Vvmebel.com

Новости с мира ПК
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Регистрация событий безопасности это

Защита информации от несанкционированного доступа согласно требованиям ФСТЭК России

В феврале 2013 года ФСТЭК России выпустил два приказа (№ 17 и № 21), регулирующих защиту персональных данных в ИСПДн и защиту информации в государственных (и муниципальных) информационных системах (ГИС). В 2014 году список аналогичных документов дополнил приказ ФСТЭК России от 14.03.2014 № 31, в котором сформулированы требования к защите информации в автоматизированных системах управления технологическими процессами (АСУ ТП). В данных приказах приводится перечень базовых мер защиты, которые регулятор требует выполнять с помощью сертифицированных средств защиты информации (СЗИ).

Большинство указанных мер выполняются классическими средствами защиты информации от несанкционированного доступа (СЗИ от НСД). Далее мы рассмотрим, как реализовать набор мер, обязательных для применения в системах 1-го класса (уровня защищенности), с помощью механизмов защиты, реализованных в СЗИ от НСД Secret Net 7.

Идентификация и аутентификация субъектов доступа и объектов доступа

Secret Net заменяет стандартный механизм операционной системы по авторизации пользователей и позволяет проводить аутентификацию как по паролю, так и с использованием аппаратных средств усиленной аутентификации и стандартных сертификатов. Возможно и комбинирование способов аутентификации для достижения двухфакторной (многофакторной) аутентификации. Парольная информация защищена от перехвата как при локальном вводе (маскировка вводимых символов путем замены на «*»), так и при сетевой передаче.

Аутентификация устройств относится к сетевым мерам и реализуется средствами защиты других классов (например, с помощью АПКШ «Континент» или МЭ TrustAccess).

Управление идентификаторами и средствами аутентификации реализовано в Secret Net в программе управления пользователями и в расширениях стандартных оснасток управления Windows, настройки устанавливаются с помощью механизма политик. Гибкие настройки политик аутентификации позволяют настроить режимы аутентификации, задать условия блокировки учетных записей и сеансов пользователей, требования к стойкости парольной информации и другие параметры.

Управление доступом субъектов доступа к объектам доступа

Управление учетными записями в Secret Net осуществляется так же, как и управление аутентификационными данными — в программе управления и расширении оснасток Windows. Пользователи и администраторы в системе разделены с помощью ролей и полномочий.

В Secret Net реализованы собственные механизмы мандатного и дискреционного управления доступа к файлам, директориям и устройствам. Правила разграничения доступа к объектам файловой системы настраиваются в расширениях стандартных механизмов управления Windows, а для настройки доступа к устройствам используется механизм политик.

Доверенная загрузка может выполняться средствами модуля защиты диска, входящего в состав Secret Net, или с помощью аппаратного решения ПАК «Соболь», который интегрируется в Secret Net по управлению и аудиту. Интеграция с ПАК «Соболь» в централизованном режиме управления Secret Net позволяет контролировать доверенную загрузку централизованно, из программы управления Secret Net.

Управление сетевыми потоками, контроль удаленного и беспроводного доступа осуществляются средствами сетевой защиты и выходят за рамки функциональности СЗИ от НСД, но Secret Net способен разрешать или запрещать работу сетевых интерфейсов в зависимости от их типа и, в некоторых случаях, реализовывать данные меры.

Ограничение программной среды

Базовые меры по ограничению программной среды реализуются с помощью механизма замкнутой программной среды Secret Net. Данный механизм позволяет настроить список разрешенных к запуску приложений и модулей, все остальные исполняемые файлы и их компоненты пользователи запустить не смогут. Дополнительно возможна настройка контроля целостности исполняемых файлов, гарантирующих неизменность разрешенных к запуску программ. Если исполняемый файл обладает доверенной электронной цифровой подписью издателя, может быть настроено автоматическое обновление контрольной суммы при установке обновлений, что позволяет проводить плановую установку обновлений программного обеспечения без необходимости перенастройки ЗПС и ручного перерасчета контрольных сумм.

Защита машинных носителей персональных данных

Учет и управление доступом к машинным носителям выполняется в механизмах контроля устройств СЗИ Secret Net. Администратор с помощью политик безопасности может управлять устройствами как на уровне классов и моделей, так и на уровне отдельных устройств. Secret Net контролирует устройства USB, PCMCIA, IEEE1394, внешние диски, SD-карты, сетевые интерфейсы и другие типы устройств. В контроле устройств поддерживается полномочное (мандатное) управление доступом, позволяющее разграничить доступ к оборудованию в зависимости от текущего уровня доступа пользователя.

В состав Secret Net входит модуль гарантированного уничтожения удаляемой информации. При обычной работе данные удаляемых файлов остаются на жестких дисках. Сектора, в которых они хранились, лишь помечаются как свободные области и могут быть перезаписаны позднее, при новых операциях записи на диск. При включении модуля Secret Net удаляемые файлы автоматически затираются с помощью случайной информации и не могут быть в дальнейшем восстановлены. Для обеспечения дополнительных гарантий поддерживается несколько циклов затирания.

Регистрация событий безопасности

Secret Net генерирует события безопасности для всех аспектов защиты, все данные аудита сохраняются на компьютере и доступны для просмотра в локальных журналах. При централизованном режиме работы локальные журналы со всех компьютеров собираются в общую базу данных и доступны к изучению в общей программе управления.

Для регистрации событий используется системный таймер, внутренние системные часы информационной системы. Все журналы защищены от несанкционированного доступа и изменений.

Поддерживаются механизмы квитирования событий НСД в централизованном режиме, для каждого события можно отметить их обработку. При просмотре событий поддерживаются различные способы фильтрации данных.

Обеспечение целостности информационной системы и персональных данных

Контроль целостности в Secret Net выполняется для настраиваемых администратором списков файлов, директорий и данных реестра Windows. Поддерживаются различные действия при обнаружении изменения в контрольной сумме — от выдачи уведомления до блокировки рабочей станции. Можно контролировать целостность как системных файлов операционной системы, так и любых других файлов — приложений, данных, документов и так далее.

Читать еще:  Протоколы информационной безопасности

Восстановление Secret Net в случае повреждения служебных файлов может быть выполнено через программу установки. Поддерживается экспорт и импорт конфигурации для возможности резервного копирования настроек СЗИ.

Заключение

СЗИ Secret Net позволяет реализовать широкий набор обязательных базовых мер по защите информации в ИСПДн, ГИС и АСУ ТП. Однако классическое СЗИ от НСД не реализует меры, относящиеся к антивирусной защите, обнаружению вторжений, сетевой защите, защите технических средств, резервному копированию и защите виртуализации. Для выполнения этих мер существуют другие классы средств и организационные мероприятия, которые в совокупности позволяют обеспечить высокий уровень защиты в соответствии с требованиями регуляторов.

Автор — менеджер по продукту компании «Код Безопасности».

СПЕЦПРОЕКТ КОМПАНИИ «КОД БЕЗОПАСНОСТИ»

Регламент регистрации событий безопасности в информационной системе

на заседании общего собрания трудового коллектива

от «___» _________ 20___ г.

на заседании профкома

от «___» _________ 20___ г.

________ Т.Ю. Моржина

Директор Средней школы № 66

________ Н.А. Софронова

«___» _________ 20___ г.

регистрации событий безопасности

в информационной системе «Сетевой город. Образование»

1.1. Настоящий Регламент регистрации событий безопасности (далее – Регламент) регламентирует порядок регистрации событий безопасности в информационной системе «Сетевой город. Образование» в муниципальном бюджетном общеобразовательном учреждении города Ульяновска «Средняя школа № 66» (далее – Оператор) в соответствии с законодательством Российской Федерации.

1.2. Настоящий Регламент разработан в соответствии с:

Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных»;

Федеральным законом от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Приказом ФСТЭК от 11 февраля 2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;

Приказом ФСТЭК от 18 февраля 2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

1.3. Для целей настоящего Положения используются следующие основные понятия:

персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);

информационная система персональных данных (ИСПДн) – система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

несанкционированный доступ – доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации. Также несанкционированным доступом в отдельных случаях называют получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей.

2. Порядок работы с электронными журналами протоколирования и аудита событий безопасности

2.1. Выполнение требований по безопасности для подсистемы «Регистрация событий безопасности» осуществляются организационными мерами и сертифицированными СЗИ.

2.2. Правила и порядок протоколирования и аудита значимых событий в ИС «Сетевой город. Образование» направлены на превентивную фиксацию и изучение действий субъектов и объектов, а также на своевременное выявление фактов НСД к защищаемой информации.

2.3. Все события, происходящие в ОС, ИС «Сетевой город. Образование», других критических приложениях и СЗИ должны протоколироваться в специальные электронные журналы аудита.

2.4. В перечень регистрируемых событий безопасности входят:

вход (выход), а также попытки входа субъектов доступа в информационную систему;

запуск (завершение) программ и процессов (заданий), связанных с обработкой защищаемой информации;

изменение политики безопасности информационной системы;

изменение состава привилегированных пользователей и привилегий учётных записей;

попытки удалённого доступа;

иная информация, необходимая при последующем разборе инцидентов информационной безопасности (в том числе полнотекстовая запись привилегированных команд (команд, управляющих системными функциями));

2.5. Срок хранения зарегистрированных событий – не менее 1 месяца.

2.6. На ПЭВМ, входящим в состав ИС «Сетевой город. Образование», на которых установлены СЗИ от НСД, проверка соответствующего электронного журнала событий, формируемых данными СЗИ, производится в соответствии с прилагаемой к ним эксплуатационной и технической документацией.

2.7. Аудит событий, зафиксированных в электронных журналах, должен анализироваться в плановом порядке на постоянной основе не реже одного раза в месяц Администраторами ИБ.

2.8. Администраторы ИБ обязаны выполнять пересмотр перечня событий безопасности, подлежащих регистрации, не менее чем один раз в год, а также по результатам контроля (мониторинга) за обеспечением уровня защищённости информации, содержащейся в информационной системе.

2.9. Администраторы ИБ обязаны следить за выполнением требований по безопасности ПДн в ИС «Сетевой город. Образование» в соответствии с классом ИС и уровнем защищенности ПДн для подсистемы «Регистрация событий безопасности», приведёнными в Приказе ФСТЭК от 11 февраля 2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», Приказе ФСТЭК от 18 февраля 2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

2.10. Ответственный за обеспечение безопасности ПДн и Администраторы ИБ обязаны реагировать на события безопасности в течении минимально возможного времени.

2.11. Ответственный за обеспечение безопасности ПДн и Администраторы ИБ обязаны проводить своевременный мониторинг журналов безопасности.

2.12. Ответственный за обеспечение безопасности ПДн и Администраторы ИБ обязаны осуществлять при необходимости копирование и резервирование журналов безопасности.

Читать еще:  Как удалить антивирус который не удаляется

3. Ответственность при организации регистрации событий безопасности

3.1. Ответственность за организацию регистрации событий безопасности и установление порядка её проведения, в соответствии с требованиями настоящих Правил, возлагается на Администраторов ИБ.

3.2. Ответственность за поддержание установленного порядка и соблюдение требований настоящих Правил возлагается на Ответственного за обработку и защиту ПДн.

3.3. Периодический контроль за выполнением всех требований настоящих Правил осуществляется Администраторами ИБ.

СЗПДн. Проектирование. Регистрация событий ИБ

В рамках создания и эксплуатации любой СЗПДн необходимо регистрировать, собирать, просматривать, анализировать события ИБ и реагировать на выявленные нарушения.

Чтобы ничего не упустить, вспомним требования из НД регуляторов:

Приказ ФСТЭК Р №21:

“8.5. Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.

V. Регистрация событий безопасности (РСБ)

РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения

РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

РСБ.3 Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

РСБ.5 Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

РСБ.7 Защита информации о событиях безопасности

XI. Защита среды виртуализации (ЗСВ)

ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре”

Приказ ФСБ Р №378:

“20. Для выполнения требования, указанного в пункте 19 настоящего документа, необходимо:

б) обеспечение информационной системы автоматизированными средствами, регистрирующими запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам в электронном журнале сообщений;

23. Для выполнения требования, указанного в подпункте «а» пункта 22 настоящего документа, необходимо:

а) обеспечение информационной системы автоматизированными средствами, позволяющими автоматически регистрировать в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;

б) отражение в электронном журнале безопасности полномочий сотрудников оператора персональных данных по доступу к персональным данным, содержащимся в информационной системе. Указанные полномочия должны соответствовать должностным обязанностям сотрудников оператора;

в) назначение оператором лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия отраженных в нем полномочий сотрудников оператора их должностным обязанностям (не реже 1 раза в месяц).”

Как минимум вам необходимо иметь план регистрации, сбору и анализу событий ИБ. Если же вы заказываете проектирование СЗПДн или разработку ОРД или ЭД, то необходимо требовать наличия в них разделов связанных с регистрацией событий ИБ.

Для типовой СЗПДн план регистрации событий будет примерно следующий (для типового оператора с центральным офисом в 500 чел. и двумя удаленными офисами в 100 чел. и типовым набором СЗИ в рамках СЗПДн)

Для примера расчетов использовались условные предположения о том, что в среднем пользователь раз в 10 минут обращается к новому ресурсу, 2 раза в день запускает (пробуждает) ОС, 8 раз входит в ОС (после блокирования сессии), активный пользователь ИСПДн раз в минуту обращается к ПДн, 10 раз в день печатает документ, удаленный пользователь 2 раза в день подключается по VPN и т.п. предположения основанные на опыте. Данные цифры необходимо будет заменить на актуальные для вашей компании.

Если вы планируете хранить события ИБ на разных серверах, то необходимо ещё добавить столбец с указанием сервера и места хранения событий для каждого источника. Для упрощения, я предполагаю, что события будут собираться на один условный сервер.

Когда мы переходим к реализации плана по регистрации, сбору и анализу событий ИБ, мы можем столкнуться со следующими сложностями / проблемами:

  • Нам необходимо собирать события ИБ разными способами (Syslog, SNMP, SDEE, копирование файлов, SQL запросы) с большого количества источников (даже с учетом максимальной централизации – от 15 источников).
  • Нам необходимо просматривать и анализировать порядка 155 000 событий в день.
  • Нам нужно хранить в оперативном доступе порядка 10 000 000 событий и периодически проводить в них поиск в рамках обработки инцидента
  • Все компоненты участвующие в регистрации, сборе и анализе событий ИБ реализуют меры ИБ и соответственно должны быть сертифицированы (либо пройти оценку соответствия)

По первым 3 проблемам – надо грамотно планировать трудовые ресурсы на регистрацию, сбор и анализ событий ИБ и пытаться максимально автоматизировать данные процессы (например, SIEM).

Этапы регистрации и методы аудита событий информационной системы

Рисунок 4.4.1.

Определение и содержание регистрации и аудита информационных систем

Регистрация является еще одним механизмом обеспечения защищенности информационной системы. Этот механизм основан на подотчетности системы обеспечения безопасности, фиксирует все события, касающиеся безопасности, такие как:

· вход и выход субъектов доступа;

· запуск и завершение программ;

· выдача печатных документов;

· попытки доступа к защищаемым ресурсам;

· изменение полномочий субъектов доступа;

· изменение статуса объектов доступа и т. д.

Для сертифицируемых по безопасности информационных систем список контролируемых событий определен рабочим документом Гостехкомиссии РФ: «Положение о сертификации средств и систем вычислительной техники и связи по требованиям безопасности информации».

Эффективность системы безопасности принципиально повышается в случае дополнения механизма регистрации механизмом аудита. Это позволяет оперативно выявлять нарушения, определять слабые места в системе защиты, анализировать закономерности системы, оценивать работу пользователей и т. д.

Аудит – это анализ накопленной информации, проводимый оперативно в реальном времени или периодически (например, раз в день). Оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации называется активным.

Читать еще:  Gpo фильтрация отказано безопасность

Реализация механизмов регистрации и аудита позволяет решать следующие задачи обеспечения информационной безопасности:

· обеспечение подотчетности пользователей и администраторов;

· обеспечение возможности реконструкции последовательности событий;

· обнаружение попыток нарушений информационной безопасности;

· предоставление информации для выявления и анализа проблем.

Рассматриваемые механизмы регистрации и аудита являются сильным психологическим средством, напоминающим потенциальным нарушителям о неотвратимости наказания за несанкционированные действия, а пользователям – за возможные критические ошибки.

Практическими средствами регистрации и аудита являются:

· различные системные утилиты и прикладные программы;

· регистрационный (системный или контрольный) журнал.

Первое средство является обычно дополнением к мониторингу, осуществляемого администратором системы. Комплексный подход к протоколированию и аудиту обеспечивается при использовании регистрационного журнала.

Регистрационный журнал – это хронологически упорядоченная совокупность записей результатов деятельности субъектов системы, достаточная для восстановления, просмотра и анализа последовательности действий, окружающих или приводящих к выполнению операций, процедур или совершению событий при транзакции с целью контроля конечного результата.

Фрагмент журнала безопасности подсистемы регистрации и аудита операционной системы показан на рис. 4.4.1.

Обнаружение попыток нарушений информационной безопасности входит в функции активного аудита, задачами которого является оперативное выявление подозрительной активности и предоставление средств для автоматического реагирования на нее.

Под подозрительной активностью понимается поведение пользователя или компонента информационной системы, являющееся злоумышленным (в соответствии с заранее определенной политикой безопасности) или нетипичным (согласно принятым критериям).

Например, подсистема аудита, отслеживая процедуру входа (регистрации) пользователя в систему подсчитывает количество неудачных попыток входа. В случае превышения установленного порога таких попыток подсистема аудита формирует сигнал о блокировке учетной записи данного пользователя.

Организация регистрации событий, связанных с безопасностью информационной системы включает как минимум три этапа:

1. Сбор и хранение информации о событиях.

2. Защита содержимого журнала регистрации.

3. Анализ содержимого журнала регистрации.

На первом этапе определяются данные, подлежащие сбору и хранению, период чистки и архивации журнала, степень централизации управления, место и средства хранения журнала, возможность регистрации шифрованной информации и др.

Регистрируемые данные должны быть защищены, в первую очередь, от несанкционированной модификации и, возможно, раскрытия.

Самым важным этапом является анализ регистрационной информации. Известны несколько методов анализа информации с целью выявления несанкционированных действий.

Статистические методы основаны на накоплении среднестатистических параметров функционирования подсистем и сравнении текущих параметров с ними. Наличие определенных отклонений может сигнализировать о возможности появления некоторых угроз.

Эвристические методы используют модели сценариев несанкционированных действий, которые описываются логическими правилами или модели действий, по совокупности приводящие к несанкционированным действиям.

регистрация событий в системе безопасности

Универсальный русско-английский словарь . Академик.ру . 2011 .

Смотреть что такое «регистрация событий в системе безопасности» в других словарях:

Критерии определения безопасности компьютерных систем — Эту статью следует викифицировать. Пожалуйста, оформите её согласно правилам оформления статей. Критерии определения безопасности компьютерных систем (англ. Trusted Computer System Evaluation Criteria … Википедия

ГОСТ Р ИСО/ТО 13569-2007: Финансовые услуги. Рекомендации по информационной безопасности — Терминология ГОСТ Р ИСО/ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности: 3.4 активы (asset): Все, что имеет ценность для организации [2]. Определения термина из разных документов: активы 3.58 анализ риска (risk… … Словарь-справочник терминов нормативно-технической документации

ГОСТ Р ИСО ТО 13569-2007: Финансовые услуги. Рекомендации по информационной безопасности — Терминология ГОСТ Р ИСО ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности: 3.4 активы (asset): Все, что имеет ценность для организации [2]. Определения термина из разных документов: активы 3.58 анализ риска (risk… … Словарь-справочник терминов нормативно-технической документации

СОЛАС — Международная конвенция по охране человеческой жизни на море (СОЛАС, от англ. SOLAS, Safety of Life at Sea) в её последовательно издававшихся формах является, пожалуй, наиболее важным из всех международных соглашений по безопасности торговых… … Википедия

Соединённые Штаты Америки — Соединенные Штаты Америки США, гос во в Сев. Америке. Название включает: геогр. термин штаты (от англ, state государство ), так в ряде стран называют самоуправляющиеся территориальные единицы; определение соединенные, т. е. входящие в федерацию,… … Географическая энциклопедия

менеджмент — 3.2. менеджмент: По ГОСТ Р ИСО 9000 (статья 3.2.6). Источник: ГОСТ Р 1.4 2004: Стандартизация в Российской Федерации. Стандарты организаций. Общие положения … Словарь-справочник терминов нормативно-технической документации

Александр Лукашенко — (Alexander Lukashenko) Александр Лукашенко это известный политический деятель, первый и единственный президент Республики Беларусь Президент Беларуси Александр Григорьевич Лукашенко, биография Лукашенко, политическая карьера Александра Лукашенко … Энциклопедия инвестора

IPO — (Публичное размещение) IPO это публичное размещение ценных бумаг на фондовом рынке Сущность понятия публичного размещения (IPO), этапы и цели проведения IPO, особенности публичного размещения ценных бумаг, крупнейшие IPO, неудачные публичные… … Энциклопедия инвестора

ПРОГРАММА — 5.4.16. ПРОГРАММА Данные, предназначенные для управления конкретными компонентами системы обработки информации в целях реализации определенного алгоритма ГОСТ 19781 Источник: РМ 4 239 91: Системы автоматизации. Словарь справочник по терминам.… … Словарь-справочник терминов нормативно-технической документации

Государственная программа — (Government program) Государственная программа это инструмент государственного регулирования экономики, обеспечивающий достижение перспективных целей Понятие государственной программы, виды государственных федеральных и муниципальных программ,… … Энциклопедия инвестора

Рынок труда — (Labor market) Рынок труда это сфера формирования спроса и предложения на рабочую силу Определение рынка труда, определение рабочей силы, структура рынка труда, субъекты рынка труда, конъюнктура рынка труда, сущность открытого и скрытого рынка… … Энциклопедия инвестора

Ссылка на основную публикацию
Adblock
detector
×
×