Файл: Федеральное государственное бюджетное образовательное учреждение высшего образования санктпетербургский.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.12.2023
Просмотров: 543
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
информационной безопасности
(ИБ) на объекте автоматизации пользователями автоматизированных систем (АС), в том числе в рамках проведения процедур внутреннего контроля уровня территориального учреждения Банка России (ТУ Банка России).
ЕСМИБ ТУ является трех уровневой системой и состоит из следующих подсистем (рис.5.3.): а) Первый уровень мониторинга ИБ – уровень сбора первичных событий мониторинга и контроля отчуждения информации:
– подсистема сбора первичных событий мониторинга (далее по тексту – подсистема сбора данных);
– подсистема контроля отчуждения информации (далее по тексту – подсистема контроля отчуждения); б) Второй уровень мониторинга ИБ – уровень формирования сообщений о событиях ИБ:
– подсистема анализа и формирования сообщений о событиях ИБ (далее по тексту – подсистема анализа);
– подсистема хранения событий ИБ;
– подсистема информирования о событиях ИБ (далее по тексту – подсистема информирования);
– подсистема расследования событий ИБ (далее по тексту – подсистема расследования); в) Третий уровень мониторинга ИБ – уровень формирования и обработки КСИБ:
– подсистема идентификации КСИБ;
– подсистема импорта исходных данных;
– подсистема обработки КСИБ;
– подсистема хранения и резервирования КСИБ;
– подсистема подготовки отчетов по КСИБ;
– подсистема централизованного обновления базы требований документов Банка России по ИБ.
Подсистема сбора данных предназначена для автоматизированного сбора первичных событий мониторинга из журналов ШПРС подконтрольных объектов, а также их регистрации.
Подсистема анализа предназначена для автоматизированного анализа первичных событий мониторинга (входных данных) из журналов ШПРС подконтрольных объектов и формирования сообщений о событиях ИБ по заданным правилам с целью оценки степени их влияния на ИБ объекта автоматизации.
Подсистема контроля отчуждения предназначена для фиксации первичных событий мониторинга о работе персонала объекта автоматизации со съемными периферийными устройствами на подконтрольных объектах, работающих под управлением ОС Microsoft Windows.
(ИБ) на объекте автоматизации пользователями автоматизированных систем (АС), в том числе в рамках проведения процедур внутреннего контроля уровня территориального учреждения Банка России (ТУ Банка России).
ЕСМИБ ТУ является трех уровневой системой и состоит из следующих подсистем (рис.5.3.): а) Первый уровень мониторинга ИБ – уровень сбора первичных событий мониторинга и контроля отчуждения информации:
– подсистема сбора первичных событий мониторинга (далее по тексту – подсистема сбора данных);
– подсистема контроля отчуждения информации (далее по тексту – подсистема контроля отчуждения); б) Второй уровень мониторинга ИБ – уровень формирования сообщений о событиях ИБ:
– подсистема анализа и формирования сообщений о событиях ИБ (далее по тексту – подсистема анализа);
– подсистема хранения событий ИБ;
– подсистема информирования о событиях ИБ (далее по тексту – подсистема информирования);
– подсистема расследования событий ИБ (далее по тексту – подсистема расследования); в) Третий уровень мониторинга ИБ – уровень формирования и обработки КСИБ:
– подсистема идентификации КСИБ;
– подсистема импорта исходных данных;
– подсистема обработки КСИБ;
– подсистема хранения и резервирования КСИБ;
– подсистема подготовки отчетов по КСИБ;
– подсистема централизованного обновления базы требований документов Банка России по ИБ.
Подсистема сбора данных предназначена для автоматизированного сбора первичных событий мониторинга из журналов ШПРС подконтрольных объектов, а также их регистрации.
Подсистема анализа предназначена для автоматизированного анализа первичных событий мониторинга (входных данных) из журналов ШПРС подконтрольных объектов и формирования сообщений о событиях ИБ по заданным правилам с целью оценки степени их влияния на ИБ объекта автоматизации.
Подсистема контроля отчуждения предназначена для фиксации первичных событий мониторинга о работе персонала объекта автоматизации со съемными периферийными устройствами на подконтрольных объектах, работающих под управлением ОС Microsoft Windows.
ЕСМИБ ТУ
Второй уровень мониторинга
ИБ
Уровень формирования сообщений о событиях ИБ
Третий уровень мониторинга ИБ
Уровень формирования и обработки КСИБ
Первый уровень мониторинга ИБ
Уровень сбора первичных событий мониторинга и контроля отчуждения информации
Подсистема контроля отчуждения информации
Подсистема сбора первичных событий мониторинга
Подсистема хранения событий ИБ
Подсистема информирования о событиях ИБ
Подсистема анализа и формирования сообщений о событиях ИБ
Подсистема расследования событий ИБ
Подсистема идентификации КСИБ
Подсистема обработки КСИБ
Подсистема подготовки отчетов по КСИБ
Подсистема хранения и резервирования
КСИБ
Подсистема импорта исходных данных
Подсистема централизованного обновления базы требований документов Банка
России по ИБ
Рис. 5. 3. Конфигурация ЕСМИБ ТУ
Подсистема информирования предназначена для оперативного (в режиме, максимально возможно приближенном к режиму реального времени) графического представления персоналу ЕСМИБ ТУ результатов работы подсистемы анализа – информации о событиях ИБ.
Подсистема расследования предназначена для автоматизации деятельности персонала в части проведения отложенного анализа и генерации отчетов о событиях ИБ, содержащихся в подсистеме хранения событий ИБ.
Подсистема хранения событий ИБ предназначена для хранения результатов работы подсистемы анализа в БД событий ИБ ЕСМИБ ТУ.
Подсистема идентификации КСИБ предназначена для выявления КСИБ на основе правил анализа событий ИБ от разнотипных источников данных мониторинга объекта автоматизации с указанием нарушений требований нормативных и иных актов Банка России по ИБ, а также передачи КСИБ в подсистему обработки. Подсистема идентификации КСИБ включает в свой
состав средства для создания, редактирования, проверки и графического представления правил анализа событий ИБ (сценариев).
Подсистема импорта исходных данных предназначена для переноса информации из БД подсистемы хранения событий ИБ и получения данных о пользователях (сотрудниках ТУ) от АС ВХД для последующего использования в целях мониторинга ИБ.
Подсистема обработки КСИБ предназначена для регистрации, информирования, классификации по заданным критериям и фиксирования мер по устранению последствий КСИБ в соответствии с ролевыми функциями персонала ЕСМИБ ТУ.
Подсистема хранения и резервирования КСИБ предназначена для ведения оперативного архива и долговременного архива КСИБ, загрузки данных из долговременных архивов.
Подсистема подготовки отчетов по КСИБ предназначена для автоматизированной подготовки отчетов по КСИБ с учетом задаваемых параметров (временной интервал, оценка коррелированного события ИБ, его тип и т. п.), вывода на печать и экспорта в файл отчетов, а также просмотра отчетов и контроля настроек ЕСМИБ ТУ.
Подсистема централизованного обновления базы требований документов Банка России по ИБ.
Основной задачей первого уровня мониторинга ИБ в ЕСМИБ (рис.5.4) является сбор от подконтрольных объектов мониторинга и представление в унифицированном внутреннем формате информации о событиях мониторинга
ИС. Подконтрольный объект - совокупность технических средств, системного и прикладного программного обеспечения, а также их персонала, получение информации о состоянии и действиях которых является необходимым условием обеспечения процесса мониторинга ИБ.
Состав подконтрольных объектов мониторинга определяется руководством исходя из значимости данных мониторинга ИБ для ИС организации.
Главный компонент первого уровня – подсистема сбора первичных
событий мониторинга предназначена для автоматизированного сбора первичных событий мониторинга из журналов подконтрольных объектов ИС.
В основу работы этой подсистемы положены следующие принципы:
– входными данными ЕСМИБ являются события мониторинга от разных источников, доставляемые собственными программными агентами;
– собственные программные агенты формируют события мониторинга, связанные с контролем устройств и съемных машинных носителей, а также ряд других событий, необходимых для анализа;
– на подконтрольные объекты не оказывается блокирующих воздействий;
– собственные программные агенты работают как непосредственно в среде подконтрольных объектов (т. е. локально), так и получают события мониторинга удаленно, в зависимости от типа источника;
– результатом работы первого уровня мониторинга является набор событий мониторинга в унифицированном формате представления, не
Подсистема импорта исходных данных предназначена для переноса информации из БД подсистемы хранения событий ИБ и получения данных о пользователях (сотрудниках ТУ) от АС ВХД для последующего использования в целях мониторинга ИБ.
Подсистема обработки КСИБ предназначена для регистрации, информирования, классификации по заданным критериям и фиксирования мер по устранению последствий КСИБ в соответствии с ролевыми функциями персонала ЕСМИБ ТУ.
Подсистема хранения и резервирования КСИБ предназначена для ведения оперативного архива и долговременного архива КСИБ, загрузки данных из долговременных архивов.
Подсистема подготовки отчетов по КСИБ предназначена для автоматизированной подготовки отчетов по КСИБ с учетом задаваемых параметров (временной интервал, оценка коррелированного события ИБ, его тип и т. п.), вывода на печать и экспорта в файл отчетов, а также просмотра отчетов и контроля настроек ЕСМИБ ТУ.
Подсистема централизованного обновления базы требований документов Банка России по ИБ.
Основной задачей первого уровня мониторинга ИБ в ЕСМИБ (рис.5.4) является сбор от подконтрольных объектов мониторинга и представление в унифицированном внутреннем формате информации о событиях мониторинга
ИС. Подконтрольный объект - совокупность технических средств, системного и прикладного программного обеспечения, а также их персонала, получение информации о состоянии и действиях которых является необходимым условием обеспечения процесса мониторинга ИБ.
Состав подконтрольных объектов мониторинга определяется руководством исходя из значимости данных мониторинга ИБ для ИС организации.
Главный компонент первого уровня – подсистема сбора первичных
событий мониторинга предназначена для автоматизированного сбора первичных событий мониторинга из журналов подконтрольных объектов ИС.
В основу работы этой подсистемы положены следующие принципы:
– входными данными ЕСМИБ являются события мониторинга от разных источников, доставляемые собственными программными агентами;
– собственные программные агенты формируют события мониторинга, связанные с контролем устройств и съемных машинных носителей, а также ряд других событий, необходимых для анализа;
– на подконтрольные объекты не оказывается блокирующих воздействий;
– собственные программные агенты работают как непосредственно в среде подконтрольных объектов (т. е. локально), так и получают события мониторинга удаленно, в зависимости от типа источника;
– результатом работы первого уровня мониторинга является набор событий мониторинга в унифицированном формате представления, не
зависящем от типа источника.
Подсистема контроля отчуждения информации предназначена для фиксации первичных событий мониторинга о работе персонала ИС со съемными периферийными устройствами на подконтрольных объектах, работающих под управлением ОС Windows.
-
Подсистема регистрации событий РАБИС-НП
-
Автоматизированная система эмиссионных и кассовых работ
-
ОС Microsoft Windows
-
СУБД Microsoft SQL Server
-
СУБД Oracle
- Symantec pcAnyWhere
- Symantec Antivirus
-
Антивирус Касперского
-
Антивирус DrWeb
-
Аккорд NT/2000
- Secret Net
-
АПКШ «Континент»
Подсистема контроля отчуждения информации предназначена для фиксации первичных событий мониторинга о работе персонала ИС со съемными периферийными устройствами на подконтрольных объектах, работающих под управлением ОС Windows.
-
Подсистема регистрации событий РАБИС-НП
-
Автоматизированная система эмиссионных и кассовых работ
-
ОС Microsoft Windows
-
СУБД Microsoft SQL Server
-
СУБД Oracle
- Symantec pcAnyWhere
- Symantec Antivirus
-
Антивирус Касперского
-
Антивирус DrWeb
-
Аккорд NT/2000
- Secret Net
-
АПКШ «Континент»
1 ... 8 9 10 11 12 13 14 15 16
Автоматизированные системы и приложения в
информационном (неплатежном )сегменте
-
Управленческо-информационная система Пенсионной программы Банка России
(
УИС ПП)
-
Автоматизированная система инспекционного подразделения (АСИП)
-
Автоматизированная система «Внутрихозяйственная деятельность» (ВХД)
-
Программно-технологический комплекс подготовки и сбора данных (ПТК ПСД)
-
Система «Анализ финансового состояния банка» (АФСБ)
-
Система «Реестр объектов недвижимости Банка России» (РОН)
-
Комплекс задач «Налоговый учет и налогообложение Банка России» (КЗ НУ и НО)
-
Автоматизированная система «Сибирь»
-
Система «Анализ деятельности кредитных организаций» (АДКО)
-
ОС Microsoft Windows
-
СУБД Microsoft SQL Server
-
СУБД Oracle
- Symantec pcAnyWhere
- Symantec Antivirus
-
Антивирус Касперского
-
Антивирус DrWeb
-
Аккорд NT/2000
- Secret Net
-
Активное сетевое оборудование
-
Система «Контроль ПУ» (ПК «DeviceLock»)
-
Программное средство «Паспорт АРМ УОС»
-
Программное средство «Паспорта ПО»
Автоматизированные системы и приложения в
платежном сегменте
Первый уровень мониторинга ИБ
Подсистема сбора
первичных событий
мониторинга
Подсистема контроля
отчуждения
информации
События мониторинга в унифицированном формате
События мониторинга
События мониторинга
На второй
уровень
мониторинга
ИБ
События мониторинга в унифицированном формате
Рис. 5.4. Реализация первого уровня мониторинга ИБ в ЕСМИБ организации
Задачей второго уровня является формирование событий ИБ, их сохранение в базе данных, оперативное информирование персонала о зафиксированных событиях, обеспечение проведения расследования, т. е. поддержка запросов к базе данных, позволяющих установить контекст события ИБ: место, время, имя пользователя и прочее, а также сопутствующие события (рис. 5.5).
Рис.5.5. Реализация второго уровня мониторинга ИБ в ЕСМИБ организации
Основой второго уровня является подсистема анализа и формирования
событий ИБ, предназначенная для автоматизированного анализа первичных событий мониторинга (входных данных) из журналов подконтрольных объектов ИС и формирования событий ИБ по заданным правилам с целью оценки степени их влияния на ИБ организации.
В зависимости от способа постановки используются два разных режима решения задачи: отложенный (для решения задач из перечня предопределенных) и оперативный (для решения сформулированных задач).
Отложенный режим решения предполагает применение соответствующего задаче метода статистического анализа или метода
выявления закономерностей на массиве данных мониторинга ИБ, ограниченного заданными параметрами.
Структура процесса отложенного интегрального анализа приведена на рис. 5.6. Отложенный интегральный анализ реализуется над массивом исходных данных, образующимся в результате постановки задачи
(статистической или выявления закономерностей), задания общих и специфичных для задачи набором параметров. По результатам решения поставленной задачи формируется заключение.
Единое хранилище
Определение специфичных параметров задачи
Выбор типов объектов АС
Задание временных интервалов
Массивы данных для анализа
ВД 1
Задачи интегрального анализа
Статистические методы
Р
ез ул ьт ат ы
ан ал и
за
ВД N
Методы выявления закономерностей
Данные
Выбор типов операций
Формирование заключения
Отложенный интегральный анализ
Рис. 5.6. Структура модуля отложенного интегрального анализа
Оперативный режим решения предполагает применение сигнатурного
анализа упорядоченной, ограниченной параметрами последовательности операций, выполняемых в процессе функционирования ИС.
Общая схема сигнатурного анализа данных мониторинга второго уровня представлена на рис.5.7. Основные принципы функционирования подсистемы анализа:
– входными данными являются события мониторинга в унифицированном формате, сформированные подсистемой сбора;
– формирование событий ИБ осуществляется в соответствии с перечнем правил, описывающих штатную и нештатную работу пользователей и ПО объектов мониторинга;
– правила создаются в процессе настройки системы на основе общих положений документов ИБ регуляторов, политик по информационной безопасности для общесистемных продуктов и на основе опыта эксплуатации систем мониторинга ИБ в организации;
– результатом автоматизированного анализа событий мониторинга ИБ являются события ИБ. Объем событий ИБ существенно меньше объема событий мониторинга;
– автоматизированный анализ выполняется по мере поступления входных данных в режиме, максимально приближенном к режиму реального времени;
– события ИБ при формировании получают качественную оценку, используемую в отчетах о событиях ИБ по результатам расследований и при идентификации КСИБ на третьем уровне мониторинга ИБ.
Сигнатурный анализ
Подконтрольная АС
Факты, интересные с точки зрения обеспечения ИБ
Информационные объекты
Пользователи
Последовательности событий, соответствующие фактам
Атрибуты событий, соответствующие фактам
Выявленные факты
Факты на подконтрольной АС
Отражение фактов в данных мониторинга
Съем и перенос данных мониторинга
Обработка данных мониторинга
Потребители результатов мониторинга
Рис. 5.7. Общая схема сигнатурного анализа
Перечень типов событий ИБ может насчитывать несколько сотен.
Возможности ЕСМИБ по формированию событий ИБ в первую очередь определяются составом событий мониторинга, формируемых объектами наблюдения. От качества формирования событий мониторинга напрямую зависят и качество анализа и формирования событий ИБ. Примеры событий
ИБ подсистемы анализа и формирования событий ИБ, являющиеся результатом работы второго уровня ЕСМИБ ТУ
– Вход/выход пользователя в систему/приложение.
– Запуск/завершение процессов.
– Работа с файлами (на локальных, сетевых и съемных носителях).
– Работа с объектами БД.
– Работа с информационными объектами в приложениях.
– Подключение/отключение периферийных устройств.
– Добавление/удаление СМН (компакт-диски, флэш-диски и др.).
– Отправление/прием почтовых сообщений и файлов.
– Работа по протоколам FTP и HTTP.
– Печать документов.
– Модификация информации реестра ОС Windows.
Подсистема хранения событий ИБ предназначена для хранения результатов работы подсистемы анализа в базе данных (БД) событий ИБ.
Подсистема информирования о событиях ИБ предназначена для оперативного (в режиме, приближенном к реальному времени) графического представления информации о событиях ИБ персоналу СОИБ.
Подсистема
расследования событий
ИБ предназначена для автоматизации деятельности персонала в части проведения отложенного анализа и генерации отчетов о событиях ИБ, содержащихся в подсистеме хранения.
Основными задачами третьего уровня ЕСМИБ (рис.5.8) являются
идентификация и обработка коррелированных событий ИБ (КСИБ) .