Файл: Федеральное государственное бюджетное образовательное учреждение высшего образования санктпетербургский.pdf

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 05.12.2023

Просмотров: 540

Скачиваний: 2

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
5.4.
Этап «ПРОВЕРКА» СОИБ
Задачей выполнения деятельности в рамках группы процессов
«ПРОВЕРКА» СОИБ
является обеспечение достаточной уверенности в том, что СОИБ, включая защитные меры, функционирует надлежащим образом и адекватна существующим угрозам ИБ.
В рамках выполнения процессов этапа
«ПРОВЕРКА» СОИБ предусматривается проведение следующих основных работ:
– мониторинг ИБ и контроль защитных мер;
– самооценка ИБ;
– аудит ИБ;
– анализ функционирования СОИБ (в том числе со стороны руководства).
Результат выполнения деятельности на этапе
«ПРОВЕРКА»
СОИБ является основой для выполнения деятельности по совершенствованию СОИБ.
5.4.1. М
ониторинг ИБ и контроль защитных мер

Основными целями мониторинга и контроля защитных мер в организации являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные цели:
– контроль за реализацией положений внутренних документов по обеспечению ИБ в организации;
– выявление нештатных, в том числе злоумышленных, действий в ИС организации;
– выявление инцидентов ИБ.
Проведение мониторинга ИБ и контроля защитных мер включает
:
– контроль параметров конфигурации и настроек средств и механизмов защиты, и охватывать все реализованные и эксплуатируемые защитные меры, входящие в СИБ;
– сбор и хранение информации о действиях работников организации, событиях и параметрах, имеющих отношение к функционированию защитных мер;
– сбор и хранение информации обо всех инцидентах ИБ, выявленных в процессе мониторинга СОИБ и контроля защитных мер в базе данных инцидентов ИБ;
– регулярное проведение пересмотров процедуры мониторинга СОИБ и контроля защитных мер в связи с изменениями в составе и способах использования защитных мер, выявлением новых угроз и уязвимостей ИБ, а также инцидентов ИБ. Порядок выполнения процедур пересмотра должен быть документально определен.
Результаты мониторинга СОИБ и контроля защитных мер и Порядок выполнения процедур пересмотра должны документально фиксироваться.
В организации должны быть документально определены роли, связанные с выполнением процедур мониторинга СОИБ и контроля защитных мер, а также пересмотром указанных процедур, и назначены ответственные за выполнение указанных ролей.
5.4.1.1. Организационно–техническая схема применения ЕСМИБ
Целью применения
ЕСМИБ, является контроль состояния информационной безопасности ИС на основе интегрального оперативного анализа санкционированных и несанкционированных действий пользователей
(как легальных, так и нелегальных) для принятия решения о наличии или отсутствии в их действиях угроз для нарушения доступности, целостности или конфиденциальности информации в ИС и выдачи рекомендаций по совершенствованию защитных мер.
Изначально ЕСМИБ настраивается на генерацию предупреждений о нарушении при обнаружении несанкционированного действия хотя бы в одном из журналов штатного аудита компоненты ИС. Цель АИБ и экспертной системы ЕСМИБ – определить характер, источник и последствия выявленного нарушения при помощи анализа журналов штатного аудита компонент ИС, систем защиты информации и правил экспертной системы.
По мере накопления экспертной системой сведений о нарушениях и

пополнении базы знаний работа АИБ автоматизируется в большей степени.
Некоторые практики применения ЕСМИБ приведены на рис. 5.6. -5.8
[45,46]. На рис.5.6. приведена схема работы правила «Контроль заражения компьютера вирусом». Используются данные из регистрационных журналов
ПО «Антивирус Касперского» и системы «Контроль использования периферийных устройств» (например, Device Lock). КСИБ, возникший в результате срабатывания данного правила содержит не только информацию о факте обнаружения вредоносного кода, но и информацию об его источнике
(в том числе серийный номер носителя). Это позволяет значительно ускорить расследование по факту обнаружения вредоносного кода.
Рис.5.6. Примеры формирования коррелированных событий ИБ.
Попытка заражения АРМ «открытого» контура вирусом
На рис. 5.7. приведена схема работы правила «Контроль активности учетных записей сотрудников, находящихся в отпуске». Используются данные из регистрационного журнала системы 1С и других источников, для которых фиксируются события «регистрации пользователя в системе».
В случае, если в период отпуска, сотрудник регистрируется в какой-либо из систем (идентификатор определяется по карточке сотрудника в ЕСМИБ), то формируется КСИБ.

