений и сетевых атак
        • ВСА 1-13
        • ВСА 14
      • ЗВС - Защита информации, передаваемой по вычислительным сетям
        • ЗВС 1-2
      • ЗБС - Защита беспроводных сетей
        • ЗБС 1-2
        • ЗБС 3-8
        • ЗБС 9-10
    • 3-П. ЦЗИ - Контроль целостности и защищенности информационной инфраструктуры
      • ЦЗИ 1-11
      • ЦЗИ 12-19
      • ЦЗИ 20-26
      • ЦЗИ 27-36
    • 4-П. ЗВК - Защита от вредоносного кода
      • ЗВК 1-7
      • ЗВК 8-21
      • ЗВК 22-28
    • 5-П. ПУИ - Предотвращение утечек информации
      • ПУИ 1-4
      • ПУИ 5-19
      • ПУИ 20-27
      • ПУИ 28-33
    • 6-П. Управление инцидентами защиты информации
      • МАС - Мониторинг и анализ событий защиты информации
        • МАС 1-7
        • МАС 8-16
        • МАС 17-20
        • МАС 21-23
      • РИ - Обнаружение инцидентов защиты информации и реагирование на них
        • РИ 1-5
        • РИ 6-14
        • РИ 15-18
        • РИ 19
    • 7-П. ЗСВ - Защита среды виртуализации
      • ЗСВ 1-12
      • ЗСВ 13-31
      • ЗСВ 32-43
    • 8-П. ЗУД - Защита информации при осуществлении удаленного логического доступа с использованием моб
      • ЗУД 1-4
      • ЗУД 5-9
      • ЗУД 10-12
  • Направления
    • 1-Н. ПЗИ - Планирование процесса системы защиты информации
      • ПЗИ 1 - 5
    • 2-Н. РЗИ - Реализация процесса системы защиты информации
      • РЗИ 1-4
      • РЗИ 5-10
      • РЗИ 11-16
    • 3-Н. КЗИ - Контроль процесса системы защиты информации
      • КЗИ 1 - 8
      • КЗИ 9 - 12
    • 4-Н. СЗИ - Совершенствование процесса системы защиты информации
      • СЗИ 1 - 4
  • Требования
    • ЖЦ - Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложени
      • ЖЦ 1 -11
      • ЖЦ 12 -14
      • ЖЦ 15 - 25
      • ЖЦ 26 - 28
  • Приложения
    • Б. Состав и содержание организационных мер, связанных с обработкой финансовой организацией ПДн
    • В. Перечень событий защиты информации
Powered by GitBook
On this page
  • РИ.15 (Т-Т-Т)
  • РИ.16 (Н-Т-Т)
  • РИ.17 (Т-Т-Н)
  • РИ.18 (Н-Н-Т)
  1. Процессы
  2. 6-П. Управление инцидентами защиты информации
  3. РИ - Обнаружение инцидентов защиты информации и реагирование на них

РИ 15-18

Базовый состав мер по организации хранения и защите информации об инцидентах защиты информации применительно к уровням защиты информации

РИ.15 (Т-Т-Т)

Реализация защиты информации об инцидентах защиты информации от НСД, обеспечение целостности и доступности указанной информации.

Уровень защиты информации 3-Т, 2-Т, 1-Т.

Пояснение

Реализация - Т

Одной из технических реализаций данной меры является встроенный функционал в используемое для регистрации инцидентов ПО (например: КСЭД «Директум», СУОР «Ланселот»), позволяющий:

· осуществить управление доступом к информации об инцидентах защиты информации для возможности выполнения санкционированных процедур (например: просмотр; внесение изменений в карточку инцидента; закрытие инцидента; и пр.);

· обеспечить невозможность бесконтрольного изменения зарегистрированных данных;

· обеспечить централизованное хранение данных об инциденте в структурированном виде (базе данных).

