Файл: Федеральное государственное бюджетное образовательное учреждение высшего образования санктпетербургский.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2023
Просмотров: 547
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
силу архитектуры СУБД Oracle, администратор СУБД имеет неограниченные права по управлению содержимым журнала аудита, а действия администратора SYS вообще не регистрируются в системе.
В этой связи мы приходим к выводу о необходимости внедрения в
СУИБ независимых средств мониторинга ИБ для контроля за действиями привилегированных пользователей, или так называемых доверенных средств мониторинга ИБ. Дополнительно, в случае, если в функциональной структуре ИС имеется собственная служба информационной безопасности,
ПИБ должна содержать требования по разделению полномочий, а также реквизитов доступа (паролей) в подсистеме между администраторами сопровождения ИС и АИБ. Штатный аудит операционных систем, СУБД, БД и сетевого оборудования может быть использован, в том числе, и для контроля действий администраторов со стороны АИБ.
Система внешнего (независимого) мониторинга представляет собой специально разработанные программные средства, основу которых составляют программные агенты (сенсоры), функционирующие на уровне драйверов соответствующих операционных систем.
Необходимо отметить, что независимый мониторинг часто является единственным инструментом контроля привилегированных пользователей, а именно, в тех случаях, когда невозможно ограничить выполнение ими не санкционированных/деструктивных действий, не лишив их при этом необходимой функциональности. Кроме того, для некоторых систем дополнительно все права по управлению штатным аудитом могут быть переданы независимому администратору.
Учитывая значительный объем данных аудита, поступающих от различных контролируемых подсистем ИС, а также многообразие требований политики безопасности, которые должны быть отслежены через эти данные, становится очевидной необходимость автоматизации процесса их анализа. При этом особое значение должно быть уделено построению
единых (универсальных) систем интегрального мониторинга ИБ (ЕСМИБ), позволяющих выявлять в режиме реального времени подозрительные действия пользователей, в том числе распределенные атаки на систему защиты.
5.2.3.2. Планирование основных принципов построения ЕСМИБ
Основная задача системы интегрального мониторинга ИБ – оперативное получение и одновременная обработка данных от всех компонент контроля
ИС (в т. ч. внешних систем защиты), их формализация и экспорт в СУБД
ЕСМИБ с последующим оперативным анализом этих данных. Такой подход позволит определять и анализировать распределенные атаки на ИС, при реализации которых записи в одном из журналов систем аудита или внешней системы защиты может оказаться недостаточно для гарантированного определения атаки, а требуется согласованный интегральный анализ событий, зарегистрированных в нескольких журналах аудита. Кроме того, согласованный анализ событий аудита позволит избежать ложного
В этой связи мы приходим к выводу о необходимости внедрения в
СУИБ независимых средств мониторинга ИБ для контроля за действиями привилегированных пользователей, или так называемых доверенных средств мониторинга ИБ. Дополнительно, в случае, если в функциональной структуре ИС имеется собственная служба информационной безопасности,
ПИБ должна содержать требования по разделению полномочий, а также реквизитов доступа (паролей) в подсистеме между администраторами сопровождения ИС и АИБ. Штатный аудит операционных систем, СУБД, БД и сетевого оборудования может быть использован, в том числе, и для контроля действий администраторов со стороны АИБ.
Система внешнего (независимого) мониторинга представляет собой специально разработанные программные средства, основу которых составляют программные агенты (сенсоры), функционирующие на уровне драйверов соответствующих операционных систем.
Необходимо отметить, что независимый мониторинг часто является единственным инструментом контроля привилегированных пользователей, а именно, в тех случаях, когда невозможно ограничить выполнение ими не санкционированных/деструктивных действий, не лишив их при этом необходимой функциональности. Кроме того, для некоторых систем дополнительно все права по управлению штатным аудитом могут быть переданы независимому администратору.
Учитывая значительный объем данных аудита, поступающих от различных контролируемых подсистем ИС, а также многообразие требований политики безопасности, которые должны быть отслежены через эти данные, становится очевидной необходимость автоматизации процесса их анализа. При этом особое значение должно быть уделено построению
единых (универсальных) систем интегрального мониторинга ИБ (ЕСМИБ), позволяющих выявлять в режиме реального времени подозрительные действия пользователей, в том числе распределенные атаки на систему защиты.
5.2.3.2. Планирование основных принципов построения ЕСМИБ
Основная задача системы интегрального мониторинга ИБ – оперативное получение и одновременная обработка данных от всех компонент контроля
ИС (в т. ч. внешних систем защиты), их формализация и экспорт в СУБД
ЕСМИБ с последующим оперативным анализом этих данных. Такой подход позволит определять и анализировать распределенные атаки на ИС, при реализации которых записи в одном из журналов систем аудита или внешней системы защиты может оказаться недостаточно для гарантированного определения атаки, а требуется согласованный интегральный анализ событий, зарегистрированных в нескольких журналах аудита. Кроме того, согласованный анализ событий аудита позволит избежать ложного
детектирования несанкционированный событий, вызванных случайными сбоями или ошибками пользователей. Результатом разбора данных аудита является принятие решения о воздействии на технологический процесс ИС с целью ликвидации последствий выявленных нарушений и недопущения их в будущем, а также формирование численных оценок опасности выявленных событий безопасности.
К ЕСМИБ должны предъявляться следующие требования [44-46]:
– возможность интерпретации журналов аудита всех компонент ИС (ОС,
СУБД, систем защиты информации (СЗИ), систем обнаружения вторжений
(IDS) и др.);
– возможность многоуровневого построения ЕСМИБ с реализацией предварительной и окончательной обработки данных аудита на различных компонентах ЕСМИБ;
– наличие центральной SQL–базы данных ЕСМИБ, в которой накапливается информация аудита компонент ИС;
– возможность дистанционного управления интегральными настройками аудита различных компонентов ИС для контроля конкретного субъекта.
Например, обеспечить возможность интегрального аудита конкретного пользователя, при котором одновременно получается и анализируется информация о действиях пользователя на АРМ ИС, в СУБД Oracle, в корпоративной сети по IP- адресу пользователя (от межсетевых экранов, маршрутизаторов) и др.;
– возможность связывания событий аудита от различных компонентов
ИС для определения совокупных действий конкретного пользователя ИС или групп пользователей (должна быть разработана база соответствия имен пользователей в различных компонентах ИС), а также IP адресов или групп
IP-адресов;
– наличие экспертного языка анализа журналов и возможность задания правил действий в зависимости от результатов анализа журналов аудита и возможность выдачи рекомендаций по воздействию на технологический процесс в ИС;
– возможность дистанционного оповещения администратора безопасности о выявлении НСД и/или инцидента в соответствии с заданными правилами.
Особенностью системы должно быть то, что реакция на события НСД и
инциденты ИБ, описанные с помощью правил экспертной системы ЕСМИБ напрямую не должны влиять на функционирование ИС, а носить характер рекомендаций администраторам информационной безопасности (АИБ), целесообразность выполнения которых зависит от их решений и не может автоматически нарушить функционирование ИС.
Применяемые организацией меры по обнаружению инцидентов ИБ и реагирование на них должны обеспечивать:
– обнаружение и регистрацию инцидентов ИБ;
– организацию реагирования на инциденты ИБ;
– организацию хранения и защиту информации об инцидентах ИБ;
К ЕСМИБ должны предъявляться следующие требования [44-46]:
– возможность интерпретации журналов аудита всех компонент ИС (ОС,
СУБД, систем защиты информации (СЗИ), систем обнаружения вторжений
(IDS) и др.);
– возможность многоуровневого построения ЕСМИБ с реализацией предварительной и окончательной обработки данных аудита на различных компонентах ЕСМИБ;
– наличие центральной SQL–базы данных ЕСМИБ, в которой накапливается информация аудита компонент ИС;
– возможность дистанционного управления интегральными настройками аудита различных компонентов ИС для контроля конкретного субъекта.
Например, обеспечить возможность интегрального аудита конкретного пользователя, при котором одновременно получается и анализируется информация о действиях пользователя на АРМ ИС, в СУБД Oracle, в корпоративной сети по IP- адресу пользователя (от межсетевых экранов, маршрутизаторов) и др.;
– возможность связывания событий аудита от различных компонентов
ИС для определения совокупных действий конкретного пользователя ИС или групп пользователей (должна быть разработана база соответствия имен пользователей в различных компонентах ИС), а также IP адресов или групп
IP-адресов;
– наличие экспертного языка анализа журналов и возможность задания правил действий в зависимости от результатов анализа журналов аудита и возможность выдачи рекомендаций по воздействию на технологический процесс в ИС;
– возможность дистанционного оповещения администратора безопасности о выявлении НСД и/или инцидента в соответствии с заданными правилами.