Рис.5.7. Примеры формирования коррелированных событий ИБ.
Контроль активности учетных записей сотрудников «открытого» контура
ИС, находящихся в отпуске
На рис.5.8. приведена схема работы правила «Контроль соответствия учетных записей Windows и 1С». КСИБ выявляет несоответствие учетных записей данного пользователя в операционной системе и 1С.
Идентификаторы пользователя в операционной системе и 1С определяются по карточке пользователя. КСИБ возникает, когда пользователь воспользовался чужой учетной записью (возможно с иными полномочиями) в ОС или 1С.
БД событий
ИБ
Подсистема идентификации
КСИБ
События ИБ

Рис.5.8.
Примеры формирования коррелированных событий ИБ.
Контроль соответствия учетных записей Windows и 1С «открытого» контура
Конкретная последовательность действий экспертов
ЕСМИБ определятся характером обнаруженного нарушения или подозрительного действия и местом его обнаружения. Приведем примерную схему контроля состояния информационной безопасности в корпоративной сети и на серверах СУБД, ОСUnix
Для корпоративной сети:
– проанализировать журналы системы, где было обнаружено нарушение на предмет определения предыдущих событий в этой системе;
– изучив запись о нарушении, попытаться установить источник нарушения (локальный или удаленный). В случае локального нарушения, например, несанкционированного изменения правил фильтрации на маршрутизаторе Cisco, связаться с администратором системы для более детального расследования;
– в случае удаленного нарушения попытаться по цепочке с помощью исследования данных аудита других компонентов корпоративной сети идентифицировать источник нарушения;
– по результатам анализа провести корректировку настроек системы, где произошло нарушение с целью недопущения дальнейших нарушений;
– провести внеочередное тестирование компонент корпоративной сети с помощью сканера безопасности и реализовать полученный рекомендации по повышению уровня защищенности.
Для серверов СУБД, ОСUnix:
– проверить журналы аудита СУБД на наличие записей «действие пользователя с несанкционированным набором полномочий»;
– проверить журналы аудита СУБД на наличие записей «действие администратора СУБД по изменению полномочий».
В случае если изменения полномочий произведены без ведома администратора СУБД
– необходимо проверить журналы системы обнаружения вторжений с целью обнаружения удаленной атаки на СУБД, а также предпринять внеочередное тестирование СУБД с помощью сканнера безопасности;
– проверить ОС Unix средствами системных и сетевых сканеров безопасности на наличие изъянов в системе защиты ОС;
– проверить журналы аудита ОС Unix для обнаружения несанкционированных действий по изменению служебной информации
ОС;
– проверить журналы аудита маршрутизаторов и межсетевых экранов с целью обнаружения попыток доступа к ресурсам центра обработки данных с использованием несанкционированных IP–адресов.
По результатам проверки по каждому из вышеуказанных пунктов АИБ могут производиться дополнительные действия по детальному выяснению причин возникновения нарушений. Также после завершения расследования необходимо произвести дополнительное обучение экспертной системы для