В случае хранения информации об инцидентах защиты информации на файловом сервере, необходимо разграничить доступ к карточкам инцидентов за счет политик «Active Directory» и обеспечить их целостность (снятием и сопоставлением хэш функций) и обеспечить резервное копирование.

Проверочные процедуры (свидетельства)

Независимо от технической реализации (встроенный функционал используемого ПО и иные) необходимо проверить механизмы защиты информации об инцидентах защиты информации от НСД, механизмы обеспечения целостности и доступности.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РИ.16 (Н-Т-Т)

Разграничение доступа членов ГРИЗИ к информации об инцидентах защиты информации в соответствии с определенным распределением ролей, связанных с реагированием на инциденты защиты информации.

Уровень защиты информации 3-Н, 2-Т, 1-Т.

Пояснение

Реализация - Т

Одной из технических реализаций данной меры является встроенный функционал управления доступом в используемом для регистрации инцидентов ПО (например: КСЭД «Директум», СУОР «Ланселот»), позволяющий реализовать разграничение доступа членов ГРИЗИ к данным об инцидентах защиты информации, в соответствии с определенными ролями на основании мер РИ. 7 – РИ.9.

Функционал управления доступом в ПО регистрации инцидентов должен обеспечить возможность назначения разных ролей для участников ГРИЗИ с разным уровнем доступа.

Проверочные процедуры (свидетельства)

Проверить определенные в Организации роли, связанные с реагированием на инциденты защиты информации выделенные в соответствии с мерами РИ.7 – РИ.9. Проверить регистрацию в ПО учета инцидентов всех участников ГРИЗИ и назначение им полномочий в соответствии с ролью.

Независимо от технической реализации (встроенный функционал используемого ПО и иные) необходимо проверить механизмы разграничения доступа к информации об инцидентах защиты информации и соотнести их с указанными ролями.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РИ.17 (Т-Т-Н)

Обеспечение возможности доступа к информации об инцидентах защиты информации в течение трех лет.

Уровень защиты информации 3-Т, 2-Т, 1-Н.

Пояснение

В соответствии требованиями данной меры, необходимо обеспечить хранение информации об инцидентах защиты информации в течении трех или более лет.

Информацией об инцидентах является:

· События защиты информации регистрируемые в соответствии с мерами МАС 1, 2, 3, 4, 5, 6, 7, а также иная потенциально связанная с инцидентами защиты информации на основании которой осуществляется регистрация и классификация инцидента защиты информации;

· Результаты регистрации и классификации инцидентов защиты информации в соответствии с установленными в организации едиными правилами управления инцидентами защиты информации (см. пояснения к мере РИ.5);

· Результаты расследования и закрытия инцидента защиты информации.

Иная информация, связанная с инцидентами защиты информации и используемая в ходе управления инцидентами защиты информации.

Реализация - Т

Технической реализацией данной меры является использование встроенного функционала специализированного ПО для учета инцидентов (например: КСЭД «Директум», СУОР «Ланселот») обеспечивающего хранение и доступ к информации об инцидентах защиты информации в течении трех или более лет.

Также, в случае осуществления обработки информации об инцидентах защиты информации без использования специализированного ПО, а с применением иных инструментариев (регистрация событий ИБ в Excel-таблице «Журнал учета инцидентов ЗИ») за счет настроек хранения файлового сервера, процедур резервного копирования и пр., необходимо обеспечить возможность доступа к информации об инцидентах защиты информации в течении трех или более лет.

При заключении договора с внешними подрядными организациями, оказывающими услуги SOC и предоставляющими внешние сервисы для процедур управления инцидентами защиты информации, необходимо предусмотреть возможность доступа организации к информации об инцидентах защиты информации в течении трех или более лет, даже после истечения договора указания услуг SOC (достигается путем ведения параллельной регистрации событий ИБ на объектах информатизации организации, включения в договор возможности доступа к внешнему сервису для процедур управления инцидентами защиты информации на протяжении трех лет и пр.).

Проверочные процедуры (свидетельства)

Скриншоты карточек инцидентов защиты информации из специализированного ПО, со сроком хранения три или более лет.