Особенностью системы должно быть то, что реакция на события НСД и
инциденты ИБ, описанные с помощью правил экспертной системы ЕСМИБ напрямую не должны влиять на функционирование ИС, а носить характер рекомендаций администраторам информационной безопасности (АИБ), целесообразность выполнения которых зависит от их решений и не может автоматически нарушить функционирование ИС.
Применяемые организацией меры по обнаружению инцидентов ИБ и реагирование на них должны обеспечивать:
– обнаружение и регистрацию инцидентов ИБ;
– организацию реагирования на инциденты ИБ;
– организацию хранения и защиту информации об инцидентах ИБ;
– регистрацию событий нарушения ИБ, связанных с результатами обнаружения инцидентов ИБ и реагирования на них.
ЕСМИБ должна основываться на анализе действий субъектов
(пользователя, администратора, несанкционированного пользователя или администратора, процесса), как потенциальных источников атак на объекты
ИС.
Для проведения работ по анализу регистрационных журналов в ИС должна быть организована центральная консоль управления ЕСМИБ, куда должны передаваться данные от подсистем независимого и штатного аудита, контроля целостности, подсистем анализа защищенности ИС и др. На этой консоли должна отображаться текущая ситуация по состоянию информационной безопасности в ИС. С этой консоли, в результате анализа текущей ситуации, автоматически или вручную, вырабатываются управляющие команды. Центральная консоль физически может быть реализована в виде нескольких рабочих мест (с выделением, например, места
АИБ СУБД, администратора безопасности Unix–систем и т. д.). Такой подход к построению ЕСМИБ позволит:
– комплексно анализировать распределенные атаки на ИС, обобщать результаты анализа и выявлять скоординированные атаки на разные участки системы;
– организовать в режиме реального времени автоматизированную обработку, классификацию и индикацию регистрационной информации по мере ее поступления;
– оперативно осуществлять выработку необходимых решений по улучшению защиты контролируемой системы от несанкционированных воздействий, а также формировать в режиме реального времени рекомендации (в виде выявленных типов аварийных ситуаций) администрации ИС для необходимой реакции на технологический процесс;
– формировать численные оценки опасности регистрируемых событий;
– избежать ложного детектирования несанкционированных событий, вызванных случайными сбоями или ошибками пользователей;
– интегрировать дистанционное управление настройками аудита компонентов ИС.
Для оперативного анализа регистрационных журналов и выработки отчетов по результатам такого анализа необходимо разработать инструмент импорта информации аудита в центральную SQL–базу данных аудита, реализованную в составе ЕСМИБ, и программное обеспечение для работы с этой базой данных, обеспечивающее выборку интересующих сведений аудита и формирования отчетов по результатам выполнения политики безопасности.
Так как существует большое разнообразие наблюдаемых компонентов
ИС, каждая из которых обладает особенностями сбора и представления информации, ЕСМИБ должна быть способна использовать следующие механизмы сбора данных аудита:
– удаленные запросы ЕСМИБ к штатным SQL–базам аудита систем, как
например к базе аудита СУБД Oracle, которая является уже готовым набором таблиц базы данных SQL и нуждается лишь в небольшой в дополнительной формализации;
– использование централизованной базы штатного аудита распределенных систем. Например, система аудита маршрутизаторов Cisco
TACACS+ уже имеет централизованную базу данных аудиторской информации всех своих компонентов и системе интегрального аудита имеет смысл организовать работу непосредственно с этой централизованной базой данных;
– использование агентов трансляции данных аудита непосредственно на контролируемых объектах (например, ОС Unix). При отсутствии баз данных аудита компонентов ИС для передачи в ЕСМИБ данных аудита должны быть
разработаны агенты трансляции аудиторской информации, например, для
ОС HP–UX, которая не обладает механизмами удаленного предоставления данных аудита на базе архитектуры «клиент–сервер».
Кроме того, на этапе планирования системы мониторинга СУИБ и контроля защитных мер должны быть разработаны следующие нормативно- методические документы и процедуры:
– типовые документы, регламентирующие процедуры мониторинга
СУИБ и контроля защитных мер, включая контроль параметров конфигурации и настроек средств и механизмов защиты.
– типовая система классификации и категорированияпервичных событий ИБ объектов области действия СУИБи инцидентов ИБ.
– типовые документы и процедуры расследования инцидентов ИБ с учетом нормативных актов ФСТЭК, а также внутренних документов организации в области ИБ, в том числе:
– процедуры обнаружения первичных событий мониторинга ИБ и формирования инцидентов ИБ;
– процедуры классификации и категорирования первичных событий мониторинга ИБ и инцидентов ИБ;
– процедуры анализа причин инцидентов ИБ;
– процедуры информирования об инцидентах ИБ и нарушениях конкретных требований Политики ИБ и требований нормативных документов;
– процедуры формирования интегральной оценки состояния ИБ организации;
– процедуры поддержания в актуальном состоянии централизованной базы данных инцидентов ИБ;
– процедуры настройки отображения результатов мониторинга ИБ.
– типовые документы по хранению информации об инцидентах ИБ, практиках анализа инцидентов ИБ и результатах реагирования на инциденты
ИБ.
– типовой порядок действий работников организации при обнаружении нетипичных событий, связанных с ИБ, и информировании о данных событиях.
– использование централизованной базы штатного аудита распределенных систем. Например, система аудита маршрутизаторов Cisco
TACACS+ уже имеет централизованную базу данных аудиторской информации всех своих компонентов и системе интегрального аудита имеет смысл организовать работу непосредственно с этой централизованной базой данных;
– использование агентов трансляции данных аудита непосредственно на контролируемых объектах (например, ОС Unix). При отсутствии баз данных аудита компонентов ИС для передачи в ЕСМИБ данных аудита должны быть
разработаны агенты трансляции аудиторской информации, например, для
ОС HP–UX, которая не обладает механизмами удаленного предоставления данных аудита на базе архитектуры «клиент–сервер».
Кроме того, на этапе планирования системы мониторинга СУИБ и контроля защитных мер должны быть разработаны следующие нормативно- методические документы и процедуры:
– типовые документы, регламентирующие процедуры мониторинга
СУИБ и контроля защитных мер, включая контроль параметров конфигурации и настроек средств и механизмов защиты.
– типовая система классификации и категорированияпервичных событий ИБ объектов области действия СУИБи инцидентов ИБ.
– типовые документы и процедуры расследования инцидентов ИБ с учетом нормативных актов ФСТЭК, а также внутренних документов организации в области ИБ, в том числе:
– процедуры обнаружения первичных событий мониторинга ИБ и формирования инцидентов ИБ;
– процедуры классификации и категорирования первичных событий мониторинга ИБ и инцидентов ИБ;
– процедуры анализа причин инцидентов ИБ;
– процедуры информирования об инцидентах ИБ и нарушениях конкретных требований Политики ИБ и требований нормативных документов;
– процедуры формирования интегральной оценки состояния ИБ организации;
– процедуры поддержания в актуальном состоянии централизованной базы данных инцидентов ИБ;
– процедуры настройки отображения результатов мониторинга ИБ.
– типовые документы по хранению информации об инцидентах ИБ, практиках анализа инцидентов ИБ и результатах реагирования на инциденты
ИБ.
– типовой порядок действий работников организации при обнаружении нетипичных событий, связанных с ИБ, и информировании о данных событиях.
– типовые роли по обнаружению, классификации, реагированию, анализу и расследованию инцидентов ИБ.
– типовые документы, регламентирующих процедуры сбора и хранения информации о действиях работников организации, событиях и параметрах, имеющих отношение к функционированию защитных мер.
– типовые документы, определяющих роли, связанные с выполнением процедур мониторинга СОИБ и контроля защитных мер, а также пересмотром указанных процедур.
5.2.3.4. Планирование самооценки ИБ организации
Для оценки состояния ИБ защищаемых активов и выявления признаков деградации используемых защитных мер проводится также самооценка соответствия СИБ требованиям ПИБ силами сотрудников подразделения технической защиты информации.
Планирование системы самооценки ИБ организации должно предусматривает разработку типовых документов, регламентирующих порядок проведения самооценки ИБ организации.
5.2.3.5. Планирование типовой программы аудита ИБ
Аудит информационной безопасности – систематический, независимый и документируемый процесс получения свидетельств деятельности организации по обеспечению ИБ, установления степени выполнения в организации критериев ИБ, а также допускающий возможность формирования профессионального аудиторского суждения независимой организации о состоянии ИБ организации.
Планирование типовой программы аудитов ИБ должно включать разработку типовой программы аудитов ИБ, содержащую информацию, необходимую для планирования и организации аудита ИБ, анализа и совершенствования СОИБ.
5.2.3.6. Планирование работ по контролю и анализу СУИБ
Планирование работ по контролю и анализу СУИБ должно предусматривать
– разработку плана выполнения деятельности по контролю и анализу
СУИБ. В частности, указанный план должен содержать положения по проведению совещаний на уровне руководства, на которых в том числе производятся поиск и анализ проблем ИБ, влияющих на бизнес организации;
– разработку ролей, связанных с подготовкой информации, необходимой для анализа СУИБ руководством организации;
– разработку типового перечня документов для руководства по анализу
СУИБ.
5.2.3.7. Планирование непрерывности бизнеса организации
Планирование непрерывности бизнеса организации должно включать:
1. Разработку типового плана непрерывности бизнеса организации, регламентирующего вопросы обеспечения непрерывности бизнеса и его восстановления после прерывания, в котором должны быть учтены, в том числе
– процедуры реагирования на инциденты ИБ и оценки результатов реагирования (при необходимости с участием внешних экспертов в области
ИБ);
– процедуры оценки ущерба, нанесенного инцидентом ИБ;
– мероприятия, которые должны быть предприняты после выявления инцидента ИБ;
– условия активизации плана непрерывности бизнеса организации;
– процедуры восстановления непрерывности бизнеса;
– процедуры тестирования и проверки плана;
– обучение и повышение осведомленности работников организации;
– обязанности работников организации с указанием ответственных за выполнение каждого из положений плана.
2. Разработку типовых документов и процедур в рамках управления ИБ, в том числе:
– типового перечня документов (данных), необходимых для формирования информации, предоставляемой руководству с целью проведения анализа функционирования СУИБ:
– отчетов с результатами мониторинга СУИБ и контроля защитных мер, в том числе содержащие информацию по выявленным инцидентам ИБ;
– отчетов по результатам анализа функционирования СУИБ;
– отчетов по результатам аудита ИБ;
– отчетов по результатам самооценок ИБ;
– документов, содержащих информацию о способах и методах защиты, защитных мерах или процедурах их использования, которые могли бы использоваться для улучшения функционирования СУИБ;
– отчетов о новых выявленных уязвимостях и угрозах ИБ;
– отчетов по устранению замечаний руководства по итогам предыдущего анализа функционирования СУИБ;
– аналитических записок об изменениях в нормативно- распорядительных или законодательных документах по ИБ, которые могли бы повлиять на организацию СУИБ организации, например, изменениях в законодательстве Российской Федерации;
– отчетов по выполнению утвержденных руководством мероприятий по обеспечению требуемого уровня ИБ, например, выполнение планов обработки рисков;
– отчетов, подтверждающих выполнение требований непрерывности бизнеса и его восстановления после прерывания;
– ежемесячных и ежеквартальных отчетов (справок) о проведенных мероприятиях по совершенствованию СУИБ.
– отчетов по совершенствованию СУИБ;
– отчетов по контролю исполнения текущих, оперативных, внеплановых и плановых задач, указанных в плане мероприятий на год, долгосрочных задач, поставленных в соответствии с решениями руководства организации;
– отчетов по результатам внутреннего контроля выполнения требований по обеспечению ИБ в подразделениях организации;
– отчетов по ведению единой БД и поддержанию в актуальном состоянии организационно–распорядительных и нормативно–методических документов по вопросам обеспечения ИБ;
– отчетов по ведению единой базы знаний по вопросам оказания методической помощи АИБ подразделений и АИБ систем, текущего и оперативного контроля выполнения организационных требований по ИБ в виде листов опроса (анкетирования);
– отчетов по управлению ключевыми системами, в том числе организации и проведению плановых и внеплановых смен ключевых документов СКЗИ.
1 ... 5 6 7 8 9 10 11 12 ... 16