8 minute read

Надежда Мозолина

Надежда Мозолина,

руководитель отдела программирования ОКБ САПР

Advertisement

С

р е д и в о п р о с о в п о с т р о е н и я с и с т е м з а щ и т ы и н ф о р м а ц и и ес т ь о д и н , в о т в е т е н а к о т о р ы й н е т р а з н о г л а с и й : и х с о з д ан и е н а ч и н а е т с я с а н а л и з а т е к у щ е г о с о с т о я н и я и н ф о р м а ц и о нн о й с и с т е м ы ( И С ) , д а л е е с л е д у е т о п р е д е л е н и е о б ъ е к т о в з ащ и т ы и п о с т р о е н и е м о д е л и у г р о з , а з а в е р ш а ю щ и м э т а п о м я в л яе т с я с о п р о в о ж д е н и е р а з р а б о т а н н о й с и с т е м ы , е е н е п р е р ы в н ы й м о н и т о р и н г , а т а к ж е к о н т р о л ь с о с т о я н и я и к о н ф и г у р а ци й , п р и ч е м э т о т к о н т р о л ь д о л ж е н о с у щ е с т в л я т ь с я в т е ч е н ие в с е й ж и з н и И С , в п л о т ь д о е е л и к в и д а ц и и1 .

Контроль состояния и конфигураций необходим не только компонентам системы защиты, но и всем элементам информационной системы. Об этом нам говорят и требования, утвержденные приказами ФСТЭК России № 17 и 21 (АНЗ.2, АНЗ.4, ОЦЛ.1, ЗИС.18), а также 239 (АУД.1, ОЦЛ.1, ОДТ.8, ОПО.2). Рассмотрим особенности контроля изменений на рабочих местах пользователей с точки зрения повышения защищенности системы.

Для большинства ИС характерны постоянные изменения: установка нового программного и аппаратного обеспечения, его обновление или удаление, создание документов, баз данных и т.д. Изменения, происходящие на рабочих местах пользователей, могут быть как результатом санкционированных действий (например, обновление версии программных модулей администратором), так и результатом работы некоторого вредоносного ПО, случайного или намеренного внесения нежелательных изменений пользователем.

Последствиями несанкционированных изменений могут быть нерациональное использование рабочего времени, угрозы безопасности и промышленный шпионаж и даже полное нарушение работоспособности системы.

Для своевременного обнаружения и предотвращения таких изменений недостаточно организационных мер (инструкций, регламентов), необходим постоянный мониторинг состояния рабочих мест пользователя. Обеспечить такой контроль может продукт ОКБ САПР "Паспорт ПО", разработанный для анализа программной среды компьютеров под управлением ОС Windows.

Основные функции "Паспорт ПО"

Рассматривать возможности программного модуля интересно в сопоставлении с принципами управления конфигурациями, ориентированном на безопасность (Security-Focused Configuration Management of Information Systems, SecCM) – одной из концепций повышения защищенности информационной системы за счет управления ее конфигурациями. Реализация принципов SecCM заключается в: l идентификации и записи конфигураций, которые влияют на состояние безопасности системы и организации; l учете рисков безопасности при утверждении начальной конфигурации; l анализе последствий изменения конфигурации системы для безопасности; l документировании одобренных и внедренных изменений2 .

Стандарт указывает основные шаги, выполнение которых позволяет реализовать корректное управление конфигурациями в информационной системе. Так, ключевыми этапами являются: l планирование SecCM (разработка политик применения средства SecCM); l внедрение SecCM (определение базовых конфигураций и их утверждение); l контроль изменений конфигурации (использование некоторой панели управления конфигурацей для рассмотрения и утверждения изменений в ИС) и мониторинг уже утвержденных конфигураций. "Паспорт ПО" предназначен для автоматизации контроля целостности состояния программной среды (основных характеристик файлов программного обеспечения) и контроля изменений состава ПО (установленных на средство вычислительной техники системных и прикладных программных продуктов). Фиксация состояния конфигурации СВТ (программной среды вместе с совокупностью состава ПО) выполняется через создание записей специального вида –проектов паспортов ПО. Заверенный проект паспорта называется паспортом ПО и представляет эталонное состояние конфигурации СВТ. Для формирования паспорта ПО пользователь должен обладать в рамках "Паспорт ПО" правом на подпись проекта.

Основные элементы "Паспорт ПО": 1. Серверный компонент (Сервер) с базой данных. 2. Компонент управления (АРМ управления). 3. Клиентский компонент (Клиент), устанавливаемый на подконтрольные объекты (ПКО) – рабочие места (СВТ), конфигурацию которых контролирует программный модуль. 4. Сервис обмена сообщениями RabbitMQ, обеспечивающий взаимодействие по сети между всеми элементами.

Подготовка системы для работы "Паспорт ПО" заключается в выполнении следующих нескольких действий: 1. Регистрация учетных записей административного персонала, отвечающего за контроль целостности программной среды в АРМ управления, формирование ролей и назначение их учетным записям. 2. Формирование списка ПКО с разбиением на логические группы (подразделения).

ГОСТ Р 51583–2014. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения.

3. Формирование общей базы шаблонов (прототипов конфигураций рабочих мест пользователей). 4. Назначение шаблонов подконтрольным объектам. 5. Проведение опроса на ПКО (сканирования конфигурации СВТ в соответствии с назначенным шаблоном) и формирование его паспорта ПО.

Эти действия соответствуют этапам планирования и внедрения SecCM.

В результате подготовки системы в базе данных "Паспорт ПО" формируются записи об эталонном состоянии конфигурации СВТ с установленным Клиентом. В ходе дальнейшей работы выполняется сканирование подконтрольных объектов по заданному для СВТ расписанию или по запросу управляющего персонала "Паспорт ПО". В ходе сканирования Клиент определяет конфигурацию СВТ и отправляет информацию на Сервер, который автоматически сверяет полученные данные о текущем состоянии ПКО с эталонным и информирует управляющий персонал "Паспорт ПО" о выявленных нарушениях. Для каждого ПКО в случае обнаружения нарушений должен быть выполнен анализ возникших изменений, в результате которого возможно обновление паспорта ПО в случае санкционированных модификаций или же принятие мер по устранению причин возникших несоответствий, разбор инцидента безопасности. Данные операции являются третьим этапом реализации SecCM.

Информация обо всех действиях по формированию как проектов паспортов ПО, так и самих паспортов ПО сохраняется в журнале событий "Паспорт ПО". Анализ сообщений из журнала событий позволяет производить выявление изменений в уже утвержденных паспортах, реализовав тем самым этап мониторинга SecCM.

SecCM и "Паспорт ПО"

Рассмотрев основные функции "Паспорт ПО" и сопоставив этапы его применения с этапами реализации концепции SecCM, выполним сравнение основных процессов и объектов, на которые опирается стандарт SecCM, и процессов и объектов, которыми оперирует программный модуль. Результат представлен в таблице.

Стоит отметить, что "Паспорт ПО", который, как мы увидели, реализует управление конфигурациями, ориентированное на безопасность, является наложенным средством, целесообразность применения которого, при наличии аналогичной встроенной функциональности, время от времени все еще вызывает дискуссии.

Использование большого числа компьютеров под управлением ОС Windows почти всегда сопровождается их объединением с использованием службы каталогов Active Directory (AD) в единый домен. Эта служба позволяет управлять Таблица. Соответствие между основными процессами и объектами

NIST.SP.800-128 Управление конфигурацией, Configuration Management (CM) – набор действий, направленных на создание и поддержание целостности продуктов и систем посредством контроля процессов создания, изменения и мониторинга конфигураций этих продуктов и систем

Элемент конфигурации, Configuration Item (CI) – идентифицируемая часть системы (например, аппаратное обеспечение, программное обеспечение, встроенное ПО, документация или их комбинация), которая является дискретной целью процесса управления конфигурацией

Базовая конфигурация, Baseline Configuration – набор спецификаций для системы или элемента конфигураций в системе, который был рассмотрен и согласован в определенный момент времени и который может быть изменен только через процедуры контроля изменений

План управления конфигурацией, Configuration Management Plan (CM Plan) –полное описание ролей, обязанностей, политики и процедуры, применяемых при управлении конфигурацией продуктов и системы "Паспорт ПО" Набор действий по формированию базы шаблонов (типовых конфигураций СВТ), назначению их рабочим местам пользователей, формированию паспортов ПО, проведению сканирования рабочих мест и сравнению текущей конфигурации СВТ (проекта паспорта) с эталонной (паспорт ПО)

Подконтрольный объект (ПКО) –СВТ с установленным на него Клиентом "Паспорт ПО", однозначно идентифицируется именем ПКО. Обеспечение контроля целостности конфигурации ПКО является целью применения "Паспорт ПО"

Паспорт ПО – заверенный проект паспорта ПО, содержащий информацию о конфигурации СВТ. Процесс заверения проекта заключается в его подписи пользователем "Паспорт ПО". Формирование нового паспорта ПО для СВТ возможно лишь в результате формирования нового проекта паспорта ПО, его сопоставления с действующим паспортом, а также подписи данного проекта "Паспорт ПО" является инструментом контроля целостности состояния программной среды, регламент же его применения для мониторинга конфигураций рабочих мест пользователей информационной системы может быть рассмотрен как план управления конфигурацией

различными объектами (рабочими компьютерами, серверами, принтерами, пользователями и т.д.) из единой точки (контроллера домена), а также получать сведения о состоянии объектов и об их изменениях, то есть выполнять мониторинг конфигураций.

Хотя использование встроенных в AD технологий и позволяет осуществлять контроль изменений рабочих мест, применение данной службы каталогов порождает "проблему суперпользователя", то есть сосредоточения максимальных привилегий в рамках одной роли, в данном случае – в рамках роли администратора домена. Обладая полными правами, он может вносить любые изменения, что делает бессмысленным возложение на него же еще и обязанностей по контролю этих

Применение же наложенного средства контроля изменений позволяет избежать "проблемы суперпользователя", смешения прав и обязанностей системного администратора и администратора ИБ, поэтому, несмотря на частичное дублирование встроенной функциональности, именно наложенное средство является необходимым компонентом защищенной

изменений.

информационной системы. l NM

АДРЕСА И ТЕЛЕФОНЫ "ОКБ САПР" см. стр. 60

Реклама

This article is from: