staffcop 9/18/20 1:23 PM Page 14
В ФОКУСЕ
Реализация требований 187-ФЗ на стыке SIEM и DLP Дмитрий Кандыбович, генеральный директор Staffcop (ООО “Атом безопасность”)
Н Основа основ чистой SIEM – это статистика и математика. Система не сможет принимать решения за вас и обеспечивать какие-либо защитные меры. Принимать решения и действовать будете вы и ваши защитные системы, а SIEM только подскажет, когда и в каком направлении нужно работать.
14 •
ормативная база о безопасности КИИ содержит в себе вполне конкретные требования по организации системы защиты, поэтому выбор решения для ее обеспечения оказывается очень непростым. В статье пойдет речь о том, как в условиях ограниченного бюджета построить с нуля систему, соответствующую 187-ФЗ.
1 января 2018 г. вступил в силу Федеральный закон от 26.07.2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", являющийся частью Доктрины информационной безопасности Российской Федерации. Из него следует определение объектов КИИ – это автоматизированные системы управления, информационные системы, сети и телекоммуникации – а также определение субъектов КИИ: ими являются владельцы указанных типов систем, в первую очередь те, что работают в одной из определенных в законе отраслей. Не станем подробно останавливаться на тонких местах 187-ФЗ, проблемах его правоприменения, качестве проработки или качестве выполнения регулятором своих функций. Рассмотрим варианты применения закона на практике: что же можно использовать, чтобы защитить свои информационные системы. Закон определяет мероприятия, предписанные субъектам КИИ: l категорирование объектов КИИ; l создание системы обеспечения безопасности объектов КИИ; l интеграцию с ГосСОПКА. В контексте данной статьи рассмотрим аспекты создания системы обеспечения безопасности и интеграцию с ГосСОПКА. Причем, согласно закону, объект КИИ может относиться к категории значимых, а может и не относиться. В первом случае вы реализуете систему
защиты на свое усмотрение, а во втором у вас появляется вспомогательная система. Конечно же, у вас могут быть предустановленные системы, и как раз о них дальше пойдет речь.
SIEM-системы SIEM – это система, собирающая данные об общем состоянии и безопасности информационной системы из различных источников и предоставляющая их пользователю в рамках единого интерфейса. Ее ключевой функцией является работа на упреждение угроз: провести анализ событий, на его основе сделать выводы и реализовать меры противодействия. Вторая функция – хранить собираемые данные в структурированном виде, чтобы их можно было предоставить в качестве доказательств в случае инцидентов. В идеале SIEM должна обеспечивать контроль информационной системы в режиме реального времени, позволяя реагировать на возникающие события, пока ситуация не стала критической. Нужно четко осознавать тот факт, что основа основ чистой SIEM – это статистика и математика. Система не сможет принимать решения за вас и обеспечивать какие-либо защитные меры. Принимать решения и действовать будете вы и ваши защитные системы, а SIEM только подскажет, когда и в каком направлении нужно работать. SIEM нужна для того, чтобы экономить время. Если у вас используется набор защитных систем (DLP, IDS, межсетевые экраны и т.д.), то при отсут-
ствии SIEM сотрудники отдела информационной безопасности будут тратить очень много времени на обработку логов каждой отдельной системы. Но есть другой нюанс: недостаточно просто установить SIEM "из коробки". Вам потребуется написать ТЗ на использование системы с учетом имеющейся информационной инфраструктуры, а это значит, что необходимо провести ее предварительный аудит. Затем вы должны выбрать SIEM и только потом начать внедрение системы, а оно состоит из нескольких этапов: l установка и базовая настройка; l после периода пробной эксплуатации – создание дополнительных правил, учитывающих особенности обработки информации в конкретной организации; l тестовая эксплуатация; l корректировка. И только потом – ввод в эксплуатацию. Все это может происходить в несколько итераций и определенно займет существенное время. SIEM – это хорошие системы, но нужно четко осознавать, для чего они созданы и каковы особенности их использования.
ГИС ГосСОПКА В качестве меры организации защиты объектов КИИ государство предлагает подключение к системе ГосСОПКА. В этом случае, как и в случае с SIEM, есть нюансы, о которых нужно знать. Государство не берет на себя обязательство защищать ваши информационные системы от атак. Центры ГосСОПКА выполняют следующие функции: