Как стать автором
Обновить

Нормативное обоснование необходимости внедрения систем IRP/SOAR и SGRC

Информационная безопасность *

Актуальные тренды информационной безопасности четко дают понять, что без автоматизации процессов управления ИБ и реагирования на киберинциденты противостоять атакующим будет очень непросто. Количество бизнес-процессов, ИТ-активов и уязвимостей, сложность тактик и инструментов хакеров, скорость распространения атак приводят к необходимости автоматизации ИБ-процессов, что позволяет упростить менеджмент кибербезопасности, снизить нагрузку на специалистов и минимизировать показатели MTTD (mean time to detect, среднее время обнаружения инцидента) и MTTR (mean time to respond, среднее время реагирования на инцидент). При этом экономический эффект применения систем автоматизации, таких как системы IRP (Incident Response Platform), SOAR (Security Orchestration, Automation and Response) и SGRC (Security Governance, Risk Management and Compliance), является не единственным драйвером их внедрения: в отечественной и международной нормативной базе есть рекомендации и требования, выполнить которые проще всего именно с использованием указанных систем. Анализу нормативных требований к IRP/SOAR и SGRC-системам и посвящен данный пост, состоящий из двух крупных частей: первая посвящена нормативному анализу применения IRP/SOAR, вторая часть – нормативному анализу применения SGRC. Начнем!

1. Нормативное обоснование необходимости применения систем IRP/SOAR

Системы IRP (Incident Response Platform, платформы реагирования на киберинциденты) используются для автоматизации действий по анализу и обработке киберинцидентов, сбору дополнительной обогащающей информации по инцидентам, а также для интеграции с разнообразными системами для выполнения автоматических/автоматизированных действий по реагированию. Платформы IRP частично эволюционировали в системы SOAR (Security Orchestration, Automation and Response, платформы оркестрации, автоматизации и реагирования на киберинциденты), которые предназначены для комплексной автоматизации процессов реагирования на киберинциденты. В функционал SOAR-систем входит, как правило, обработка событий ИБ, получаемых непосредственно от средств защиты или из SIEM-решений, автоматизация действий по обработке данных событий в соответствии с рабочими процессами реагирования (playbooks/runbooks), а также непосредственное выполнение действий по реагированию с помощью оркестрации (централизованного управления) ИТ/ИБ-системами. Дополнительный функционал SOAR-решений может включать в себя инструменты совместной работы аналитиков над инцидентами (case management), ведение общей базы знаний и закрытых инцидентов, интеграцию с инструментами обработки данных киберразведки (фидами Threat Intelligence), возможности для визуализации данных, построения timeline инцидентов, расширенной аналитики, в том числе с помощью механизмов обработки Big Data, машинного обучения и искусственного интеллекта.

Рассмотрим ниже основные отечественные и применимые международные нормативные требования и рекомендации, выполнение которых будет гораздо более эффективным с использованием SOAR-решений.

1.1. Защита критической информационной инфраструктуры

Федеральный Закон № 187 от 26.07.2017 "О безопасности критической информационной инфраструктуры Российской Федерации"

Ст. 6, п. 4, п/п 6

Федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации:

утверждает порядок информирования федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры (в банковской сфере и в иных сферах финансового рынка утверждает указанный порядок по согласованию с Центральным банком Российской Федерации);

Ст. 9, п. 3, п/п 3

Субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, наряду с выполнением обязанностей, предусмотренных частью 2 настоящей статьи, также обязаны:

реагировать на компьютерные инциденты в порядке, утвержденном федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, принимать меры по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры;

Приказ ФСТЭК России № 31 от 14.03.2014 "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды" (в редакции Приказа ФСТЭК России № 138)

П. 16

Обеспечение защиты информации в ходе эксплуатации автоматизированной системы управления осуществляется оператором в соответствии с эксплуатационной документацией на систему защиты и организационно-распорядительными документами по защите информации и включает следующие процедуры:

...

выявление инцидентов в ходе эксплуатации автоматизированной системы управления и реагирование на них;

...

контроль (мониторинг) за обеспечением уровня защищенности автоматизированной системы управления.

...

П. 16.5

16.5. В ходе управления (администрирования) системой защиты автоматизированной системы управления осуществляются:

управление средствами защиты информации в автоматизированной системе управления, в том числе параметрами настройки программного обеспечения, включая восстановление работоспособности средств защиты информации, генерацию, смену и восстановление паролей;

централизованное управление системой защиты автоматизированной системы управления (при необходимости);

П. 16.6

Для выявления инцидентов и реагирования на них осуществляются:

·         определение лиц, ответственных за выявление инцидентов и реагирование на них;

·         обнаружение и идентификация инцидентов, в том числе отказов в обслуживании, сбоев (перезагрузок) в работе технических средств, программного обеспечения и средств защиты информации, нарушений правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;

·         своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в автоматизированной системе управления персоналом;

·         анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;

·         планирование и принятие мер по устранению инцидентов, в том числе по восстановлению автоматизированной системы управления в случае отказа в обслуживании или после сбоев, устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;

·         планирование и принятие мер по предотвращению повторного возникновения инцидентов.

П. 16.8

В ходе контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления осуществляются:

контроль за событиями безопасности и действиями персонала в автоматизированной системе управления;

...

Приложение №2

V. Аудит безопасности (АУД):

АУД.4 - Регистрация событий безопасности

АУД.7 - Мониторинг безопасности

АУД.8 - Реагирование на сбои при регистрации событий безопасности

 

XII. Реагирование на компьютерные инциденты (ИНЦ):

ИНЦ.0 - Разработка политики реагирования на компьютерные инциденты

ИНЦ.1 - Выявление компьютерных инцидентов

ИНЦ.2 - Информирование о компьютерных инцидентах

ИНЦ.3 - Анализ компьютерных инцидентов

ИНЦ.4 - Устранение последствий компьютерных инцидентов

ИНЦ.5 - Принятие мер по предотвращению повторного возникновения компьютерных инцидентов

ИНЦ.6 - Хранение и защита информации о компьютерных инцидентах

Приказ ФСТЭК России № 235 от 21.12.2017 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования" в редакции Приказа ФСТЭК России № 64

П. 10

Руководитель субъекта критической информационной инфраструктуры создает или определяет структурное подразделение, ответственное за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - структурное подразделение по безопасности), или назначает отдельных работников, ответственных за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - специалисты по безопасности).

Структурное подразделение по безопасности, специалисты по безопасности должны осуществлять следующие функции:

...

осуществлять реагирование на компьютерные инциденты в порядке, установленном в соответствии пунктом 6 части 4 статьи 6 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации";

...

П. 17

К программным и программно-аппаратным средствам, применяемым для обеспечения безопасности значимых объектов критической информационной инфраструктуры, относятся средства защиты информации, в том числе средства защиты информации от несанкционированного доступа (включая встроенные в общесистемное, прикладное программное обеспечение), межсетевые экраны, средства обнаружения (предотвращения) вторжений (компьютерных атак), средства антивирусной защиты, средства (системы) контроля (анализа) защищенности, средства управления событиями безопасности, средства защиты каналов передачи данных.

Приказ ФСТЭК России № 239 от 25.12.2017 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" в редакции Приказов ФСТЭК России № 138, № 60, № 35

П. 13

Обеспечение безопасности в ходе эксплуатации значимого объекта осуществляется субъектом критической информационной инфраструктуры в соответствии с эксплуатационной документацией и организационно-распорядительными документами по безопасности значимого объекта и должно включать реализацию следующих мероприятий:

...

д) реагирование на компьютерные инциденты в ходе эксплуатации значимого объекта;

...

з) контроль за обеспечением безопасности значимого объекта.

...

П. 13.3

В ходе управления (администрирования) подсистемой безопасности значимого объекта осуществляются:

...

в) управление средствами защиты информации значимого объекта;

д) централизованное управление подсистемой безопасности значимого объекта (при необходимости);

е) мониторинг и анализ зарегистрированных событий в значимом объекте, связанных с обеспечением безопасности (далее - события безопасности);

...

П. 22

В значимых объектах в зависимости от их категории значимости и угроз безопасности информации должны быть реализованы следующие организационные и технические меры:

...

реагирование на инциденты информационной безопасности (ИНЦ);

...

Приложение

V. Аудит безопасности (АУД):

АУД.4 - Регистрация событий безопасности

АУД.7 - Мониторинг безопасности

АУД.8 - Реагирование на сбои при регистрации событий безопасности

 

XII. Реагирование на компьютерные инциденты (ИНЦ):

ИНЦ.0 - Регламентация правил и процедур реагирования на компьютерные инциденты

ИНЦ.1 - Выявление компьютерных инцидентов

ИНЦ.2 - Информирование о компьютерных инцидентах

ИНЦ.3 - Анализ компьютерных инцидентов

ИНЦ.4 - Устранение последствий компьютерных инцидентов

ИНЦ.5 - Принятие мер по предотвращению повторного возникновения компьютерных инцидентов

ИНЦ.6 - Хранение и защита информации о компьютерных инцидентах

Приказ ФСБ РФ №196 от 06.05.2019 "Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты"

П. 4

Средства обнаружения должны обладать следующими функциями:

·         сбор и первичная обработка событий, связанных с нарушением информационной безопасности (далее - события ИБ), поступающих от операционных систем, средств обнаружения вторжений, межсетевых экранов, средств предотвращения утечек данных, антивирусного программного обеспечения, телекоммуникационного оборудования, прикладных сервисов, средств контроля (анализа) защищенности, средств управления телекоммуникационным оборудованием и сетями связи, систем мониторинга состояния телекоммуникационного оборудования, систем мониторинга качества обслуживания, а также иных средств и систем защиты информации и систем мониторинга, эксплуатируемых субъектом критической информационной инфраструктуры (далее - источники событий ИБ);

·         автоматический анализ событий ИБ и выявление компьютерных инцидентов;

·         повторный анализ ранее зарегистрированных событий ИБ и выявление на основе такого анализа не обнаруженных ранее компьютерных инцидентов.

П. 5

При осуществлении сбора и первичной обработки событий ИБ средства обнаружения должны обеспечивать:

·         удаленный и (или) локальный сбор событий ИБ;

·         сбор событий ИБ в непрерывном режиме функционирования либо по расписанию, в случае потери связи с источниками событий ИБ - сразу после ее восстановления;

·         обработку поступающих событий ИБ и сохранение результатов их обработки;

·         сохранение информации о событиях ИБ, в том числе в исходном виде;

·         сбор информации непосредственно от источников событий ИБ, из файлов либо посредством агентов, размещенных на отдельных источниках событий ИБ;

·         встроенную поддержку различных источников событий ИБ и возможность разработки дополнительных модулей, обеспечивающих получение информации от новых источников событий ИБ.

П. 6

При осуществлении автоматического анализа событий ИБ и выявления компьютерных инцидентов средства обнаружения должны обеспечивать:

·         отбор и фильтрацию событий ИБ;

·         выявление последовательностей разнородных событий ИБ, имеющих логическую связь, которые могут быть значимы для выявления возможных нарушений безопасности информации (корреляция) и объединение однородных данных о событиях ИБ (агрегация);

·         выявление компьютерных инцидентов, регистрацию методов (способов) их обнаружения;

·         возможность корреляции для распределенных по времени и (или) месту возникновения событий ИБ;

·         возможность корреляции для последовательности событий ИБ;

·         возможность просмотра и редактирования правил корреляции, а также обновления и загрузки новых правил;

·         автоматическое назначение приоритетов событиям ИБ на основании задаваемых пользователем показателей.

П. 7

При осуществлении повторного анализа ранее зарегистрированных событий ИБ и выявления на основе такого анализа не обнаруженных ранее компьютерных инцидентов средства обнаружения должны обеспечивать:

·         выявление связей и зависимостей между событиями ИБ, зарегистрированными в установленном интервале времени, и вновь появившейся любой дополнительной информацией, позволяющей идентифицировать контролируемые информационные ресурсы (далее - справочная информация);

·         выявление связей и зависимостей между событиями ИБ, зарегистрированными в установленном интервале времени, и новыми или измененными методами (способами) выявления компьютерных инцидентов;

·         выявление связей и зависимостей между событиями ИБ и полученными ранее сведениями о контролируемых информационных ресурсах и (или) о состоянии защищенности;

·         возможность настройки параметров проводимого анализа;

·         проведение поиска не обнаруженных ранее компьютерных инцидентов с использованием новых методов (способов) выявления компьютерных инцидентов;

·         хранение агрегированных событий ИБ не менее шести месяцев.

...

П. 13

Средства ликвидации последствий должны обладать следующими функциями:

·         учет и обработка компьютерных инцидентов;

·         управление процессами реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак;

·         взаимодействие с НКЦКИ посредством использования технической инфраструктуры НКЦКИ, предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами критической информационной инфраструктуры, а также с иными не являющимися субъектами критической информационной инфраструктуры органами и организациями, в том числе иностранными и международными;

·         информационно-аналитическое сопровождение пользователей.

П. 14

При осуществлении учета и обработки компьютерных инцидентов средства ликвидации последствий должны обеспечивать:

·         создание и изменение формализованных описаний (далее - карточка) компьютерных инцидентов, определение типов компьютерных инцидентов, определение состава полей карточек и требований к их заполнению в соответствии с типом компьютерного инцидента;

·         автоматическое создание карточки компьютерного инцидента на основе уведомления об угрозе безопасности информации либо при выявлении события ИБ, в котором содержатся признаки компьютерных атак для контролируемых информационных ресурсов;

·         запись о текущей стадии процесса реагирования на компьютерные инциденты (стадия приема сообщения о компьютерном инциденте, стадия сбора первичных сведений о компьютерном инциденте, стадия локализации компьютерного инцидента, стадия сбора сведений для расследования компьютерного инцидента) в зависимости от типа компьютерного инцидента;

·         запись о присвоении категорий опасности и (или) определение приоритетов компьютерных инцидентов на основе критериев, задаваемых по значениям полей карточек компьютерных инцидентов;

·         регистрацию и учет карточек компьютерных инцидентов;

·         фильтрацию, сортировку и поиск карточек компьютерных инцидентов по значениям полей карточек;

·         объединение карточек компьютерных инцидентов на основе критериев, применяемых к значениям полей карточек.

П. 15

Для обеспечения управления процессами реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак средства ликвидации последствий должны обеспечивать:

·         возможность включения в карточку компьютерного инцидента дополнительных сведений, связанных с компьютерным инцидентом и зарегистрированных в процессе реагирования на компьютерный инцидент и ликвидации последствий компьютерной атаки, в том числе сообщений пользователей контролируемых информационных ресурсов, сведений о предпринятых действиях, технических данных, необходимых для расследования обстоятельств компьютерного инцидента;

·         возможность назначения для карточки компьютерного инцидента инструкций по реагированию на компьютерный инцидент, а также задания правил их применимости на основании сведений о компьютерном инциденте;

·         формирование электронных сообщений для организации взаимодействия и координации действий работников субъекта критической информационной инфраструктуры и (или) работников привлекаемой в соответствии с законодательством Российской Федерации субъектом критической информационной инфраструктуры организации, осуществляющей лицензируемую деятельность в области защиты информации, участвующих в реагировании на компьютерный инцидент и ликвидации последствий компьютерной атаки.

П. 16

При взаимодействии с НКЦКИ средства ликвидации последствий должны обеспечивать:

·         автоматизированный обмен информацией, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, указанной в пункте 5 Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, утвержденного приказом ФСБ России от 24 июля 2018 г. N 367;

·         учет карточек компьютерных инцидентов в соответствии с идентификацией НКЦКИ.

П. 17

При осуществлении информационно-аналитического сопровождения средства ликвидации последствий должны обеспечивать формирование выборок данных, основанных на значениях полей карточек компьютерных инцидентов, уведомлений об актуальных угрозах безопасности информации и справочной информации.

Приказ ФСБ РФ от 24.07.2018 г. № 367 "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"

Приложение №1

Перечень информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

...

5. Информация о компьютерных инцидентах, связанных с функционированием объектов критической информационной инфраструктуры:

·         дата, время, место нахождения или географическое местоположение объекта критической информационной инфраструктуры, на котором произошел компьютерный инцидент;

·         наличие причинно-следственной связи между компьютерным инцидентом и компьютерной атакой;

·         связь с другими компьютерными инцидентами (при наличии);

·         состав технических параметров компьютерного инцидента;

·         последствия компьютерного инцидента.

 

6. Иная информация в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, предоставляемая субъектами критической информационной инфраструктуры и иными не являющимися субъектами критической информационной инфраструктуры органами и организациями, в том числе иностранными и международными.

Приложение №2

3. Информация, указанная в пункте 5 Перечня, представляется субъектами критической информационной инфраструктуры в ГосСОПКА путем ее направления в НКЦКИ в соответствии с определенными НКЦКИ форматами с использованием технической инфраструктуры НКЦКИ, предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами критической информационной инфраструктуры, а также с иными не являющимися субъектами критической информационной инфраструктуры органами и организациями, в том числе иностранными и международными (далее - техническая инфраструктура НКЦКИ).

...

5. Информация, указанная в пункте 5 Перечня, направляется субъектом критической информационной инфраструктуры в НКЦКИ не позднее 24 часов с момента обнаружения компьютерного инцидента.

...

8. При наличии подключения к технической инфраструктуре НКЦКИ информация, указанная в пункте 6 Перечня, направляется посредством использования данной инфраструктуры.

 

9. Информация, указанная в пункте 6 Перечня, представляется в ГосСОПКА в сроки, достаточные для своевременного проведения мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.

Приказ ФСБ РФ от 24.07.2018 г. № 368 "Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения"

Приложение №1

4. Обмен информацией о компьютерных инцидентах осуществляется субъектами критической информационной инфраструктуры путем взаимного направления уведомлений в соответствии с форматами представления информации о компьютерных инцидентах в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее - ГосСОПКА) и составом технических параметров компьютерного инцидента, указываемых при представлении информации в ГосСОПКА, определенными Национальным координационным центром по компьютерным инцидентам (далее - НКЦКИ), а также запросов, уточняющих представляемую информацию.

...

6. При наличии подключения к технической инфраструктуре НКЦКИ, предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами критической информационной инфраструктуры, а также с иными не являющимися субъектами критической информационной инфраструктуры органами и организациями, в том числе иностранными и международными (далее - техническая инфраструктура НКЦКИ), уведомления и запросы направляются посредством использования данной инфраструктуры.

...

8. Одновременно с направлением информации о компьютерных инцидентах в рамках обмена субъекты критической информационной инфраструктуры информируют об этом НКЦКИ.

9. Информирование в соответствии с пунктом 8 настоящего Порядка осуществляется субъектами критической информационной инфраструктуры с использованием технической инфраструктуры НКЦКИ в соответствии с форматами представления информации о компьютерных инцидентах в ГосСОПКА и составом технических параметров компьютерного инцидента, указываемых при представлении информации в ГосСОПКА, определенными НКЦКИ.

Приказ ФСБ РФ от 19.06.2019 № 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"

Приложение

2. Субъекты критической информационной инфраструктуры информируют ФСБ России обо всех компьютерных инцидентах, связанных с функционированием принадлежащих им на праве собственности, аренды или ином законном основании объектов критической информационной инфраструктуры.

3. Информирование осуществляется путем направления информации в Национальный координационный центр по компьютерным инцидентам (далее - НКЦКИ) в соответствии с определенными НКЦКИ форматами представления информации о компьютерных инцидентах в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации с использованием технической инфраструктуры НКЦКИ, предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами критической информационной инфраструктуры, а также с иными, не являющимися субъектами критической информационной инфраструктуры, органами и организациями, в том числе иностранными и международными.

4. Информация о компьютерном инциденте, связанном с функционированием значимого объекта критической информационной инфраструктуры, направляется субъектом критической информационной инфраструктуры в НКЦКИ в срок не позднее 3 часов с момента обнаружения компьютерного инцидента, а в отношении иных объектов критической информационной инфраструктуры - в срок не позднее 24 часов с момента его обнаружения.

5. В случае если компьютерный инцидент связан с функционированием объекта критической информационной инфраструктуры, принадлежащего на праве собственности, аренды или ином законном основании субъекту критической информационной инфраструктуры, который осуществляет деятельность в банковской сфере и в иных сферах финансового рынка, информация о компьютерном инциденте также направляется в Банк России с использованием технической инфраструктуры Банка России в сроки, установленные пунктом 4 настоящего Порядка.

...

11. Субъект критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, в ходе реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак осуществляет:

анализ компьютерных инцидентов (включая определение очередности реагирования на них), установление их связи с компьютерными атаками;

...

14. О результатах мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъект критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, информирует НКЦКИ в срок не позднее 48 часов после завершения таких мероприятий в соответствии с пунктом 3 настоящего Порядка.

Субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, осуществляющие деятельность в банковской сфере и в иных сферах финансового рынка, наряду с НКЦКИ информируют о результатах мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак Банк России в срок не позднее 48 часов после завершения таких мероприятий в соответствии с пунктом 5 настоящего Порядка.

1.2. Защита информации в кредитно-финансовой сфере

Стандарт PCI DSS версии 3.2.1 "Стандарт безопасности данных индустрии платежных карт. Требования и процедуры аудита безопасности"

П. 10.1

Внедрить журнал регистрации событий, связывающий любой доступ к системным компонентам с конкретным пользователем.

П. 10.2

Выполнять автоматизированную регистрацию событий всех системных компонентов для восстановления следующих событий:...

П. 10.6

Просматривать журналы регистрации событий и события безопасности всех системных компонентов с целью обнаружения аномалий или подозрительной активности.

П. 10.7

Хранить журналы регистрации событий не менее одного года, и в оперативном доступе не менее трех месяцев...

П. 12.10

Внедрить план реагирования на инциденты. Быть готовым немедленно отреагировать на взлом системы.

12.10.1 Разработать план реагирования на инциденты, применяемый в случае взлома системы...

...

12.10.5 Включить в план процедуры реагирования на оповещения систем мониторинга безопасности...

Рекомендации в области стандартизации Банка России РС БР ИББС-2.5-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности"

П. 6.5.1

В состав технических, в том числе программных, средств, используемых в рамках деятельности по обнаружению и реагированию на инциденты ИБ (далее - технические средства), рекомендуется включить:

- технические средства формирования данных, являющихся источниками информации о событиях ИБ и об инцидентах ИБ, в соответствии с рекомендациями, установленными пп. 6.4.4 настоящего документа;

- технические средства централизованного сбора информации о событиях ИБ, корреляции информации о событиях ИБ и обнаружения на основе установленных правил инцидентов ИБ (далее - средства мониторинга ИБ);

- технические средства контроля применяемых в организации БС РФ защитных мер;

- технические средства автоматизации процессов реагирования на инциденты ИБ, включая хранение информации о событиях ИБ и инцидентах ИБ.

П. 6.5.2

Средства мониторинга ИБ и контроля защитных мер должны выполнять следующие основные функции:

·         отслеживание и регистрацию событий ИБ в целях обнаружения инцидентов ИБ;

·         агрегирование полученной информации о событиях ИБ, корреляцию информации о событиях ИБ, обнаружение инцидентов ИБ на основе установленных в организации БС РФ критериев и правил;

·         текущий контроль функционирования применяемых средств защиты информации и обнаружение отклонений в их работе от штатного режима;

·         текущий контроль действий пользователей и эксплуатирующего персонала и обнаружение нарушений в эксплуатации технических средств.

...

П. 6.5.4

Технические средства автоматизации процессов реагирования на инциденты ИБ должны обеспечивать реализацию следующих функций:

·         хранение и защиту информации о событиях ИБ и инцидентах ИБ;

·         проведение классификации инцидентов ИБ, определение атрибутов инцидентов ИБ в соответствии с применяемым в организации БС РФ классификатором инцидентов ИБ;

·         реализацию ролевого доступа к информации об инцидентах ИБ членов ГРИИБ (группа реагирования на инциденты информационной безопасности) в соответствии с установленными для них ролями в рамках ГРИИБ;

·         отслеживание и контроль выполнения этапов реагирования на инцидент ИБ и контроль выполнения членами ГРИИБ установленных регламентов реагирования на инциденты ИБ.

...

П. 7.3.1

Рекомендуется организовать деятельность по обнаружению и реагированию на инциденты ИБ в соответствии со следующим общим алгоритмом:

...

регистрация информации о событиях ИБ, включая сбор информации, связанной с событием ИБ, первичную оценку собранной информации, выполняемые оператором-диспетчером ГРИИБ.

...

Рекомендуется использование технических средств мониторинга ИБ, осуществляющих автоматическое обнаружение инцидентов ИБ из потока информации о событиях ИБ в соответствии с установленными правилами корреляции событий ИБ;

...

П. 7.3.2

Управление процессом реагирования на инцидент ИБ, фиксация информации в рамках процесса реагирования на инцидент ИБ осуществляются путем использования классификатора инцидентов ИБ. Классификатор инцидентов ИБ используется для определения и фиксации работниками организации БС РФ, задействованными в деятельности по реагированию на инцидент ИБ, информации об инциденте ИБ (атрибутов инцидента ИБ), выявляемой в процессе реагирования на инцидент ИБ.

П. 7.3.3

Классификатор инцидентов ИБ используется для формализации процесса формирования записи об инциденте ИБ централизованной базы данных об инцидентах ИБ (определения атрибутов инцидента ИБ) на этапах обнаружения инцидента ИБ и реагирования на инцидент ИБ, в том числе при выполнении следующих видов деятельности:

·         первичная оценка события ИБ, которая проводится путем определения значений выделенных атрибутов (признаков) инцидента ИБ. Значения этих атрибутов заносятся в создаваемую запись об инциденте ИБ;

·         управление процессом оповещения конкретных членов ГРИИБ и руководителя ГРИИБ в зависимости от определенных атрибутов инцидента ИБ;

·         принятие решения об эскалации инцидента ИБ в зависимости от определенных атрибутов инцидента ИБ;

·         определение значений атрибутов инцидента ИБ работниками организации БС РФ, осуществляющими реагирование на инцидент ИБ;

·         определение значений атрибутов инцидента ИБ по результатам закрытия инцидента ИБ;

·         фиксация фактов о некорректной (ложной) классификации события ИБ в качестве инцидента ИБ.

П. 7.3.4

При регламентации действий членов ГРИИБ и других работников организации БС РФ, участвующих в реагировании на инциденты ИБ, рекомендуется увязывать эти действия со значениями отдельных атрибутов инцидента ИБ в записи о нем, а также предусматривать ведение записи об инциденте ИБ в соответствии с действующим классификатором инцидентов ИБ.

Стандарт Банка России СТО БР БФБО-1.5-2018 от 01.11.2018 "Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации"

П. 3.2

Для целей настоящего стандарта под инцидентом, связанным с нарушением требований к обеспечению защиты информации, понимается одно или серия связанных нежелательных или неожиданных событий защиты информации, которые могут привести или привели к следующим негативным последствиям:

·         переводу денежных средств без согласия клиента;

·         проведению финансовой (банковской) операции без согласия клиента;

·         неоказанию или несвоевременному оказанию услуг по переводу денежных средств;

·         неоказанию или несвоевременному оказанию финансовых (банковских) услуг.

К событиям защиты информации относятся следующие события:

а) получение уведомлений участниками информационного обмена...

б) идентифицированное возникновение и (или) изменение состояния совокупности объектов и ресурсов доступа, средств и систем обработки информации, в том числе автоматизированных систем (далее - АС), используемых для обеспечения информатизации бизнес-процессов и (или) технологических процессов участников информационного обмена, приводящее к следующим последствиям...

Стандарт Банка России СТО БР ИББС-1.3-2016 от 01.01.2017 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств"

П. 6.1

Сбор технических данных рекомендуется реализовывать в рамках установленной и документированной деятельности по сбору и фиксации информации об инцидентах ИБ, выполняемой в соответствии с РС БР ИББС-2.5.

В рамках деятельности по сбору и фиксации информации об инцидентах ИБ рекомендуется для каждого инцидента ИБ обеспечить, помимо сбора технических данных, сбор и документирование обзорной информации об инциденте ИБ - профиля инцидента ИБ, описывающего:

·         способ выявления инцидента ИБ;

·         источник информации об инциденте ИБ;

·         содержание информации об инциденте ИБ, полученной от источника;

·         сценарий реализации инцидента ИБ;

·         дату и время выявления инцидента ИБ;

·         состав информационной инфраструктуры, задействованной в реализации инцидента ИБ, в том числе пострадавшей от инцидента ИБ, уровень ее критичности для деятельности организации БС РФ;

·         способы подключения информационной инфраструктуры, задействованной в реализации инцидента ИБ, к сети Интернет или сетям общего пользования;

·         контактная информация работников организации БС РФ, в зону ответственности которых входит обеспечение эксплуатации информационной инфраструктуры, задействованной в реализации инцидента ИБ;

·         информация об операторе связи и провайдере сети Интернет.

...

П. 6.3

Рекомендуется реализовать сбор следующих технических данных:

6.3.1. Информационная инфраструктура клиента:

– энергонезависимые технические данные, расположенные на запоминающих устройствах средств вычислительной техники (СВТ), используемых клиентами для осуществления доступа к системам ДБО:

• серверном оборудовании;

• настольных компьютерах, ноутбуках;

• мобильных устройствах и планшетах;

– энергозависимые технические данные, расположенные в оперативной памяти СВТ, используемые клиентами для осуществления доступа к системам ДБО;

– энергозависимые технические данные операционных систем СВТ, используемых клиентами для осуществления доступа к системам ДБО:

• данные о сетевых конфигурациях;

• данные о сетевых соединениях;

• данные о запущенных программных процессах;

• данные об открытых файлах;

• список открытых сессий доступа;

• системные дата и время операционной системы;

– протоколы (журналы) регистрации телекоммуникационного оборудования, используемого клиентами для осуществления доступа к системам ДБО:

• маршрутизаторы, коммутаторы, точки и контроллеры беспроводного доступа, модемы;

• DHCP-сервисы;

– протоколы (журналы) регистрации средств защиты информации:

• средства (системы) аутентификации, авторизации и разграничения доступа к системам ДБО;

• средства защиты от НСД, размещенные на СВТ, используемых клиентами для осуществления доступа к системам ДБО;

• средства межсетевого экранирования;

• средства обнаружения вторжений и сетевых атак;

• средства антивирусной защиты;

• средства криптографической защиты информации (далее – СКЗИ), используемые в системах ДБО;

– протоколы (журналы) регистрации и данные почтовых серверов и средств контентной фильтрации электронной почты;

– данные сетевого трафика из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ, используемые клиентами для осуществления доступа к системам ДБО;

– протоколы (журналы) регистрации автоматических телефонных станций;

– протоколы (журналы) регистрации и данные систем видеонаблюдения и систем контроля доступа, используемые для контроля доступа в помещения, в которых расположены СВТ, используемые клиентами для осуществления доступа к системам ДБО;

– носители ключевой информации СКЗИ, используемой в системах ДБО.

6.3.2. Информационная инфраструктура организации БС РФ:

– энергонезависимые технические данные, расположенные на запоминающих устройствах СВТ целевых систем:

• серверном оборудовании целевых систем;

• серверном оборудовании, поддерживающем функционирование информационной инфраструктуры целевых систем;

• СВТ, используемых для администрирования целевых систем;

• банкоматах и POS-терминалах;

– энергозависимые технические данные, расположенные в оперативной памяти СВТ целевых систем:

• СВТ, используемых для администрирования информационной инфраструктуры целевых систем;

• серверного оборудования целевых систем;

• серверного оборудования, поддерживающего функционирование информационной инфраструктуры целевых систем;

– энергозависимые технические данные СВТ целевых систем в составе следующих данных:

• данные о сетевых конфигурациях;

• данные о сетевых соединениях;

• данные о запущенных программных процессах;

• данные об открытых файлах;

• список открытых сессий доступа;

• системные дата и время операционной системы;

– протоколы (журналы) регистрации целевых систем;

– протоколы (журналы) регистрации телекоммуникационного оборудования, используемого в информационной инфраструктуре целевых систем:

• маршрутизаторы, коммутаторы, точки и контроллеры беспроводного доступа, модемы;

• средства, используемые для предоставления удаленного доступа (VPN-шлюзы);

– протоколы (журналы) регистрации средств защиты информации, используемых в информационной инфраструктуре целевых систем:

• средства (системы) аутентификации, авторизации и разграничения доступа;

• средства межсетевого экранирования;

• средства обнаружения вторжений и сетевых атак, в том числе DDOS-атак;

• DHCP-сервисы;

• средства защиты от НСД, размещенные на СВТ, используемых для администрирования информационной инфраструктуры целевых систем;

• средства антивирусной защиты информационной инфраструктуры;

• СКЗИ;

– протоколы (журналы) регистрации и данные почтовых серверов и средств контентной фильтрации электронной почты;

– протоколы (журналы) регистрации и данные web-серверов и средств контентной фильтрации web-протоколов;

– протоколы (журналы) регистрации систем управления базами данных (далее – СУБД);

– данные сетевого трафика из (в) сегмента (сегмент) вычислительной сети, в котором расположены СВТ целевых систем;

– протоколы (журналы) регистрации автоматических телефонных станций;

– протоколы (журналы) регистрации и данные систем видеонаблюдения и систем контроля доступа, используемые для контроля доступа в помещения, в которых расположены СВТ целевых систем.

...

П. 6.4

Рекомендации по обеспечению необходимыми техническими средствами и инструментами для сбора и обработки технических данных.

Для реализации сбора и обработки технических данных организации БС РФ рекомендуется обеспечить наличие следующих готовых к использованию технических средств и инструментов:

...

– технические средства централизованного сбора, хранения и анализа протоколов (журналов) регистрации, а также автоматизированной обработки собранных технических данных (например, систем управления журналами регистрации, SIEM систем);

...

П. 12.3

Организации БС РФ рекомендуется обеспечить применение для всех целевых систем унифицированного состава технических средств и систем – источников технических данных, а также реализовать систему централизованного сбора и хранения протоколов (журналов) регистрации (например, SIEM систему).

При реализации системы централизованного сбора и хранения протоколов (журналов) регистрации рекомендуется обеспечить:

– централизованный сбор и хранение технических данных протоколов (журналов) регистрации, формируемых источниками технических данных, указанных в пункте 12.1 настоящего стандарта;

– реализация сбора технических данных путем комбинации следующих способов:

• путем периодического автоматического копирования протоколов (журналов) регистрации;

• путем получения данных, передаваемых с помощью протоколов аудита и диагностики (в том числе SYSLOG, SNMP);

• путем периодического сбора данных о фактическом составе технических средств и систем – источников технических данных путем использования средств инвентаризации и оценки защищенности, протоколов удаленного администрирования (системного сканирования);

• путем копирования сетевого трафика;

– контроль работоспособности технических средств, применяемых для сбора протоколов (журналов) регистрации;

– хранение собранных технических данных, в том числе архивное хранение, обеспечивающее:

• контроль и протоколирование доступа к собранным техническим данным;

• реализация защитных мер, направленных на обеспечение конфиденциальности, целостности и доступности собранных технических данных;

• обеспечение запрета единоличного изменения и (или) удаления собранных технических данных;

• возможность установления сроков оперативного хранения технических данных;

• архивное хранение по истечении срока оперативного хранения, реализуемое при необходимости внешними системами архивного хранения;

• возможность доступа к архивным данным о событиях информационной безопасности для цели анализа в течение трех лет;

– реализацию защиты собранных технических данных от несанкционированного доступа, двустороннюю аутентификацию при использовании общедоступных вычислительных сетей, в том числе информационно-телекоммуникационной сети Интернет, для цели передачи указанных данных;

– гарантированную доставку данных о событиях информационной безопасности;

– приведение однотипных технических данных, формируемых разными источниками технических данных, к унифицированному формату;

– возможность объединения и корреляции технических данных, сформированных разными источниками технических данных, в пределах одного общего инцидента ИБ;

– приведение (синхронизация) временных меток записей электронных журналов событий ИБ к единому часовому поясу и единому эталонному времени...

Стандарт Банка России СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения"

П. 5.23

...

Для поддержания системы защиты на должном уровне в качестве оперативной меры используется мониторинг событий и инцидентов в СИБ (системе информационной безопасности). Менеджмент событий и инцидентов безопасности, полученных в результате мониторинга ИБ, позволяет избежать деградации и обеспечить требуемый уровень безопасности активов.

...

П. 7.4.4

В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться правила и процедуры мониторинга ИБ, анализа и хранения данных о действиях и операциях, позволяющие выявлять неправомерные или подозрительные операции и транзакции...

...

В организации БС РФ должно быть реализовано ведение журналов действия и операций автоматизированных рабочих мест, серверного и сетевого оборудования, межсетевых экранов и АБС с целью их использования при реагировании на инциденты ИБ.

...

Для проведения процедур мониторинга ИБ и анализа данных о действиях и операциях следует использовать специализированные программные и (или) технические средства.

Процедуры мониторинга ИБ и анализа данных о действиях и операциях должны использовать зафиксированные критерии выявления неправомерных или подозрительных действий и операций. Указанные процедуры мониторинга ИБ и анализа должны применяться на регулярной основе, например ежедневно, ко всем выполненным действиям и операциям (транзакциям).

...

П. 7.7.9

Для повышения уровня безопасности при эксплуатации СКЗИ и их ключевых систем рекомендуется реализовать процедуры мониторинга ИБ, регистрирующие все значимые события, состоявшиеся в процессе обмена криптографически защищенными данными, и все инциденты ИБ.

П. 8.1.3

В том числе важным является выполнение таких видов деятельности, как организация обучения и повышение осведомленности в области ИБ, реализация обнаружения и реагирования на инциденты ИБ, обеспечение непрерывности бизнеса организации БС (банковской системы) РФ.

...

П. 8.1.6

Для успешного функционирования СМИБ (системы менеджмента информационной безопасности) в организации БС РФ следует выполнить следующие группы требований:

...

требования к организации обнаружения и реагирования на инциденты безопасности;

...

требования к мониторингу СОИБ (системы обеспечения информационной безопасности) и контролю защитных мер;

...

П. 8.10

Требования к организации обнаружения и реагирования на инциденты информационной безопасности.

8.10.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры обработки инцидентов, включающие:

— процедуры обнаружения инцидентов ИБ;

— процедуры информирования об инцидентах, в том числе информирования службы ИБ;

— процедуры классификации инцидентов и оценки ущерба, нанесенного инцидентом ИБ;

— процедуры реагирования на инцидент;

— процедуры анализа причин инцидентов ИБ и оценки результатов реагирования на инциденты ИБ (при необходимости с участием внешних экспертов в области ИБ).

8.10.2. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры хранения и распространения информации об инцидентах ИБ, практиках анализа инцидентов ИБ и результатах реагирования на инциденты ИБ.

8.10.3. Должны быть определены, выполняться, регистрироваться и контролироваться действия работников организации БС РФ при обнаружении нетипичных событий, связанных с ИБ, и информировании о данных событиях. Работники организации должны быть осведомлены об указанных порядках.

8.10.4. Процедуры расследования инцидентов ИБ должны учитывать законодательство РФ, положения нормативных актов Банка России, а также внутренних документов организации БС РФ в области ИБ.

8.10.5. В организациях БС РФ должны приниматься, фиксироваться и выполняться решения по всем выявленным инцидентам ИБ.

8.10.6. В организации БС РФ должны быть определены роли по обнаружению, классификации, реагированию, анализу и расследованию инцидентов ИБ и назначены ответственные за выполнение указанных ролей.

...

П. 8.12

Требования к мониторингу информационной безопасности и контролю защитных мер

8.12.1. Должны быть определены, выполняться и регистрироваться процедуры мониторинга ИБ и контроля защитных мер, включая контроль параметров конфигурации и настроек средств и механизмов защиты. Выполнение указанных процедур должно организовываться службой ИБ, охватывать все реализованные и эксплуатируемые защитные меры, входящие в СИБ.

8.12.2. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры сбора и хранения информации о действиях работников организации БС РФ, событиях и параметрах, имеющих отношение к функционированию защитных мер.

8.12.3. Информация обо всех инцидентах, выявленных в процессе мониторинга ИБ и контроля защитных мер, должна быть учтена в рамках выполнения процедур хранения информации об инцидентах ИБ.

8.12.4. Процедуры мониторинга ИБ и контроля защитных мер должны подвергаться регулярным, регистрируемым пересмотрам в связи с изменениями в составе и способах использования защитных мер, выявлением новых угроз и уязвимостей ИБ, а также на основе данных об инцидентах ИБ.

8.12.5. В организации БС РФ должны быть определены роли, связанные с выполнением процедур мониторинга ИБ и контроля защитных мер, а также пересмотром указанных процедур, и назначены ответственные за выполнение указанных ролей.

...

П. 8.15

Требования к анализу функционирования системы обеспечения информационной безопасности.

8.15.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры анализа функционирования СОИБ, использующие в том числе:

— результаты мониторинга ИБ и контроля защитных мер;

— сведения об инцидентах ИБ;

...

П. 8.16

Требования к анализу системы обеспечения информационной безопасности со стороны руководства организации банковской системы Российской Федерации.

8.16.1. В организации БС РФ должен быть установлен перечень документов (данных), необходимых для формирования информации, предоставляемой руководству с целью проведения анализа СОИБ. В частности, в указанный перечень документов должны входить:

— отчеты с результатами мониторинга ИБ и контроля защитных мер;

...

— документы, содержащие информацию по выявленным инцидентам ИБ;

...

П. 8.17

Требования к принятию решений по тактическим улучшениям системы обеспечения информационной безопасности.

8.17.1. Для принятия решений, связанных с тактическими улучшениями СОИБ, необходимо рассмотреть, среди прочего, результаты:

— мониторинга ИБ и контроля защитных мер;

...

— обработки инцидентов ИБ;

...

П. 8.18

Требования к принятию решений по стратегическим улучшениям системы обеспечения информационной безопасности.

8.18.1. Для принятия решений, связанных со стратегическими улучшениями СОИБ, необходимо рассмотреть, среди прочего, результаты:

...

— мониторинга ИБ и контроля защитных мер;

...

— обработки инцидентов ИБ;

...

П. 9.2

Основными целями мониторинга ИБ и контроля защитных мер в организации БС РФ являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные цели. Такими целями анализа могут быть:

...

— выявление инцидентов ИБ.

Документ Банка России № 4-МР от 14.02.2019 "Методические рекомендации по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации"

П. 4.1

Банкам рекомендуется обеспечивать регистрацию инцидентов, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор, а также передаче биометрических персональных данных в целях удаленной идентификации.

П. 4.2

Банкам рекомендуется информировать Банк России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор, а также передаче биометрических персональных данных в целях удаленной идентификации.

4.2.1. Рекомендуется направлять в Банк России сведения о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор, а также передаче биометрических персональных данных в целях удаленной идентификации с использованием технической инфраструктуры (автоматизированной системы) Банка России.

4.2.2. Банкам рекомендуется направлять информацию о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор, а также передаче биометрических персональных данных в целях удаленной идентификации, по формам предоставления, размещенным на официальном сайте Банка России в информационно-телекоммуникационной сети «Интернет».

П. 4.3

Информирование Банка России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор, а также передаче биометрических персональных данных в целях удаленной идентификации рекомендуется осуществлять в максимально короткие сроки, по возможности, не превышающие одного рабочего дня с момента выявления инцидента.

Приказ Минкомсвязи России № 321 от 25.06.2018 "Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации"

П. 9

В дополнение к мерам, предусмотренным пунктом 7 настоящего Порядка, банки должны обеспечивать:

1) информирование Банка России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации (далее - инциденты безопасности, требования по защите информации соответственно), которые привели или могут привести к нарушению или попыткам нарушения целостности, конфиденциальности и (или) доступности защищаемой информации.

Банки осуществляют информирование Банка России о выявленных инцидентах безопасности не позднее одного рабочего дня с момента их выявления.

...

Приложение 2

6. При размещении и обновлении сведений в единой биометрической системе банки должны осуществлять информирование Банка России о выявленных инцидентах безопасности в соответствии с подпунктом 1 пункта 9 Порядка обработки.

Приложение 3

5. Банки при обработке, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации должны использовать информационные технологии и технические средства, которые соответствуют 2-му уровню защиты информации (стандартный), установленному национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Национальный стандарт Российской Федерации. Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый набор организационных и технических мер», утвержденному приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года № 882-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2017).

Положение Банка России № 716-П от 08.04.2020 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе"

П. 1.3

Система управления операционным риском в кредитной организации (головной кредитной организации банковской группы) включает следующие элементы:

...

базу событий;

...

автоматизированную информационную систему, объем и функциональность которой определяется осуществляемыми операциями и (или) действующими процессами кредитной организации (головной кредитной организации банковской группы), обеспечивающую функционирование как в целом системы управления операционным риском, так и отдельных ее элементов (например, базы событий), в том числе сохранность данных и их защиту от искажений;

...

П. 2.1.2

Сбор и регистрация информации о внутренних событиях операционного риска и потерях от его реализации, включающие следующие способы:

автоматизированное выявление информации из информационных систем о реализовавшихся или возможных в будущем событиях операционного риска;

...

П. 2.1.7

Мониторинг операционного риска, включающий следующие способы:

....

