6 minute read
КИИ
from InfoSec_04_2020
by jozef24
Реализация требований 187-ФЗ на стыке SIEM и DLP
Основа основ чистой SIEM – это статистика и математика. Система не сможет принимать решения за вас и обеспечивать какие-либо защитные меры. Принимать решения и действовать будете вы и ваши защитные системы, а SIEM только подскажет, когда и в каком направлении нужно работать. Дмитрий Кандыбович,
Advertisement
Н
1 января 2018 г. вступил в силу Федеральный закон от 26.07.2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", являющийся частью Доктрины информационной безопасности Российской Федерации. Из него следует определение объектов КИИ –это автоматизированные системы управления, информационные системы, сети и телекоммуникации – а также определение субъектов КИИ: ими являются владельцы указанных типов систем, в первую очередь те, что работают в одной из определенных в законе отраслей.
Не станем подробно останавливаться на тонких местах 187- ФЗ, проблемах его правоприменения, качестве проработки или качестве выполнения регулятором своих функций. Рассмотрим варианты применения закона на практике: что же можно использовать, чтобы защитить свои информационные системы.
Закон определяет мероприятия, предписанные субъектам КИИ: l категорирование объектов КИИ; l создание системы обеспечения безопасности объектов КИИ; l интеграцию с ГосСОПКА.
В контексте данной статьи рассмотрим аспекты создания системы обеспечения безопасности и интеграцию с ГосСОПКА. Причем, согласно закону, объект КИИ может относиться к категории значимых, а может и не относиться. В первом случае вы реализуете систему защиты на свое усмотрение, а во втором у вас появляется вспомогательная система.
Конечно же, у вас могут быть предустановленные системы, и как раз о них дальше пойдет речь.
SIEM-системы
SIEM – это система, собирающая данные об общем состоянии и безопасности информационной системы из различных источников и предоставляющая их пользователю в рамках единого интерфейса. Ее ключевой функцией является работа на упреждение угроз: провести анализ событий, на его основе сделать выводы и реализовать меры противодействия. Вторая функция – хранить собираемые данные в структурированном виде, чтобы их можно было предоставить в качестве доказательств в случае инцидентов.
В идеале SIEM должна обеспечивать контроль информационной системы в режиме реального времени, позволяя реагировать на возникающие события, пока ситуация не стала критической. Нужно четко осознавать тот факт, что основа основ чистой SIEM –это статистика и математика. Система не сможет принимать решения за вас и обеспечивать какие-либо защитные меры. Принимать решения и действовать будете вы и ваши защитные системы, а SIEM только подскажет, когда и в каком направлении нужно работать.
SIEM нужна для того, чтобы экономить время. Если у вас используется набор защитных систем (DLP, IDS, межсетевые экраны и т.д.), то при отсутствии SIEM сотрудники отдела информационной безопасности будут тратить очень много времени на обработку логов каждой отдельной системы.
Но есть другой нюанс: недостаточно просто установить SIEM "из коробки". Вам потребуется написать ТЗ на использование системы с учетом имеющейся информационной инфраструктуры, а это значит, что необходимо провести ее предварительный аудит. Затем вы должны выбрать SIEM и только потом начать внедрение системы, а оно состоит из нескольких этапов: l установка и базовая настройка; l после периода пробной эксплуатации – создание дополнительных правил, учитывающих особенности обработки информации в конкретной организации; l тестовая эксплуатация; l корректировка.
И только потом – ввод в эксплуатацию. Все это может происходить в несколько итераций и определенно займет существенное время.
SIEM – это хорошие системы, но нужно четко осознавать, для чего они созданы и каковы особенности их использования.
ГИС ГосСОПКА
В качестве меры организации защиты объектов КИИ государство предлагает подключение к системе ГосСОПКА. В этом случае, как и в случае с SIEM, есть нюансы, о которых нужно знать.
Государство не берет на себя обязательство защищать ваши информационные системы от атак. Центры ГосСОПКА выполняют следующие функции:
l выявление и анализ уязвимостей обслуживаемых информационных систем, а также координацию действий по устранению найденных уязвимостей; l анализ событий, регистрируемых компонентами обслуживаемых информационных систем и средствами их защиты, для поиска признаков атак, направленных на эти системы; l координацию действий по реагированию на обнаруженную атаку, если же атака привела к инциденту – по ликвидации последствий этого инцидента; l расследование инцидентов и ретроспективный анализ атак, которые не удалось предотвратить; l информирование персонала обслуживаемых информационных систем.
Системы ГосСОПКА не заменяют собой никакие собственные системы субъекта КИИ, а только осуществляют вспомогательную информационную функцию. И если ваша система информационной безопасности даст сбой, то ГосСОПКА окажет посильную помощь.
Эта концепция сформирована и отражена в нормативных документах о безопасности КИИ. Государство подчеркивает, что вы сами должны обеспечивать безопасность. Система ГосСОПКА оценивает целевую систему, производя инвентаризацию, выявляя уязвимости, и производит анализ угроз, учитывая опыт обработки других информационных систем, а также предоставляет сценарии для разных типов угроз. Любой опыт системы по реализации сценариев защиты используется в дальнейшем, помогая менять сценарии и способствовать развитию системы.
Итак, безопасность информационной структуры – это область ответственности субъекта КИИ. В обработке данных и событий информационной безопасности может помочь государство. SIEM не решает проблемы, но осуществляет вспомогательную функцию, кроме того, требует определенной инфраструктуры, над которой она надстраивается. Осталось восполнить одно недостающее звено, чтобы с нуля построить систему, соответствующую 187-ФЗ, и при этом уложиться в сроки, касающиеся мероприятий с КИИ. StaffCop – на стыке SIEM и DLP
Если раньше общей концепцией производства ПО было наращивание функционала продукта, то сейчас акцент смещается в сторону одного из двух типов: l решения, работающие "из коробки"; l решения, объединяющие в себе разные системы.
Время интеграции – это такой же важный фактор, как и функциональность.
Для соответствия функционала приказу ФСТЭК России № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" в StaffCop Enterprise имеются следующие возможности: l контроль ввода-вывода информации на машинные носители информации – сеть, USB, CD, запись/удаление/печать и т.д.; l контроль подключения электронных носителей информации – применительно ко всей системе/конкретному сегменту/компьютеру/пользователю, список запрещенных/список разрешенных/разрешение только на чтение; l контроль и анализ сетевого трафика – вся работа пользователей в сети: время, проведенное на сайтах, список посещенных сайтов, заполнение веб-форм и т.д., а также возможность настройки белого списка сайтов и блокировка доступа к нежелательным; l контроль файлов – контроль любых операций с файлами, включая передачу через сеть; l инвентаризационные функции – контроль конфигурации аппаратной части и программной; l детектор аномалий – аналитический инструмент, который позволяет составить модель поведения сотрудника во время рабочего процесса и реагирующий на отклонения в поведении.
StaffCop Enterprise идет по пути совмещения функций SIEM и DLP, позволяя при небольших затратах получить весь необходимый функционал, соответствующий требованиям 187-ФЗ. Уменьшение затрат достигается за счет того, что заказчику не требуется приобретать сторонние лицензии, он покупает толь
Наши исследования показывают, что по времени развертывания StaffCop Enterprise является одним из быстрейших решений на рынке. Все, что требуется, –развернуть с образа серверную часть, установить агенты на выбранные рабочие станции и настроить антивирус. Причем установить агенты вы можете удаленно, импортировав, например, адреса хостов в установщик, чтобы ускорить процесс, либо проведя сканирование сети и считав данные из домена.
ко сам комплекс: все, что нужно, уже включено в комплект поставки.
Учитывая, что многие организации подключаются к системам ГосСОПКА, в StaffCop Enterprise реализована функция формирования специального протокола, который можно передавать в другие SIEM, в частности в ГосСОПКА. Тот набор данных, которые собирает и анализирует Staffcop Enterprise, дополняет общий срез ИБ и подходит для построения защиты КИИ – подтверждением этого и является сертификат ФСТЭК № 4234 от 15 апреля 2020 г.
Заключение
Государство готово помочь предприятиям частного сектора любого масштаба в анализе событий ИБ с помощью ГИС ГосСОПКА. Поэтому необходимо сосредоточиться на выборе наиболее оптимального решения, позволяющего интегрироваться с ГосСОПКА. StaffСop Enterprise полностью соответствует требованиям федерального закона и включает в себя необходимый функционал, покрывающий потребности любой организации. Само использование программного комплекса не требует особых знаний, и любой сотрудник, как показывает практика, способен быстро научиться с ним обращаться. Документация на программный комплекс находится в открытом доступе, что позволяет ознакомиться с возможностями продукта до его непосредственного тестирования.
В условиях мировой нестабильности Staffcop Enterprise является одним из лучших решений по обеспечению ИБ, сочетая в себе малое время развертывания, многофункциональность, технологичность и низкую стоимость. l
Ваше мнение и вопросы присылайте по адресу is@groteck.ru
Системы ГосСОПКА не заменяют собой никакие собственные системы субъекта КИИ, а только осуществляют вспомогательную информационную функцию. И если ваша система информационной безопасности даст сбой, то ГосСОПКА окажет посильную помощь.
StaffCop Enterprise идет по пути совмещения функций SIEM и DLP, позволяя при небольших затратах получить весь необходимый функционал, соответствующий требованиям 187-ФЗ.