Скриншоты или сами файлы учтенных инцидентов защиты информации, регистрируемые без использования специализированного ПО, но с применением иных технических мер (регистрация событий ИБ в Excel-таблице «Журнал учета инцидентов ИБ» и пр.).

Договор с внешней подрядной организацией оказывающей услуги SOC, а также скриншоты карточек инцидентов защиты информации из внешнего сервиса для процедур управления инцидентами защиты информации, со сроком хранения три или более лет.

В случае, если в организации нет зарегистрированных инцидентов защиты информации сроком более трех лет, необходимо предоставить настройки соответствующих технических средств, обеспечивающие хранение информации об инцидентах защиты информации сроком три или более лет.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

РИ.18 (Н-Н-Т)

Обеспечение возможности доступа к информации об инцидентах защиты информации в течение пяти лет.

Уровень защиты информации 3-Н, 2-Н, 1-Т.

Пояснение

В соответствии требованиями данной меры, необходимо обеспечить хранение информации об инцидентах защиты информации в течении пяти или более лет.

Информацией об инцидентах является:

· События защиты информации регистрируемые в соответствии с мерами МАС 1, 2, 3, 4, 5, 6, 7, а также иная потенциально связанная с инцидентами защиты информации на основании которой осуществляется регистрация и классификация инцидента защиты информации;

· Результаты регистрации и классификации инцидентов защиты информации в соответствии с установленными в организации едиными правилами управления инцидентами защиты информации (см. пояснения к мере РИ.5);

· Результаты расследования и закрытия инцидента защиты информации.

Иная информация, связанная с инцидентами защиты информации и используемая в ходе управления инцидентами защиты информации.

Реализация - Т

Технической реализацией данной меры является использование встроенного функционала специализированного ПО для учета инцидентов (например: КСЭД «Директум», СУОР «Ланселот») обеспечивающего хранение и доступ к информации об инцидентах защиты информации в течении пяти или более лет.

Также, в случае осуществления обработки информации об инцидентах защиты информации без использования специализированного ПО, а с применением иных инструментариев (регистрация событий ИБ в Excel-таблице «Журнал учета инцидентов ЗИ») за счет настроек хранения файлового сервера, процедур резервного копирования и пр., необходимо обеспечить возможность доступа к информации об инцидентах защиты информации в течении пяти или более лет.

При заключении договора с внешними подрядными организациями, оказывающими услуги SOC и предоставляющими внешние сервисы для процедур управления инцидентами защиты информации, необходимо предусмотреть возможность доступа организации к информации об инцидентах защиты информации в течении пяти или более лет, даже после истечения договора указания услуг SOC (достигается путем ведения параллельной регистрации событий ИБ на объектах информатизации организации, включения в договор возможности доступа к внешнему сервису для процедур управления инцидентами защиты информации на протяжении пяти лет и пр.).

Проверочные процедуры (свидетельства)

Скриншоты карточек инцидентов защиты информации из специализированного ПО, со сроком хранения пяти или более лет.

Скриншоты или сами файлы учтенных инцидентов защиты информации, регистрируемые без использования специализированного ПО, но с применением иных технических мер (регистрация событий ИБ в Excel-таблице «Журнал учета инцидентов ИБ» и пр.), со сроком хранения пяти или более лет.

Договор с внешней подрядной организацией оказывающей услуги SOC, а также скриншоты карточек инцидентов защиты информации из внешнего сервиса для процедур управления инцидентами защиты информации, со сроком хранения пяти или более лет.

В случае, если в организации нет зарегистрированных инцидентов защиты информации сроком более пяти лет, необходимо предоставить настройки соответствующих технических средств, обеспечивающие хранение информации об инцидентах защиты информации сроком пяти или более лет.

Типичные недостатки

Не выявлены.

Компенсационные меры

Не выявлены.

Выявленные коллизии

Не выявлены.

PreviousРИ 6-14NextРИ 19

Last updated 12 months ago