мониторинг потоков информации в рамках реализации операционного риска, поступающей от подразделений кредитной организации (головной кредитной организации банковской группы) и центров компетенций, единоличного и коллегиального органов управления кредитной организации (головной кредитной организации банковской группы), из других источников информации.

...

П. 4.1.5

Комплекс мероприятий, направленных на повышение качества системы управления операционным риском и уменьшение негативного влияния операционного риска, включая мероприятия, направленные на предотвращение и (или) снижение вероятности событий операционного риска, и мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска.

...

Мероприятия, направленные на ограничение размера потерь от реализации событий операционного риска, включают:

...

разработку кредитной организацией (головной кредитной организацией банковской группы) планов по обеспечению непрерывности и (или) восстановления критически важных процессов и функционирования информационных систем, включая автоматизированные системы, программные и (или) программно-аппаратные средства, телекоммуникационное оборудование и линии связи, эксплуатация и использование которых обеспечивается кредитной организацией (головной кредитной организацией банковской группы) для осуществления процессов и операций (далее - объекты информационной инфраструктуры), а также планов по обеспечению безопасности и целостности информационных систем и информации, в том числе в соответствии с требованиями главы 8 настоящего Положения, с учетом внешних факторов, влияющих на критически важный процесс и (или) информационную систему, в случае реализации операционного риска, включая систему быстрого реагирования на события операционного риска;

...

П. 7.3

Инциденты, приведшие к фактической реализации риска информационной безопасности, в том числе киберриска, обусловленные источниками риска информационной безопасности, в том числе инциденты, связанные с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных в соответствии с Положением Банка России от 9 июня 2012 года № 382-П ... и Положением Банка России от 17 апреля 2019 года № 683-П ... (далее - инциденты защиты информации), вследствие которых возникли прямые и непрямые потери кредитной организации (головной кредитной организации банковской группы) (далее - событие риска информационной безопасности), фиксируются кредитной организацией (головной кредитной организацией банковской группы) в базе событий с присвоением вида операционного риска...

П. 7.7

Кредитная организация (головная кредитная организация банковской группы) в целях управления риском информационной безопасности определяет во внутренних документах порядок функционирования системы информационной безопасности и обеспечивает его выполнение, в том числе:

...

·         выявление событий риска информационной безопасности, включая обнаружение компьютерных атак, рассмотрение обращений клиентов, контрагентов, работников и третьих лиц, связанных с нарушением информационной безопасности, выявление и регистрацию инцидентов защиты информации, выявление уязвимостей и фактов компрометации объектов информационной инфраструктуры;

·         порядок реагирования на выявленные события риска информационной безопасности и восстановления деятельности кредитной организации (головной кредитной организации банковской группы) в случае реализации таких событий, включая порядок взаимодействия кредитной организации (головной кредитной организации банковской группы) с клиентами и третьими лицами, в том числе в случае получения уведомлений об осуществлении переводов денежных средств без согласия клиентов;

·         обмен информацией о событиях риска информационной безопасности, в том числе об инцидентах защиты информации, и предоставление данных в Банк России в соответствии с требованиями пункта 8 Положения Банка России № 683-П;

...

·         выполнение требований к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, в соответствии с пунктом 5 Положения Банка России № 683-П;

...

П. 7.9.2

В целях управления риском информационной безопасности:

·         соблюдение процедур управления операционным риском, установленных в подпунктах 2.1.1, 2.1.2 и 2.1.7 пункта 2.1 настоящего Положения, в части идентификации, сбора и регистрации информации о событиях риска информационной безопасности и потерях в базе событий, мониторинга риска информационной безопасности, в том числе на основе информации, предоставляемой центрами компетенций, ответственными за сбор информации о событиях операционного риска;

·         ведение базы событий риска информационной безопасности;

...

Приложение 4

2. Тип события операционного риска "преднамеренные действия третьих лиц" включает:

2.2. нарушение безопасности информационных систем, состоящее в преднамеренных действиях третьих лиц в отношении имущества, информации, данных, материальных и (или) нематериальных активов кредитной организации и средств клиентов. К данному типу событий операционного риска относятся все виды кибератак, совершенных третьими лицами с применением объектов информационной инфраструктуры по отношению к информации и данным, содержащимся во внутренних информационных системах кредитной организации (реализация событий киберриска).

Положение Банка России № 672-П от 09.01.2019 "О требованиях к защите информации в платежной системе Банка России"

П. 6.1

Документы должны приниматься в рамках следующих процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017:

...

управление инцидентами защиты информации;

...

П. 19.1

Обращения о приостановлении обмена электронными сообщениями в случае выявления инцидента, связанного с несоблюдением требований к защите информации, и обращения об отмене приостановления обмена электронными сообщениями (далее при совместном упоминании - обращения) должны направляться с использованием технической инфраструктуры (автоматизированной системы) Банка России.

Положение Банка России № 684-П от 17.04.2019 "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций"

П. 13

Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны осуществлять регистрацию инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков (далее - инциденты защиты информации), а также представлять сведения о выявленных инцидентах защиты информации должностному лицу (отдельному структурному подразделению), ответственному за управление рисками, при наличии указанного должностного лица (отдельного структурного подразделения) в соответствии с внутренними документами указанных некредитных финансовых организаций при соблюдении следующих требований.

П. 13.1

Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, к инцидентам защиты информации должны относить события, которые привели или могут по оценке указанных некредитных финансовых организаций привести к осуществлению финансовых операций без согласия клиента некредитной финансовой организации, неоказанию услуг, связанных с осуществлением финансовых операций, в том числе события, включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на своем официальном сайте в сети "Интернет" (далее - перечень типов инцидентов).

П. 13.2

По каждому инциденту защиты информации некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны осуществлять регистрацию следующей информации:

·         защищаемой информации на технологических участках, на которых произошел несанкционированный доступ к защищаемой информации;

·         результата реагирования на инцидент защиты информации, в том числе совершенных действий по возврату денежных средств, ценных бумаг и иного имущества клиента некредитной финансовой организации.

П. 14

Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать:

·         хранение информации, указанной в абзацах втором и четвертом пункта 1 настоящего Положения, информации о регистрации данных, указанных в пункте 12 настоящего Положения, и информации об инцидентах защиты информации;

·         целостность и доступность информации, указанной в абзаце первом настоящего пункта, в течение не менее чем пяти лет с даты ее формирования некредитной финансовой организацией (даты поступления в некредитную финансовую организацию), а в случае если законодательством Российской Федерации, регулирующим деятельность некредитных финансовых организаций, установлен иной срок - на срок, установленный законодательством Российской Федерации, регулирующим деятельность некредитных финансовых организаций.

П. 15

Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны информировать Банк России:

·         о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов;

·         о планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайтах в сети "Интернет", в отношении инцидентов защиты информации не позднее одного рабочего дня до дня проведения мероприятия.

Положение Банка России № 683-П от 17.04.2019 "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента"

П. 5.2

Кредитные организации должны обеспечивать регламентацию, реализацию, контроль (мониторинг) технологии обработки защищаемой информации...

5.2.3. Регистрации подлежат данные о действиях работников, выполняемых с использованием автоматизированных систем, программного обеспечения...

5.2.4. Регистрации подлежат данные о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения...

5.2.5. Кредитные организации должны обеспечивать хранение:

...

информации, указанной в подпунктах 5.2.3 и 5.2.4 настоящего пункта, пункте 8 настоящего Положения.

Кредитные организации должны обеспечивать целостность и доступность информации, указанной в настоящем подпункте, не менее пяти лет начиная с даты ее формирования (поступления).

...

П. 8

Кредитные организации к инцидентам, связанным с нарушениями требований к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств (далее - инциденты защиты информации), должны относить события, которые привели или могут привести к осуществлению банковских операций без согласия клиента, неоказанию услуг, связанных с осуществлением банковских операций, в том числе включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на официальном сайте Банка России в сети "Интернет" (далее - перечень типов инцидентов).

Кредитные организации устанавливают во внутренних документах порядок регистрации инцидентов защиты информации и информационного обмена со службой управления рисками, создаваемой в соответствии с пунктом 3.6 Указания Банка России от 15 апреля 2015 года N 3624-У "О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы", зарегистрированного Министерством юстиции Российской Федерации 26 мая 2015 года N 37388, 28 декабря 2015 года N 40325, 7 декабря 2017 года N 49156, 5 сентября 2018 года № 52084. Сведения об инцидентах защиты информации направляются в службу управления рисками в целях включения их в аналитическую базу данных об убытках, понесенных вследствие реализации операционного риска, в порядке, установленном внутренними документами кредитной организации.

Кредитные организации должны обеспечивать регистрацию инцидентов защиты информации.

По каждому инциденту защиты информации кредитные организации должны обеспечивать регистрацию:

·         защищаемой информации, обрабатываемой на технологическом участке (участках), на котором (которых) произошел несанкционированный доступ к защищаемой информации;

·         результата реагирования на инцидент защиты информации, в том числе действий по возврату денежных средств или электронных денежных средств.

Кредитные организации должны осуществлять информирование Банка России:

·         о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов;

·         о планируемых мероприятиях по раскрытию информации об инцидентах защиты информации, включая размещение информации на официальных сайтах в сети "Интернет", выпуск пресс-релизов и проведение пресс-конференций не позднее одного рабочего дня до дня проведения мероприятия.

...

Постановление Правительства РФ № 584 от 13.06.2012 "Об утверждении Положения о защите информации в платежной системе"

П. 4

Правила платежной системы должны предусматривать в том числе следующие требования к защите информации:

...

ж) выявление инцидентов, связанных с нарушением требований к защите информации, реагирование на них;

...

Положение Банка России № 719-П от 04.06.2020 "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" вступает в силу с 01 января 2022 года, заменяя Положение Банка России № 382-П от 09.06.2012 г.

П. 1.5

Операторы по переводу денежных средств, операторы услуг платежной инфраструктуры в части требований к обеспечению защиты информации при осуществлении переводов денежных средств, применяемых в отношении информирования Банка России об инцидентах (событиях), связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, в том числе включенных в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, и размещаемый Банком России на официальном сайте Банка России в сети «Интернет» (далее соответственно - инциденты защиты информации, перечень типов инцидентов), должны осуществлять информирование Банка России:

·         о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов;

·         о планируемых мероприятиях по раскрытию информации об инцидентах защиты информации, включая размещение информации на официальных сайтах в сети «Интернет», выпуск пресс-релизов и проведение пресс-конференций, не позднее одного рабочего дня до дня проведения мероприятия.

...

П. 2.6

Операторы по переводу денежных средств должны установить порядок их информирования привлекаемыми ими банковскими платежными агентами (субагентами), операторами услуг информационного обмена о выявленных инцидентах защиты информации. Операторы по переводу денежных средств по запросу Банка России должны направлять в Банк России сведения об инцидентах защиты информации, полученные от привлекаемых ими банковских платежных агентов (субагентов), операторов услуг информационного обмена.

П. 5.1

Оператор платежной системы в целях реализации пункта 11 части 3 статьи 28 Федерального закона № 161-ФЗ (Собрание законодательства Российской Федерации, 2011, № 27, ст. 3872) в рамках системы управления рисками в платежной системе определяет в правилах платежной системы и иных документах порядок обеспечения защиты информации в платежной системе для операторов по переводу денежных средств, являющихся участниками платежной системы, операторов услуг платежной инфраструктуры с учетом требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - требования к обеспечению защиты информации в платежной системе).

Оператор платежной системы должен определить требования к обеспечению защиты информации в платежной системе в отношении следующих мероприятий:

...

·         реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры процессов реагирования на инциденты защиты информации и восстановления штатного функционирования объектов информационной инфраструктуры в случае реализации инцидентов защиты информации;

·         реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры взаимодействия при обмене информацией об инцидентах защиты информации;

...

П. 5.2

Оператор платежной системы в целях снижения риска информационной безопасности в платежной системе должен реализовывать механизмы совершенствования требований, указанных в пункте 5.4 настоящего Положения, предусматривающие в том числе накопление и учет опыта реагирования на инциденты защиты информации и восстановления функционирования платежной системы после их реализации.

...

П. 5.4

Оператор платежной системы должен обеспечить учет и доступность для операторов по переводу денежных средств, являющихся участниками платежной системы, и операторов услуг платежной инфраструктуры информации:

·         о выявленных в платежной системе инцидентах защиты информации;

·         о методиках анализа и реагирования на инциденты защиты информации.

...

Приложение 1

1. В целях обеспечения защиты информации при совершении операций, связанных с осуществлением переводов денежных средств, банковскими платежными агентами (субагентами), операторами услуг информационного обмена, операторами услуг платежной инфраструктуры могут применяться следующие технологические меры.

...

1.10. Обеспечение хранения защищаемой информации, информации о событиях, подлежащих регистрации, информации об инцидентах защиты информации в течение пяти лет с даты формирования информации в неизменном виде.

...

Положение Банка России № 382-П от 09.06.2012 (в редакции от 07.05.2018) "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", которое действует до 01 января 2022 года, когда вступает в силу новое Положение Банка России № 719-П от 04.06.2020 "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"

П. 2.2

Требования к обеспечению защиты информации при осуществлении переводов денежных средств включают в себя:

...

требования к выявлению инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, и реагированию на них;

...

П. 2.13

В состав требований к выявлению инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, и реагирования на них включаются следующие требования.

2.13.1. Оператор платежной системы определяет:

·         требования к порядку, форме и срокам информирования оператора платежной системы, операторов по переводу денежных средств и операторов услуг платежной инфраструктуры о выявленных в платежной системе инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств; информирование оператора платежной системы о выявленных операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры, привлекаемыми для оказания услуг платежной инфраструктуры в платежной системе, инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, осуществляется ежемесячно;

·         требования к взаимодействию оператора платежной системы, операторов по переводу денежных средств и операторов услуг платежной инфраструктуры в случае выявления в платежной системе инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств.

Оператор по переводу денежных средств и оператор услуг платежной инфраструктуры обеспечивают выполнение указанных в настоящем подпункте требований.

2.13.2. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают:

·         применение организационных мер защиты информации и (или) использование технических средств защиты информации, предназначенных для выявления инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств;

·         информирование службы информационной безопасности, в случае ее наличия, о выявлении инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств;

·         реагирование на выявленные инциденты, связанные с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств;

·         анализ причин выявленных инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, проведение оценки результатов реагирования на такие инциденты.

2.13.3. Оператор платежной системы обеспечивает учет и доступность для операторов по переводу денежных средств, являющихся участниками платежной системы, и операторов услуг платежной инфраструктуры, привлекаемых для оказания услуг платежной инфраструктуры в платежной системе, информации:

·         о выявленных в платежной системе инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств;

·         о методиках анализа и реагирования на инциденты, связанные с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств.

П. 2.16.2

Информация, направляемая операторами по переводу денежных средств и операторами услуг платежной инфраструктуры, за исключением операционных центров, находящихся за пределами Российской Федерации, оператору платежной системы для целей анализа обеспечения в платежной системе защиты информации при осуществлении переводов денежных средств, включает следующую информацию:

...

о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств;

...

П. 2.18.6

Оператор по переводу денежных средств обеспечивает периодический контроль состояния ТУ ДБО с целью выявления событий, влияющих на обеспечение защиты информации при осуществлении переводов денежных средств. К таким событиям, в том числе, относятся:

·         несанкционированное внесение изменений в программное обеспечение ТУ ДБО, включая внедрение вредоносного кода;

·         несанкционированное внесение изменений в аппаратное обеспечение ТУ ДБО (установка несанкционированного оборудования на (в) ТУ ДБО), включая несанкционированное использование коммуникационных портов;

·         сбои и отказы в работе технических средств защиты информации, устройств приема платежных карт (при наличии данных устройств), устройств приема наличных денежных средств (при наличии данных устройств), устройств выдачи наличных денежных средств (при наличии данных устройств).

В случае выявления событий, указанных в настоящем подпункте, оператор по переводу денежных средств обеспечивает приведение ТУ ДБО в такое состояние, при котором обслуживание клиентов невозможно, до минимизации возможности наступления негативных последствий выявленных событий или устранения несанкционированных изменений в программном и аппаратном обеспечении ТУ ДБО.

ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер"

П. 7.7.1.1

Применяемые финансовой организацией меры по мониторингу и анализу событий защиты информации должны обеспечивать:

·         организацию мониторинга данных регистрации о событиях защиты информации, формируемых средствами и системами защиты информации, объектами информатизации, в том числе в соответствии с требованиями к содержанию базового состава мер защиты информации настоящего стандарта;

·         сбор, защиту и хранение данных регистрации о событиях защиты информации;

·         анализ данных регистрации о событиях защиты информации;

·         регистрацию событий защиты информации, связанных с операциями по обработке данных регистрации о событиях защиты информации.

П. 7.7.1.2

Базовый состав мер по организации мониторинга данных регистрации о событиях защиты информации, формируемых объектами информатизации, применительно к уровням защиты информации ...

МАС.1           – Организация мониторинга данных регистрации о событиях защиты информации, формируемых техническими мерами, входящими в состав системы защиты информации

МАС.2           – Организация мониторинга данных регистрации о событиях защиты информации, формируемых сетевым оборудованием, в том числе активным сетевым оборудованием, маршрутизаторами, коммутаторами

МАС.3           – Организация мониторинга данных регистрации о событиях защиты информации, формируемых сетевыми приложениями и сервисами

МАС.4           – Организация мониторинга данных регистрации о событиях защиты информации, формируемых системным ПО, операционными системами, СУБД

MAC.5           – Организация мониторинга данных регистрации о событиях защиты информации, формируемых АС и приложениями

МАС.6           – Организация мониторинга данных регистрации о событиях защиты информации, формируемых контроллерами доменов

MAC.7           – Организация мониторинга данных регистрации о событиях защиты информации, формируемых средствами (системами) контроля и управления доступом

П. 7.7.1.3

Базовый состав мер по сбору, защите и хранению данных регистрации о событиях защиты информации применительно к уровням защиты информации ….

MAC.8           – Централизованный сбор данных регистрации о событиях защиты информации, формируемых объектами информатизации, определенных мерами МАС.1-MAC.7 таблицы 33

MAC.9           – Генерация временных меток для данных регистрации о событиях защиты информации и синхронизации системного времени объектов информатизации, используемых для формирования, сбора и анализа данных регистрации

MAC.10 – Контроль формирования данных регистрации о событиях защиты информации объектов информатизации, определенных мерами МАС.1- МAC.7 таблицы 33

MAC.11 – Реализация защиты данных регистрации о событиях защиты информации от раскрытия и модификации, двухсторонней аутентификации при передаче данных регистрации с использованием сети Интернет

MAC.12 – Обеспечение гарантированной доставки данных регистрации о событиях защиты информации при их централизованном сборе

MAC.13 – Резервирование необходимого объема памяти для хранения данных регистрации о событиях защиты информации

MAC.14 – Реализация защиты данных регистрации о событиях защиты информации от НСД при их хранении, обеспечение целостности и доступности хранимых данных регистрации

MAC.15 – Обеспечение возможности доступа к данным регистрации о событиях защиты информации в течение трех лет

MAC.16 – Обеспечение возможности доступа к данным регистрации о событиях защиты информации в течение пяти лет

П. 7.7.1.4

Базовый состав мер по анализу данных регистрации о событиях защиты информации применительно к уровням защиты информации ….

MAC.17 – Обеспечение возможности выполнения операции нормализации (приведения к единому формату), фильтрации, агрегации и классификации данных регистрации о событиях защиты информации

MAC.18 – Обеспечение возможности выявления и анализа событий защиты информации, потенциально связанных с инцидентами защиты информации, в том числе НСД

MAC.19 – Обеспечение возможности определения состава действий и (или) операций конкретного субъекта доступа

МАС.20 – Обеспечение возможности определения состава действий и (или) операций субъектов доступа при осуществлении логического доступа к конкретному ресурсу доступа

П. 7.7.1.5

Базовый состав мер по регистрации событий защиты информации, связанных с операциями по обработке данных регистрации о событиях защиты информации, применительно к уровням защиты информации...

МАС.21 – Регистрация нарушений и сбоев в формировании и сборе данных о событиях защиты информации

МАС.22 – Регистрация доступа к хранимым данным о событиях защиты информации

МАС.23 – Регистрация операций, связанных с изменением правил нормализации (приведения к единому формату), фильтрации, агрегации и классификации данных регистрации о событиях защиты информации

П. 7.7.2.1

Применяемые финансовой организацией меры по обнаружению инцидентов защиты информации и реагирование на них должны обеспечивать:

·         обнаружение и регистрацию инцидентов защиты информации;

·         организацию реагирования на инциденты защиты информации;

·         организацию хранения и защиту информации об инцидентах защиты информации;

·         регистрацию событий защиты информации, связанных с результатами обнаружения инцидентов защиты информации и реагирования на них.

П. 7.7.2.2

Базовый состав мер по обнаружению и регистрации инцидентов защиты информации применительно к уровням защиты информации ...

РИ.1 – Регистрация информации о событиях защиты информации, потенциально связанных с инцидентами защиты информации, в том числе НСД, выявленными в рамках мониторинга и анализа событий защиты информации

РИ.2 – Регистрация информации, потенциально связанной с инцидентами защиты информации, в том числе НСД, полученной от работников, клиентов и (или) контрагентов финансовой организации

РИ.3 – Классификация инцидентов защиты информации с учетом степени их влияния (критичности) на предоставление финансовых услуг, реализацию бизнес-процессов и (или) технологических процессов финансовой организации

РИ.4 – Установление и применение единых правил получения от работников, клиентов и (или) контрагентов финансовой организации информации, потенциально связанной с инцидентами защиты информации

РИ.5 – Установление и применение единых правил регистрации и классификации инцидентов защиты информации в части состава и содержания атрибутов, описывающих инцидент защиты информации, и их возможных значений

П. 7.7.2.3

Базовый состав мер по организации реагирования на инциденты защиты информации применительно к уровням защиты информации ...

РИ.6 – Установление и применение единых правил реагирования на инциденты защиты информации

РИ.10 – Своевременное (оперативное) оповещение членов ГРИЗИ о выявленных инцидентах защиты информации

РИ.11 – Предоставление членам ГРИЗИ прав логического и физического доступа и административных полномочий, необходимых для проведения реагирования на инциденты защиты информации

РИ.12 – Проведение реагирования на каждый обнаруженный инцидент защиты информации, включающего:

·         анализ инцидента;

·         определение источников и причин возникновения инцидента;

·         оценку последствий инцидента на предоставление финансовых услуг, реализацию бизнес-процессов или технологических процессов финансовой организации;

·         принятие мер по устранению последствий инцидента;

·         планирование и принятие мер по предотвращению повторного возникновения инцидента.

РИ.13 – Установление и применение единых правил сбора, фиксации и распространения информации об инцидентах защиты информации

РИ.14 – Установление и применение единых правил закрытия инцидентов защиты информации

П. 7.7.2.4

Базовый состав мер по организации хранения и защите информации об инцидентах защиты информации применительно к уровням защиты информации...

РИ.15 – Реализация защиты информации об инцидентах защиты информации от НСД, обеспечение целостности и доступности указанной информации

РИ.16 – Разграничение доступа членов ГРИЗИ к информации об инцидентах защиты информации в соответствии с определенным распределением ролей, связанных с реагированием на инциденты защиты информации

РИ.17 – Обеспечение возможности доступа к информации об инцидентах защиты информации в течение трех лет

РИ.18 – Обеспечение возможности доступа к информации об инцидентах защиты информации в течение пяти лет

П. 7.7.2.5

Базовый состав мер по регистрации событий защиты информации, связанных с результатами обнаружения инцидентов защиты информации и реагирования на них, применительно к уровням защиты информации ...

РИ.19 – Регистрация доступа к информации об инцидентах защиты информации

1.3. Защита персональных данных, защита информации в государственных информационных системах

Приказ ФСТЭК России № 21 от 18.02.2013 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (в редакции Приказа ФСТЭК России № 49)

П. 8

В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

...

регистрация событий безопасности;

...

выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;

...

П. 8.5

Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.

П .8.14

Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.

Приложение

V. Регистрация событий безопасности (РСБ):

РСБ.З – Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

РСБ.4 – Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти

РСБ.5 – Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

 

XIV. Выявление инцидентов и реагирование на них (ИНЦ):

ИНЦ.2 – Обнаружение, идентификация и регистрация инцидентов

ИНЦ.3 – Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами

ИНЦ.4 – Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий

ИНЦ.5 – Принятие мер по устранению последствий инцидентов

ИНЦ.6 – Планирование и принятие мер по предотвращению повторного возникновения инцидентов

Общий регламент о защите данных (General Data Protection Regulation, GDPR).

GDPR действует в Евросоюзе с 25.05.2018, его нормы о защите персональных данных граждан ЕС распространяются на любые организации, работающие с персональными данными резидентов Евросоюза, т.е. любая российская компания, работающая с данными европейских граждан, будет обязана соблюдать положения GDPR.

Пункт 82

Для подтверждения соответствия GDPR, контролёр (controller) или обработчик (processor) должны вести аудит действий по обработке персональных данных в зоне своей ответственности. Каждый контролёр и обработчик должны сотрудничать с надзорным органом и предоставлять ему по запросу записи такого аудита в целях контроля обработки персональных данных.

Статья 33

1. В случае наступления инцидента (утечки) персональных данных, контролёр должен без промедления и, по возможности, не позднее 72 часов с момента обнаружения инцидента, уведомить об инциденте надзорный орган…

2. Обработчик должен без промедления уведомить контролера об обнаруженной утечке персональных данных.

5. Контролер должен документировать все утечки персональных данных, включая факты об инциденте, последствиях и выполненных действиях по реагированию…

Приказ ФСТЭК России № 17 от 11.02.2013 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (в редакции Приказов ФСТЭК России № 27, № 106)

П. 16.2

Разрабатываемые организационно-распорядительные документы по защите информации должны определять правила и процедуры:

...

выявления инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации (далее - инциденты), и реагирования на них;

...

П. 18

Обеспечение защиты информации в ходе эксплуатации информационной системы должно осуществляться оператором в соответствии с эксплуатационной документацией и организационно-распорядительными документами по защите информации и включать следующие мероприятия:

...

реагирование на инциденты;

...

П. 18.5

В ходе реагирования на инциденты осуществляются:

·         обнаружение и идентификация инцидентов, в том числе отказов в обслуживании, сбоев (перезагрузок) в работе технических средств, программного обеспечения и средств защиты информации, нарушений правил разграничения доступа, неправомерных действий по сбору информации, внедрений вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;

·         своевременное информирование пользователями и администраторами лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе;

·         анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;

·         планирование и принятие мер по устранению инцидентов, в том числе по восстановлению информационной системы и ее сегментов в случае отказа в обслуживании или после сбоев, устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;

·         планирование и принятие мер по предотвращению повторного возникновения инцидентов.

Приложение №2

V. Регистрация событий безопасности (РСБ):

РСБ.3 – Сбор, запись и хранение информации о событиях безопасности в течении установленного времени хранения

РСБ.4 – Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти

РСБ.5 – Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

РСБ.8 – Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе

2. Нормативное обоснование необходимости применения систем SGRC

Системы SGRC (Security Governance, Risk Management and Compliance, системы управления кибербезопасностью, рисками и соответствием законодательству) решают задачи автоматизации менеджмента процессов ИБ (управление ИТ-активами, уязвимостями, документами, задачами), управления киберрисками, обеспечения соответствия законодательным, отраслевым и внутренним нормативным актам. Кроме того, SGRC-системы помогают автоматизировать процессы проведения аудитов (внутренних и внешних), предоставления отчетности и визуализации состояния/метрик ИБ, а также обеспечивают интеграцию с информационными системами для мониторинга состояния кибербезопасности и, в некоторых случаях, для управления настройками средств защиты (технология auto-SGRC).

Рассмотрим ниже основные отечественные и применимые международные нормативные требования и рекомендации, выполнение которых будет гораздо более эффективным с использованием SGRC-решений.

2.1. Защита критической информационной инфраструктуры

Федеральный Закон № 187 от 26.07.2017 "О безопасности критической информационной инфраструктуры Российской Федерации"

Ст. 8

Реестр значимых объектов критической информационной инфраструктуры.

1. В целях учета значимых объектов критической информационной инфраструктуры федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, ведет реестр значимых объектов критической информационной инфраструктуры в установленном им порядке. В данный реестр вносятся следующие сведения:

6) сведения о программных и программно-аппаратных средствах, используемых на значимом объекте критической информационной инфраструктуры;

7) меры, применяемые для обеспечения безопасности значимого объекта критической информационной инфраструктуры.

...

Ст. 9

Права и обязанности субъектов критической информационной инфраструктуры

1. Субъекты критической информационной инфраструктуры имеют право:

1) получать от федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, информацию, необходимую для обеспечения безопасности значимых объектов критической информационной инфраструктуры, принадлежащих им на праве собственности, аренды или ином законном основании, в том числе об угрозах безопасности обрабатываемой такими объектами информации и уязвимости программного обеспечения, оборудования и технологий, используемых на таких объектах;

Приказ ФСТЭК России № 31 от 14.03.2014 "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды" (в редакции Приказа ФСТЭК России № 138)

П. 13.3

Определение угроз безопасности информации осуществляется на каждом из уровней автоматизированной системы управления и должно включать:

а) выявление источников угроз безопасности информации и оценку возможностей (потенциала) внешних и внутренних нарушителей;

б) анализ возможных уязвимостей автоматизированной системы и входящих в ее состав программных и программно-аппаратных средств;

в) определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации;

г) оценку возможных последствий от реализации (возникновения) угроз безопасности информации, нарушения отдельных свойств безопасности информации (целостности, доступности, конфиденциальности) и автоматизированной системы управления в целом.

В качестве исходных данных при определении угроз безопасности информации используется банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России…

Модель угроз безопасности информации должна содержать описание автоматизированной системы управления и угроз безопасности информации для каждого из уровней автоматизированной системы управления, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей автоматизированной системы управления, способов (сценариев) реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (доступности, целостности, конфиденциальности) и штатного режима функционирования автоматизированной системы управления.

П. 15.7

Анализ уязвимостей автоматизированной системы управления проводится в целях оценки возможности преодоления нарушителем системы защиты автоматизированной системы управления и нарушения безопасного функционирования автоматизированной системы управления за счет реализации угроз безопасности информации.

Анализ уязвимостей автоматизированной системы управления включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления.

При анализе уязвимостей автоматизированной системы управления проверяется отсутствие уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации, технических средств и программного обеспечения автоматизированной системы управления при их взаимодействии.

По решению заказчика для подтверждения выявленных уязвимостей может проводиться тестирование автоматизированной системы управления на проникновение. Указанное тестирование проводится, как правило, на макете (в тестовой зоне) автоматизированной системы управления.

В случае выявления уязвимостей в автоматизированной системе управления, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность эксплуатации нарушителем выявленных уязвимостей.

П. 16

Обеспечение защиты информации в ходе эксплуатации автоматизированной системы управления осуществляется оператором в соответствии с эксплуатационной документацией на систему защиты и организационно-распорядительными документами по защите информации и включает следующие процедуры:

периодический анализ угроз безопасности информации в автоматизированной системе управления и рисков от их реализации;

управление (администрирование) системой защиты автоматизированной системы управления;

управление конфигурацией автоматизированной системы управления и ее системы защиты;

П. 16.4

В ходе анализа угроз безопасности информации в автоматизированной системе управления и возможных рисков от их реализации осуществляются:

периодический анализ уязвимостей автоматизированной системы управления, возникающих в ходе ее эксплуатации;

периодический анализ изменения угроз безопасности информации в автоматизированной системе управления, возникающих в ходе ее эксплуатации;

периодическая оценка последствий от реализации угроз безопасности информации в автоматизированной системе управления (анализ риска).

П. 16.5

В ходе управления (администрирования) системой защиты автоматизированной системы управления осуществляются:

управление средствами защиты информации в автоматизированной системе управления, в том числе параметрами настройки программного обеспечения, включая восстановление работоспособности средств защиты информации, генерацию, смену и восстановление паролей;

управление обновлениями программного обеспечения, включая программное обеспечение средств защиты информации, с учетом особенностей функционирования автоматизированной системы управления;

централизованное управление системой защиты автоматизированной системы управления (при необходимости);

П. 16.7

В ходе управления конфигурацией автоматизированной системы управления и ее системы защиты осуществляются:

поддержание конфигурации автоматизированной системы управления и ее системы защиты (структуры системы защиты автоматизированной системы управления, состава, мест установки и параметров настройки средств защиты информации, программного обеспечения и технических средств) в соответствии с эксплуатационной документацией на систему защиты (поддержание базовой конфигурации автоматизированной системы управления и ее системы защиты);

..

управление изменениями базовой конфигурации автоматизированной системы управления и ее системы защиты, в том числе определение типов возможных изменений базовой конфигурации автоматизированной системы управления и ее системы защиты, санкционирование внесения изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты, документирование действий по внесению изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты, сохранение данных об изменениях базовой конфигурации автоматизированной системы управления и ее системы защиты, контроль действий по внесению изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты;

анализ потенциального воздействия планируемых изменений в базовой конфигурации автоматизированной системы управления и ее системы защиты на обеспечение ее безопасности, возникновение дополнительных угроз безопасности информации и работоспособность автоматизированной системы управления;

определение параметров настройки программного обеспечения, включая программное обеспечение средств защиты информации, состава и конфигурации технических средств и программного обеспечения до внесения изменений в базовую конфигурацию автоматизированной системы управления и ее системы защиты;

Приложение №2

IV. Защита машинных носителей информации (ЗНИ):

ЗНИ.1 – Учет машинных носителей информации

 

V. Аудит безопасности (АУД):

АУД.1 – Инвентаризация информационных ресурсов

АУД.2 – Анализ уязвимостей и их устранение

 

XIII. Управление конфигурацией (УКФ):

УКФ.0 – Разработка политики управления конфигурацией информационной (автоматизированной) системы

УКФ.1 – Идентификация объектов управления конфигурацией

УКФ.2 – Управление изменениями

УКФ.4 – Контроль действий по внесению изменений

 

XIV. Управление обновлениями программного обеспечения (ОПО):

ОПО.0 – Разработка политики управления обновлениями программного обеспечения

ОПО.1 – Поиск, получение обновлений программного обеспечения от доверенного источника

Приказ ФСТЭК России № 235 от 21.12.2017 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования" в редакции Приказа ФСТЭК России № 64

П. 10

Руководитель субъекта критической информационной инфраструктуры создает или определяет структурное подразделение, ответственное за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - структурное подразделение по безопасности), или назначает отдельных работников, ответственных за обеспечение безопасности значимых объектов критической информационной инфраструктуры (далее - специалисты по безопасности).

Структурное подразделение по безопасности, специалисты по безопасности должны осуществлять следующие функции:

...

проводить анализ угроз безопасности информации в отношении значимых объектов критической информационной инфраструктуры и выявлять уязвимости в них;

...

П. 32

Контроль за выполнением плана мероприятий осуществляется структурным подразделением по безопасности, специалистами по безопасности. Структурное подразделение по безопасности, специалисты по безопасности ежегодно должны готовить отчет о выполнении плана мероприятий, который представляется руководителю субъекта критической информационной инфраструктуры.

Приказ ФСТЭК России № 239 от 25.12.2017 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" в редакции Приказов ФСТЭК России № 138, № 60, № 35

П. 11.1

Целью анализа угроз безопасности информации является определение возможных способов реализации (возникновения) угроз безопасности информации и последствий их реализации (возникновения) с учетом состава пользователей и их полномочий, программных и программно-аппаратных средств, взаимосвязей компонентов значимого объекта, взаимодействия с иными объектами критической информационной инфраструктуры, информационными системами, автоматизированными системами управления, информационно-телекоммуникационными сетями (далее – архитектура значимого объекта), а также особенностей функционирования значимого объекта.

Анализ угроз безопасности информации должен включать:

а) выявление источников угроз безопасности информации и оценку возможностей (потенциала) внешних и внутренних нарушителей;

б) анализ возможных уязвимостей значимого объекта и его программных, программно-аппаратных средств;

в) определение возможных способов (сценариев) реализации (возникновения) угроз безопасности информации;

г) оценку возможных последствий от реализации (возникновения) угроз безопасности информации.

В качестве исходных данных для анализа угроз безопасности информации используется банк данных угроз безопасности информации, ведение которого осуществляется ФСТЭК России…

...

П. 12

Внедрение организационных и технических мер по обеспечению безопасности значимого объекта организуется субъектом критической информационной инфраструктуры в соответствии с проектной и рабочей (эксплуатационной) документацией на значимый объект, стандартами организаций и включает:

е) анализ уязвимостей значимого объекта и принятие мер по их устранению;

П. 12.6

Анализ уязвимостей значимого объекта проводится в целях выявления недостатков (слабостей) в подсистеме безопасности значимого объекта и оценки возможности их использования для реализации угроз безопасности информации. При этом анализу подлежат уязвимости кода, конфигурации и архитектуры значимого объекта.

Анализ уязвимостей проводится для всех программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта.

При проведении анализа уязвимостей применяются следующие способы их выявления:

б) анализ настроек программных и программно-аппаратных средств, в том числе средств защиты информации, значимого объекта;

в) выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, посредством анализа состава установленного программного обеспечения и обновлений безопасности с применением средств контроля (анализа) защищенности и (или) иных средств защиты информации;

г) выявление известных уязвимостей программных и программно-аппаратных средств, в том числе средств защиты информации, сетевых служб, доступных для сетевого взаимодействия, с применением средств контроля (анализа) защищенности;

П. 13

Обеспечение безопасности в ходе эксплуатации значимого объекта осуществляется субъектом критической информационной инфраструктуры в соответствии с эксплуатационной документацией и организационно-распорядительными документами по безопасности значимого объекта и должно включать реализацию следующих мероприятий:

б) анализ угроз безопасности информации в значимом объекте и последствий от их реализации;

в) управление (администрирование) подсистемой безопасности значимого объекта;

г) управление конфигурацией значимого объекта и его подсистемой безопасности;

П. 13.2

В ходе анализа угроз безопасности информации в значимом объекте и возможных последствий их реализации осуществляются:

а) анализ уязвимостей значимого объекта, возникающих в ходе его эксплуатации;

б) анализ изменения угроз безопасности информации в значимом объекте, возникающих в ходе его эксплуатации;

в) оценка возможных последствий реализации угроз безопасности информации в значимом объекте.

...

П. 13.3

В ходе управления (администрирования) подсистемой безопасности значимого объекта осуществляются:

в) управление средствами защиты информации значимого объекта;

г) управление обновлениями программных и программно-аппаратных средств, в том числе средств защиты информации, с учетом особенностей функционирования значимого объекта;

д) централизованное управление подсистемой безопасности значимого объекта (при необходимости);

П. 13.4

В ходе управления конфигурацией значимого объекта и его подсистемы безопасности для целей обеспечения его безопасности осуществляются:

б) определение компонентов значимого объекта и его подсистемы безопасности, подлежащих изменению в рамках управления конфигурации (идентификация объектов управления конфигурации): программно-аппаратные, программные средства, включая средства защиты информации, их настройки и программный код, эксплуатационная документация, интерфейсы, файлы и иные компоненты, подлежащие изменению и контролю;

в) управление изменениями значимого объекта и его подсистемы безопасности: разработка параметров настройки, обеспечивающих безопасность значимого объекта, анализ потенциального воздействия планируемых изменений на обеспечение безопасности значимого объекта, санкционирование внесения изменений в значимый объект и его подсистему безопасности, документирование действий по внесению изменений в значимый объект и сохранение данных об изменениях конфигурации;

П. 13.8

В ходе контроля за обеспечением безопасности значимого объекта осуществляются:

а) контроль (анализ) защищенности значимого объекта с учетом особенностей его функционирования;

б) анализ и оценка функционирования значимого объекта и его подсистемы безопасности, включая анализ и устранение уязвимостей и иных недостатков в функционировании подсистемы безопасности значимого объекта;

Приложение

V. Аудит безопасности (АУД):

АУД.1 – Инвентаризация информационных ресурсов

АУД.2 – Анализ уязвимостей и их устранение

АУД.10 – Проведение внутренних аудитов

АУД.11 – Проведение внешних аудитов

 

XIV. Управление обновлениями программного обеспечения (ОПО):

ОПО.0 – Регламентация правил и процедур управления обновлениями программного обеспечения

ОПО.1 – Поиск, получение обновлений программного обеспечения от доверенного источника

 

XIII. Управление конфигурацией (УКФ):

УКФ.0 – Регламентация правил и процедур управления конфигурацией информационной (автоматизированной) системы

УКФ.1 – Идентификация объектов управления конфигурацией

УКФ.2 – Управление изменениями

УКФ.4 – Контроль действий по внесению изменений

Приказ ФСБ РФ №196 от 06.05.2019 "Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты"

П. 8

Средства предупреждения должны обладать следующими функциями:

·         сбор и обработка сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации;

·         сбор и обработка сведений об уязвимостях и недостатках в настройке программного обеспечения (далее - ПО), используемого в контролируемых информационных ресурсах;

·         формирование рекомендаций по минимизации угроз безопасности информации;

·         учет угроз безопасности информации.

П. 9

При осуществлении сбора и обработки сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации средства предупреждения должны обеспечивать:

9.1. Сбор и обработку сведений об инфраструктуре контролируемых информационных ресурсов, включающих информацию:

·         об архитектуре и объектах контролируемых информационных ресурсов (сетевые адреса и имена, наименования и версии используемого ПО);

·         о выполняющихся на объектах контролируемых информационных ресурсов сетевых службах;

·         об источниках событий ИБ.

9.2. Сбор и обработку справочной информации:

·         о показателе доверия (репутации) сетевых адресов, доменных имен, серверов электронной почты, серверов доменных имен;

·         о владельцах сетевых адресов, доменных имен, серверов электронной почты, серверов доменных имен;

·         о местоположении и географической принадлежности сетевых адресов;

·         об известных уязвимостях используемого ПО;

·         о компьютерных сетях, состоящих из управляемых с использованием вредоносного ПО средств вычислительной техники, включая сведения об их управляющих серверах.

9.3. Возможность добавления, просмотра и изменения сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации.

П. 10

При осуществлении сбора и обработки сведений об уязвимостях и недостатках в настройке ПО, используемого в контролируемых информационных ресурсах, средства предупреждения должны обеспечивать:

·         сбор данных о дате и времени проведения исследования контролируемых информационных ресурсов;

·         формирование перечня выявленных уязвимостей и недостатков в настройке используемого ПО (для каждого объекта контролируемого информационного ресурса);

·         возможность статистической и аналитической обработки полученной информации.

П. 11

Формируемые рекомендации по минимизации угроз безопасности информации должны содержать перечень мер, направленных на устранение уязвимостей и недостатков в настройке ПО, используемого в контролируемых информационных ресурсах.

П. 22

К средствам обнаружения, средствам предупреждения и средствам ликвидации последствий предъявляются требования в части реализации визуализации, построения сводных отчетов и хранения информации.

Средства обнаружения, средства предупреждения и средства ликвидации последствий должны обеспечивать:

22.1. Визуализацию в виде таблиц (списков, схем, графиков, диаграмм) сведений:

·         о событиях ИБ;

·         об обнаруженных компьютерных инцидентах;

·         об уязвимостях и недостатках в настройке ПО, используемого в контролируемых информационных ресурсах;

·         об инфраструктуре контролируемых информационных ресурсов;

·         хранящихся в базе данных;

·         содержащих справочную и другую необходимую информацию.

22.2. Построение сводных отчетов путем реализации следующих функций:

·         создание таблиц (списков, схем, графиков, диаграмм), а также их визуализация на основе полученных данных;

·         выбор параметров, по которым строятся таблицы (списки, схемы, графики, диаграммы) в отчетах;

·         экспорт отчетов;

·         автоматическое формирование отчетов по расписанию, а также их автоматическое направление назначаемым адресатам.

22.3. Хранение загружаемой информации в течение установленного периода времени и постоянный доступ к ней, а также возможность экспорта хранящейся информации, в том числе в исходном виде.

Приказ ФСБ РФ от 19.06.2019 № 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"

Приложение

6. Для подготовки к реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъектом критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежит значимый объект критической информационной инфраструктуры, в срок до 90 календарных дней со дня включения данного объекта в реестр значимых объектов критической информационной инфраструктуры Российской Федерации разрабатывается план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак (далее - План), содержащий:

·         технические характеристики и состав значимых объектов критической информационной инфраструктуры;

·         события (условия), при наступлении которых начинается реализация предусмотренных Планом мероприятий;

·         мероприятия, проводимые в ходе реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, а также время, отводимое на их реализацию;

·         описание состава подразделений и должностных лиц субъекта критической информационной инфраструктуры, ответственных за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий компьютерных атак.

2.2. Защита информации в кредитно-финансовой сфере

Стандарт PCI DSS версии 3.2.1 "Стандарт безопасности данных индустрии платежных карт. Требования и процедуры аудита безопасности"

П. 2.4

Вести учет системных компонентов, на которые распространяется действие стандарта PCI DSS.

П. 6.1

Наладить процесс выявления уязвимостей с помощью авторитетных внешних источников информации об уязвимостях, а также ранжирования риска (например, «высокий», «средний» или «низкий») недавно обнаруженных уязвимостей.

П. 6.2

Гарантировать, что все компоненты систем и ПО защищены от известных уязвимостей при помощи установки патчей безопасности, выпускаемых производителем. Устанавливать критичные исправления безопасности в течение месяца с даты их выпуска.

П. 11.2

Выполнять внешнее и внутреннее сканирование сети на наличие уязвимостей не реже одного раза в квартал, а также после значительных изменений в сеть (например, установки новых системных компонентов, изменения топологии сети, изменения правил межсетевых экранов, обновления продуктов).

Стандарт Банка России СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской

Федерации. Общие положения"

П. 5.16

Уязвимость ИБ создает предпосылки к реализации угрозы через нее (инцидент ИБ). Реализация угрозы нарушения ИБ приводит к утрате защищенности интересов (целей) организации БС РФ в информационной сфере, в результате чего организации БС РФ наносится ущерб. Тяжесть ущерба совместно с вероятностью приводящего к нему инцидента ИБ определяют величину риска.

П. 5.17

Постоянный анализ и изучение инфраструктуры организации БС РФ с целью выявления и устранения уязвимостей ИБ — основа эффективной работы СОИБ.

П. 5.18

Идентификация, анализ и оценивание рисков нарушения ИБ должны основываться на идентификации активов организации БС РФ, на их ценности для целей и задач организации БС РФ, на моделях угроз и нарушителей ИБ организации БС РФ.

П. 7.4.1

Должны быть определены, выполняться, регистрироваться и контролироваться процедуры выявления, учета и классификации (отнесение к одному из типов) информационных активов организации БС РФ…

П. 7.11.5

Результатом оценки рисков нарушения безопасности персональных данных является Модель угроз безопасности персональных данных, содержащая актуальные для организации БС РФ угрозы безопасности персональных данных, на основе которой вырабатываются требования, учитывающие особенности обработки персональных данных в конкретной организации БС РФ и расширяющие требования разделов 7 и 8 настоящего стандарта.

П. 8.3.1

Должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета структурированных по классам (типам) защищаемых информационных активов. Классификацию информационных активов рекомендуется проводить на основании оценок ценности информационных активов для интересов (целей) организации БС РФ, например, в соответствии с тяжестью последствий потери свойств ИБ информационных активов.

П. 8.12.4

Процедуры мониторинга ИБ и контроля защитных мер должны подвергаться регулярным, регистрируемым пересмотрам в связи с изменениями в составе и способах использования защитных мер, выявлением новых угроз и уязвимостей ИБ, а также на основе данных об инцидентах ИБ.

П. 9.8

Оценка соответствия ИБ в виде аудита ИБ или самооценки ИБ проводится организацией БС РФ не реже одного раза в два года.

Рекомендации в области стандартизации Банка России РС БР ИББС-2.9-2016 от 01.05.2016 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации"

П. 5.1

Для защиты информации конфиденциального характера от возможных утечек организации БС РФ рекомендуется обеспечивать:

·         идентификацию и формирование перечня категорий информации конфиденциального характера, рекомендации к реализации которых установлены в разделе 6 настоящих рекомендаций;

·         идентификацию и учет информационных активов (информационных ресурсов), содержащих информацию конфиденциального характера и объектов среды информационных активов, используемых для обработки и (или) хранения информации конфиденциального характера, рекомендации к реализации которых установлены в разделе 7 настоящих рекомендаций;

П. 7.1

Организации БС РФ рекомендуется документировать и обеспечить выполнение идентификации и учета всех информационных активов информации конфиденциального характера и объектов среды информационных активов. В составе правил идентификации и учета информационных активов и объектов среды информационных активов рекомендуется определить:

·         перечень типов информационных активов и объектов среды информационных активов (средств вычислительной техники и переносных носителей информации), подлежащих идентификации и учету;

·         обязанность подразделений информатизации и (или) функциональных подразделений организации БС РФ осуществлять идентификацию и учет информационных активов и объектов среды информационных активов;

·         способы выполнения подразделениями информатизации и (или) функциональных подразделений организации БС РФ идентификации и учета информационных активов и объектов среды информационных активов, в том числе с использованием средств автоматизации идентификации и учета;

·         способы выполнения службой ИБ контроля фактического состава информационных активов и объектов среды информационных активов, в том числе с использованием средств автоматизации идентификации и контроля;

 

·         правила идентификации и учета работниками организации БС РФ носителей информации конфиденциального характера;

Рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 от 01.01.2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности"

П. 4.3

Оценка рисков нарушения ИБ проводится для типов информационных активов (типов информации), входящих в предварительно определенную область оценки. Для оценки рисков нарушения ИБ предварительно определяются и документально оформляются:

·         полный перечень типов информационных активов, входящих в область оценки;

·         полный перечень типов объектов среды, соответствующих каждому из типов информационных активов области оценки;

·         модель угроз ИБ, описывающую угрозы ИБ для всех выделенных в организации БС РФ типов объектов среды на всех уровнях иерархии информационной инфраструктуры орга­низации БС РФ.

Формирование перечня источников угроз и моделей угроз рекомендуется проводить с учетом положений СТО БР ИББС­1.0, а также перечня основных источников угроз ИБ, приве­денных в приложении 1.

П. 4.4

Перечень типов информационных активов формируется на основе результатов вы­полнения в организации БС РФ классификации информационных активов. Состав перечня ти­пов информационных активов (классификация информации) не должен противоречить нормам законодательства РФ, в том числе нормативных актов Банка России.

П. 5.1

Исходными данными для оценки рисков нарушения ИБ является информация, опре­деленная в п. 4.4 настоящей методики.

П. 5.2

Для проведения оценки рисков нарушения ИБ выполняются следующие процедуры.

Процедура 1. Определение перечня типов информационных активов, для которых выполняются процедуры оценки рисков нарушения ИБ (далее — область оценки рисков нарушения ИБ).

Процедура 2. Определение перечня типов объектов среды, соответствующих каждому из типов информационных активов области оценки рисков нарушения ИБ.

Процедура 3. Определение источников угроз для каждого из типов объектов среды, оп­ределенных в рамках выполнения процедуры 2.

Процедура 4. Определение СВР угроз ИБ применительно к типам объектов среды, определенных в рамках выполнения процедуры 2.3.

Процедура 5. Определение СТП нарушения ИБ для типов информационных активов области оценки рисков нарушения ИБ.

Процедура 6. Оценка рисков нарушения ИБ.

Стандарт Банка России СТО БР ИББС-1.4-2018 от 01.07.2018 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском информационной безопасности при аутсорсинге"

П. 7.1

Аутсорсинг существенных функций организации БС РФ должен сопровождаться оценкой, надлежащим управлением и контролем организации БС РФ в отношении риска нарушения ИБ, реализуемыми в соответствии с политикой аутсорсинга.

П. 7.2

Реализация организацией БС РФ программы аутсорсинга должна предусматривать следующие мероприятия:

·         идентификация потенциального риска нарушения ИБ при аутсорсинге существенных функций, в том числе из видов риска, определенных в разделе 5 настоящего стандарта;

·         оценка потенциального риска нарушения ИБ при аутсорсинге существенных функций;

·         принятие решения о возможности аутсорсинга на основе результатов оценки риска нарушения ИБ;

·         реализация последующего постоянного мониторинга и контроля уровня риска нарушения ИБ.

Ключевым фактором для реализации программ аутсорсинга является оценка потенциального риска нарушения ИБ, а также обеспечение возможности последующего мониторинга и контроля его уровня.

Идентификацию риска нарушения ИБ следует проводить на основе анализа состава бизнес‑функций, планируемых к передаче на аутсорсинг, а также на основе анализа факторов нового риска нарушения ИБ, определенных в разделе 5 настоящего стандарта.

П. 7.3

Для оценки потенциального риска нарушения ИБ и обеспечения возможности мониторинга и контроля его уровня организации БС РФ следует определить состав и проводить оценку (в том числе периодическую) показателей (метрик)…

Федеральный Закон № 161 от 27.06.2011 "О национальной платежной системе"

Ст. 28, п. 3

3. Система управления рисками должна предусматривать следующие мероприятия:

6) определение методик анализа рисков в платежной системе, включая профили рисков, в соответствии с требованиями нормативных актов Банка России;

7) определение порядка обмена информацией, необходимой для управления рисками;

11) определение порядка обеспечения защиты информации в платежной системе.

Положение Банка России № 716-П от 08.04.2020 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе"

П. 7.1

Кредитная организация (головная кредитная организация банковской группы) определяет во внутренних документах порядок управления риском информационной безопасности.

П. 7.2

Риск информационной безопасности включает в себя:

·         риск преднамеренных действий со стороны работников кредитной организации и (или) третьих лиц с использованием программных и (или) программно-аппаратных средств, направленных на объекты информационной инфраструктуры кредитной организации (головной кредитной организации банковской группы) в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности информации, подготавливаемой, обрабатываемой и хранимой такими объектами, а также в целях несанкционированного присвоения, хищения, изменения, удаления данных и иной информации (структуры данных, параметров и характеристик систем, программного кода) и нарушения режима доступа (далее - киберриск);

·         другие виды риска информационной безопасности, связанных с обработкой (хранением, уничтожением) информации без использования объектов информационной инфраструктуры.

Положение Банка России № 672-П от 09.01.2019 "О требованиях к защите информации в платежной системе Банка России"

П. 6.1

Документы должны приниматься в рамках следующих процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017:

контроль целостности и защищенности информационной инфраструктуры;

Положение Банка России № 684-П от 17.04.2019 "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций"

П. 5.4

Некредитные финансовые организации, реализующие усиленный уровень защиты информации, и некредитные финансовые организации, реализующие стандартный уровень защиты информации (далее при совместном упоминании - некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации), должны осуществлять тестирование объектов информационной инфраструктуры на предмет проникновений и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

П. 6.2

Оценка определенного уровня защиты информации должна осуществляться в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия"...

П. 6.3

Оценка определенного уровня защиты информации должна осуществляться некредитными финансовыми организациями, реализующими усиленный уровень защиты информации, не реже одного раза в год, некредитными финансовыми организациями, реализующими стандартный уровень защиты информации, - не реже одного раза в три года.

П. 7

Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечивать хранение отчета, составленного проверяющей организацией по результатам оценки определенного уровня защиты информации, в течение не менее чем пяти лет с даты его выдачи проверяющей организацией.

П. 9

Некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить использование для осуществления финансовых операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых некредитной финансовой организацией своим клиентам для совершения действий в целях осуществления финансовых операций, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, в том числе на наличие уязвимостей или недекларированных возможностей (далее - сертификация), или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД 4…

По решению некредитной финансовой организации анализ уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений проводится самостоятельно или с привлечением проверяющей организации.

Положение Банка России № 683-П от 17.04.2019 "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента"

П. .3.2

Кредитные организации должны обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

П. 4.1

Кредитные организации должны обеспечить использование для осуществления банковских операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений, к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД 4…

В отношении прикладного программного обеспечения автоматизированных систем и приложений, не указанных в абзаце первом настоящего подпункта, кредитные организации должны самостоятельно определять необходимость сертификации или анализа уязвимостей и контроля отсутствия недекларированных возможностей.

П. 9.1

9.1. Оценка соответствия защиты информации должна осуществляться в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия"...

Кредитные организации должны обеспечивать хранение отчета, подготовленного проверяющей организацией по результатам оценки соответствия защиты информации, не менее пяти лет начиная с даты его выдачи проверяющей организацией.

Постановление Правительства РФ № 584 от 13.06.2012 "Об утверждении Положения о защите информации в платежной системе"

П. 4

Правила платежной системы должны предусматривать в том числе следующие требования к защите информации:

...

в) осуществление мероприятий, имеющих целью определение угроз безопасности информации и анализ уязвимости информационных систем;

г) проведение анализа рисков нарушения требований к защите информации и управление такими рисками;

...

к) организация и проведение контроля и оценки выполнения требований к защите информации на собственных объектах инфраструктуры не реже 1 раза в 2 года.

Положение Банка России № 719-П от 04.06.2020 "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" вступает в силу с 01 января 2022 года, заменяя Положение Банка России № 382-П от 09.06.2012 г.

П. 1.1

Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры в части требований к обеспечению защиты информации при осуществлении переводов денежных средств, применяемых в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация и использование которых обеспечивается при осуществлении переводов денежных средств операторами по переводу денежных средств (далее - объекты информационной инфраструктуры), должны обеспечивать:

ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры с учетом особенностей, предусмотренных пунктами 3.8 и 3.9 настоящего Положения;

Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры должны обеспечивать хранение отчета, подготовленного проверяющей организацией по результатам оценки соответствия защиты информации, не менее пяти лет начиная с даты его выдачи проверяющей организацией.

П. 2.11

… Операторы по переводу денежных средств при привлечении банковских платежных агентов (субагентов) должны на основе системы управления рисками определить для них критерии необходимости и периодичности тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры, проведения оценки соответствия защиты информации, сертификации или оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений.

П. 3.5

Банковские платежные агенты (субагенты) должны обеспечить реализацию минимального уровня защиты информации для объектов информационной инфраструктуры в соответствии с ГОСТ Р 57580.1-2017.

По решению банковских платежных агентов (субагентов) уровень защиты информации для объектов информационной инфраструктуры в соответствии с ГОСТ Р 57580.1-2017 может быть повышен на основе анализа рисков.

П. 3.8

Банковские платежные агенты (субагенты), за исключением банковских платежных агентов, осуществляющих операции платежного агрегатора, должны на основе критериев, установленных операторами по переводу денежных средств, проводить тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры, оценку соответствия защиты информации, сертификацию или оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений.

П. 3.9

Банковские платежные агенты (субагенты), осуществляющие операции платежного агрегатора, должны на основе критериев, установленных операторами по переводу денежных средств, проводить тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры, сертификацию или оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений.

П. 4.3

Операторы услуг информационного обмена должны обеспечить реализацию стандартного уровня защиты информации для объектов информационной инфраструктуры в соответствии с ГОСТ Р 57580.1-2017.

По решению операторов услуг информационного обмена уровень защиты информации для объектов информационной инфраструктуры в соответствии с ГОСТ Р 57580.1-2017 может быть повышен на основе анализа рисков.

П. 5.1

Оператор платежной системы в целях реализации пункта 11 части 3 статьи 28 Федерального закона N 161-ФЗ (Собрание законодательства Российской Федерации, 2011, N 27, ст.3872) в рамках системы управления рисками в платежной системе определяет в правилах платежной системы и иных документах порядок обеспечения защиты информации в платежной системе для операторов по переводу денежных средств, являющихся участниками платежной системы, операторов услуг платежной инфраструктуры с учетом требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - требования к обеспечению защиты информации в платежной системе).

 

Оператор платежной системы должен определить требования к обеспечению защиты информации в платежной системе в отношении следующих мероприятий:

·         управление риском информационной безопасности в платежной системе как одним из видов операционного риска в платежной системе, источниками реализации которого являются: недостатки процессов обеспечения защиты информации, в том числе недостатки применяемых технологических мер защиты информации, недостатки прикладного программного обеспечения автоматизированных систем и приложений, а также несоблюдение требований к указанным процессам деятельности операторами по переводу денежных средств, являющимися участниками платежной системы, операторами услуг платежной инфраструктуры (далее - риск информационной безопасности в платежной системе);

·         установление состава показателей уровня риска информационной безопасности в платежной системе;

·         реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры механизмов, направленных на соблюдение требований к обеспечению защиты информации при осуществлении переводов денежных средств, и контроль их соблюдения операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры;

·         реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры процессов выявления и идентификации риска информационной безопасности в платежной системе в отношении объектов информационной инфраструктуры участников платежной системы, операторов услуг платежной инфраструктуры;

·         выявление и анализ операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры риска информационной безопасности в платежной системе;

Положение Банка России № 382-П от 09.06.2012 (в редакции от 07.05.2018) "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", которое действует до 01 января 2022 года, когда вступает в силу новое Положение Банка России № 719-П от 04.06.2020 "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"

П. 2.6.1

Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают учет объектов информационной инфраструктуры, используемых для обработки, хранения и (или) передачи защищаемой информации, в том числе банкоматов и платежных терминалов.

П. 2.10.1

Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают учет и контроль состава установленного и (или) используемого на средствах вычислительной техники программного обеспечения.

П. 2.14.2

… Для определения порядка обеспечения защиты информации при осуществлении переводов денежных средств оператор платежной системы, оператор по переводу денежных средств, оператор услуг платежной инфраструктуры в рамках обязанностей, установленных оператором платежной системы, могут использовать:

результаты анализа рисков при обеспечении защиты информации при осуществлении переводов денежных средств на основе моделей угроз и нарушителей безопасности информации, определенных в национальных стандартах по защите информации, стандартах организаций, в том числе стандартах Банка России, принятых в соответствии с законодательством Российской Федерации о техническом регулировании, или на основе моделей угроз и нарушителей безопасности информации, определенных оператором платежной системы, оператором по переводу денежных средств, оператором услуг платежной инфраструктуры.

П. 2.16.2

Информация, направляемая операторами по переводу денежных средств и операторами услуг платежной инфраструктуры, за исключением операционных центров, находящихся за пределами Российской Федерации, оператору платежной системы для целей анализа обеспечения в платежной системе защиты информации при осуществлении переводов денежных средств, включает следующую информацию:

о выявленных угрозах и уязвимостях в обеспечении защиты информации.

П. 2.17.2

Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры регламентируют порядок принятия мер, направленных на совершенствование защиты информации при осуществлении переводов денежных средств, в случаях:

выявления угроз, рисков и уязвимостей в обеспечении защиты информации при осуществлении переводов денежных средств;

ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер"

П. 7.4.1

Применяемые финансовой организацией меры по контролю целостности и защищенности информационной инфраструктуры должны обеспечивать:

·         контроль отсутствия известных (описанных) уязвимостей защиты информации объектов информатизации;

·         организацию и контроль размещения, хранения и обновления ПО информационной инфраструктуры;

·         контроль состава и целостности ПО информационной инфраструктуры;

·         регистрацию событий защиты информации, связанных с результатами контроля целостности и защищенности информационной инфраструктуры.

П. 7.4.2

Базовый состав мер по контролю отсутствия известных (описанных) уязвимостей защиты информации объектов информатизации применительно к уровням защиты информации приведен в таблице 22.

ЦЗИ.1 – Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей защиты информации, использование которых может позволить осуществить несанкционированное (неконтролируемое) информационное взаимодействие между сегментами контуров безопасности и иными внутренними сетями финансовой организации.

ЦЗИ.2 – Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей защиты информации, использование которых может позволить осуществить несанкционированное (неконтролируемое) информационное взаимодействие между внутренними вычислительными сетями финансовой организации и сетью Интернет.

ЦЗИ.3 – Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей защиты информации, использование которых может позволить осуществить несанкционированное (неконтролируемое) информационное взаимодействие между сегментами, предназначенными для размещения общедоступных объектов доступа (в том числе банкоматов, платежных терминалов), и сетью Интернет.

ЦЗИ.4 – Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей защиты информации, использование которых может позволить осуществить несанкционированный логический доступ к ресурсам доступа, размещенным в вычислительных сетях финансовой организации, подключенных к сети Интернет.

ЦЗИ.5 – Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей защиты информации, использование которых может позволить осуществить несанкционированный удаленный доступ.

ЦЗИ.6 – Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей защиты информации, использование которых может позволить осуществить несанкционированный логический доступ к ресурсам доступа, размещенным во внутренних вычислительных сетях финансовой организации.

ЦЗИ.7 – Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей, предусмотренных мерами ЦЗИ.1-ЦЗИ.6 настоящей таблицы, путем сканирования и анализа параметров настроек серверного и сетевого оборудования.

ЦЗИ.8 – Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей, указанных в пунктах ЦЗИ.1-ЦЗИ.6 настоящей таблицы, путем сканирования и анализа состава, версий и параметров настроек прикладного ПО, ПО АС и системного ПО, реализующего функции обеспечения защиты информации и (или) влияющего на обеспечение защиты информации (далее в настоящем разделе - системное ПО)*, установленного на серверном и сетевом оборудовании.

ЦЗИ.9 – Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей, предусмотренных мерами ЦЗИ.1-ЦЗИ.6 настоящей таблицы, путем сканирования и анализа состава, версий и параметров настроек прикладного ПО, ПО АС и (или) системного ПО, установленного на АРМ пользователей и эксплуатационного персонала.

ЦЗИ.10           – Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей, предусмотренных мерами ЦЗИ.1-ЦЗИ.6 настоящей таблицы, путем сканирования и анализа состава, версий и параметров настроек средств и систем защиты информации.

П. 7.4.3

Базовый состав мер по организации и контролю размещения, хранения и обновления ПО применительно к уровням защиты информации приведен в таблице 23.

ЦЗИ.12           – Контроль размещения и своевременного обновления на серверном и сетевом оборудовании ПО средств и систем защиты информации, прикладного ПО, ПО АС, системного ПО и сигнатурных баз средств защиты информации, в том числе с целью устранения выявленных уязвимостей защиты информации.

ЦЗИ.13 – Контроль размещения и своевременного обновления на АРМ пользователей и эксплуатационного персонала ПО средств и систем защиты информации, прикладного ПО, ПО АС и системного ПО, в том числе с целью устранения выявленных уязвимостей защиты информации.

ЦЗИ.15 – Контроль отсутствия и обеспечение оперативного устранения известных (описанных) уязвимостей защиты информации после выполнения обновлений ПО, предусмотренного мерой ЦЗИ.12 настоящей таблицы.

П. 7.4.4

Базовый состав мер по контролю состава и целостности ПО информационной инфраструктуры применительно к уровням защиты информации приведен в таблице 24.

ЦЗИ.20           – Контроль состава разрешенного для использования ПО АРМ пользователей и эксплуатационного персонала.

ЦЗИ.22 – Контроль состава ПО серверного оборудования.

ЦЗИ.23 – Контроль состава ПО АРМ пользователей и эксплуатационного персонала, запускаемого при загрузке операционной системы.

П. 7.4.5

Базовый состав мер по регистрации событий защиты информации, связанных с результатами контроля целостности и защищенности информационной инфраструктуры, применительно к уровням защиты информации приведен в таблице 25.

ЦЗИ.27           – Регистрация фактов выявления уязвимостей защиты информации.

2.3. Защита персональных данных, защита информации в государственных информационных системах

Приказ ФСТЭК России № 21 от 18.02.2013 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (в редакции Приказа ФСТЭК России № 49)

П. 8

В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

...

защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);

...

контроль (анализ) защищенности персональных данных;

...

управление конфигурацией информационной системы и системы защиты персональных данных.

П. 8.4

Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.

П. 8.8

Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.

П. 8.15

Меры по управлению конфигурацией информационной системы и системы защиты персональных данных должны обеспечивать управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений.

Приложение

IV. Защита машинных носителей персональных данных (ЗНИ):

ЗНИ.1 – Учет машинных носителей персональных данных

 

VIII. Контроль (анализ) защищенности информации (АНЗ):

АНЗ.1 – Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей

АНЗ.2 – Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации

АНЗ.3 – Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации

АНЗ.4 – Контроль состава технических средств, программного обеспечения и средств защиты информации

 

XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ):

УКФ.2 – Управление изменениями конфигурации информационной системы и системы защиты персональных данных

УКФ.3 – Анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных

УКФ.4 – Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных

Общий регламент о защите данных (General Data Protection Regulation, GDPR).

GDPR действует в Евросоюзе с 25.05.2018, его нормы о защите персональных данных граждан ЕС распространяются на любые организации, работающие с персональными данными резидентов Евросоюза, т.е. любая российская компания, работающая с данными европейских граждан, будет обязана соблюдать положения GDPR.

Пункт 83

Для поддержания безопасности и предотвращения обработки в нарушение GDPR, контролёр (controller) или обработчик (processor) персональных данных должны оценить риски обработки персональных данных и внедрить меры для снижения этих рисков, такие как шифрование. Эти меры должны обеспечивать приемлемый уровень информационной безопасности, включая конфиденциальность, с учетом состояния современных технологий и стоимости внедрения по сравнению с рисками и свойствами обрабатываемых персональных данных. …

Статья 28, п. 3, п/п «h»

Обработчик персональных данных предоставляет контролёру всю необходимую информацию для демонстрации соответствия законодательным требованиям, изложенным в данной статье, и помогает в проведении аудитов, включая инспекции, проводимых контролёром или аудитором, получившим полномочия от контролёра.

Статья 32, п. 1

Учитывая состояние современных технологий, стоимость внедрения и природу, объем, контекст и цели обработки персональных данных, также как и риски переменной вероятности и серьезности ущерба для прав и свобод субъектов персональных данных, контролер и обработчик должны внедрить соответствующе технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, включая, в частности:

(b) возможность обеспечить непрерывную конфиденциальность, целостность, доступность и киберустойчивость систем и сервисов обработки персональных данных;

(d) процесс регулярного тестирования, оценки и измерения эффективности технических и организационных мер, обеспечивающих безопасность обработки персональных данных.

Статья 47, п. 2, п/п «j»

Корпоративные правила должны включать в себя механизмы проверки, включающие аудит защиты данных и методы проверки выполнения корректирующих действий для защиты прав субъекта персональных данных.

Статья 47, п. 2, п/п «k»

Корпоративные правила должны включать в себя механизмы отчетности и записи сделанных изменений в корпоративных правилах, а также доклад об этих изменениях надзорному органу.

Приказ ФСТЭК России № 17 от 11.02.2013 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (в редакции Приказов ФСТЭК России № 27, № 106)

П. 14

Формирование требований к защите информации, содержащейся в информационной системе, осуществляется обладателем информации (заказчиком).

Формирование требований к защите информации, содержащейся в информационной системе, осуществляется с учетом ГОСТ Р 51583 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" (далее - ГОСТ Р 51583) и ГОСТ Р 51624 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования" (далее - ГОСТ Р 51624) и в том числе включает:

·         принятие решения о необходимости защиты информации, содержащейся в информационной системе;

·         классификацию информационной системы по требованиям защиты информации (далее - классификация информационной системы);

·         определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;

·         определение требований к системе защиты информации информационной системы.

П. 14.3

… Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.

П. 16.6

Анализ уязвимостей информационной системы проводится в целях оценки возможности преодоления нарушителем системы защиты информации информационной системы и предотвращения реализации угроз безопасности информации.

Анализ уязвимостей информационной системы включает анализ уязвимостей средств защиты информации, технических средств и программного обеспечения информационной системы.

При анализе уязвимостей информационной системы проверяется отсутствие известных уязвимостей средств защиты информации, технических средств и программного обеспечения, в том числе с учетом информации, имеющейся у разработчиков и полученной из других общедоступных источников, правильность установки и настройки средств защиты информации, технических средств и программного обеспечения, а также корректность работы средств защиты информации при их взаимодействии с техническими средствами и программным обеспечением.

В случае выявления уязвимостей информационной системы, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.

По результатам анализа уязвимостей должно быть подтверждено, что в информационной системе отсутствуют уязвимости, содержащиеся в банке данных угроз безопасности информации ФСТЭК России, а также в иных источниках, или их использование (эксплуатация) нарушителем невозможно.

П. 17.1

17.1. В качестве исходных данных, необходимых для аттестации информационной системы, используются модель угроз безопасности информации, акт классификации информационной системы, техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы, проектная и эксплуатационная документация на систему защиты информации информационной системы, организационно-распорядительные документы по защите информации, результаты анализа уязвимостей информационной системы, материалы предварительных и приемочных испытаний системы защиты информации информационной системы, а также иные документы, разрабатываемые в соответствии с настоящими Требованиями.

П. 18.2

В ходе анализа угроз безопасности информации в информационной системе в ходе ее эксплуатации осуществляются:

·         выявление, анализ и устранение уязвимостей информационной системы;

·         анализ изменения угроз безопасности информации в информационной системе;

·         оценка возможных последствий реализации угроз безопасности информации в информационной системе.

П. 18.3

В ходе управления (администрирования) системой защиты информации информационной системы осуществляются:

·         управление средствами защиты информации информационной системы;

·         управление обновлениями программных и программно-аппаратных средств, в том числе средств защиты информации, с учетом особенностей функционирования информационной системы;

·         централизованное управление системой защиты информации информационной системы (при необходимости);

П. 18.4

В ходе управления конфигурацией информационной системы и ее системы защиты информации осуществляются:

·         определение лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и ее системы защиты информации, и их полномочий;

·         определение компонентов информационной системы и ее системы защиты информации, подлежащих изменению в рамках управления конфигурацией (идентификация объектов управления конфигурацией): программно-аппаратные, программные средства, включая средства защиты информации, их настройки и программный код, эксплуатационная документация, интерфейсы, файлы и иные компоненты, подлежащие изменению и контролю;

·         управление изменениями информационной системы и ее системы защиты информации: разработка параметров настройки, обеспечивающих защиту информации, анализ потенциального воздействия планируемых изменений на обеспечение защиты информации, санкционирование внесения изменений в информационную систему и ее систему защиты информации, документирование действий по внесению изменений в информационную систему и сохранение данных об изменениях конфигурации;

·         контроль действий по внесению изменений в информационную систему и ее систему защиты информации.

П. 18.7

В ходе контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе, осуществляются:

·         контроль (анализ) защищенности информации с учетом особенностей функционирования информационной системы;

·         анализ и оценка функционирования информационной системы и ее системы защиты информации, включая анализ и устранение уязвимостей и иных недостатков в функционировании системы защиты информации информационной системы;

Приложение №2

IV. Защита машинных носителей информации (ЗНИ):

ЗНИ.1 – Учет машинных носителей информации

 

VIII. Контроль (анализ) защищенности информации (АНЗ):

АНЗ.1 – Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей

АНЗ.2 – Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации

АНЗ.3 – Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации

АНЗ.4 – Контроль состава технических средств, программного обеспечения и средств защиты информации

Теги:
Хабы:
Всего голосов 8: ↑6 и ↓2 +4
Просмотры 995
Комментарии Комментарии 3