автоматизации обнаружения подобных нарушений в дальнейшем.
АИБ должен получать необходимые сведения, касающиеся функционирования систем от администраторов этих систем, которые, в свою очередь, обязан предоставить такие сведения и обосновать произведенные операции, отражаемые в файлах аудита.
Итогом проводимой работы по анализу данных должны явиться сводные отчеты о выявленных нарушениях и предложения по улучшению системы защиты ИС, вырабатываемые при помощи генератора отчетов системы интегрального аудита при участии администратора информационной безопасности. Кроме того, должны выпускаться аналитические обзоры по функционированию ИС для руководства организации с описанием и обоснованием предложений по усовершенствованию технологии защиты информации и применяемых средств защиты ИС.
По результатам анализа данных мониторинга и аналитической работы подразделение безопасности может вырабатывать рекомендации разработчикам компонент ИС по увеличению уровня информационной безопасности этих компонент.
Предусматривается различный уровень детализации отчетов системы интегрального аудита, предназначенных для изучения экспертами подразделения безопасности, а также руководством организации (обобщение результатов работы системы интегрального аудита). Например, для подразделения безопасности может генерироваться отчет, содержащий следующие сведения:
– подробная статистика НСД и инцидентов с описанием места, времени, указанием объекта и субъекта аудита, подробной интерпретацией события по каждому из журналов аудита;
– рекомендации необходимой дополнительной настройки штатных и внешних систем защиты и параметров аудита;
– данные о текущем состоянии обучения экспертной системы;
– выдача статистических оценок работы пользователей, гистограмм по работе системы защиты.
Для руководства организации могут генерироваться следующие отчеты:
– оценка работы администраторов и пользователей ИС, основанная на статистическом анализе журналов аудита;
– общая статистика по НСД и сбоям в ИС;

общая статистика по инцидентам ИБ;
– сводная оценка работы подразделений организации.
5.4.2. Самооценка информационной безопасности
Самооценка соответствия ИБ организации требованиям ПИБ и стандартов
РФ проводится в первую очередь подразделениями технической защиты информации организации.
Самооценка ИБ должна проводиться в соответствии с нормативно-методическими документами организации и/или соответствующего ведомства.


5.4.3. Аудит информационной безопасности
Должна быть документально определена и реализовываться программа аудитов ИБ организации, содержащая информацию, необходимую для планирования и организации аудитов ИБ, их контроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимыми для эффективного и результативного проведения указанных аудитов ИБ в заданные сроки.
В отличие от самостоятельной оценки аудит не проводится тем же персоналом, который участвует в процессах планирования, внедрения и эксплуатации СОИБ. Это необходимо для обеспечения разделения ответственностей. Аудит может проводиться отделом внутреннего аудита организации. Аудит информационной безопасности включает:

проверку соответствия политике безопасности и реализация Планов по безопасности;

проведение аудита безопасности ИТ–систем;

определение и принятие мер несоответствующего использования ИТ–
ресурсов;

проверку аспектов безопасности в других видах ИТ–аудита.
Внешний аудит (проводится внешними аудиторами) необходим для определения независимой внешней оценки эффективности СОИБ.
Проведение внешнего аудита также требуют заказчики и третьи стороны.
5.4.4. Анализ функционирования СОИБ
Анализ функционирования СОИБ базируется в том числе на:
– результатах мониторинга СОИБ и контроля защитных мер;
– сведениях об инцидентах ИБ;
– результатах проведения аудитов ИБ и самооценок ИБ;
– данных об угрозах, возможных нарушителях и уязвимостях ИБ;
– данных об изменениях внутри организации, например, данные об изменениях в процессах и технологиях, реализуемых в рамках основного процессного потока, изменениях во внутренних документах организации;
– данных об изменениях вне организации, например, данные об изменениях в законодательстве РФ, изменениях в договорных обязательствах организации.
Анализ функционирования СОИБ должен охватывать следующие функциональные области:
– периодический, а по возможности, динамический контроль защищенности, обеспечивающий своевременное выявление появившихся уязвимостей, которые могут быть использованы для нанесения атак;
– обнаружение атак в режиме реального времени, позволяющее своевременно определить и локализовать попытки выполнения несанкционированных действий и выявить факты несанкционированного воздействия на компьютерные ресурсы;
– централизованное и упреждающее управление, позволяющее на основе автоматизированной поддержки принятия решений, а также эффективного

контроля над пользователями и ресурсами сети снизить количество ошибок администрирования и предпринять превентивные меры, не допускающие развития событий по наихудшему сценарию.
Контроль защищенности предполагает периодическое, а в некоторых случаях – динамическое, выполнение следующих базовых функций:
– проверку системы защиты на соответствие новым руководящим и нормативным документам в области информационно–компьютерной безопасности;
– контроль правил корректного использования средств защиты в зависимости от их состава и назначения;
– контроль целостности и подлинности компонентов системы защиты;
– контроль корректности модификации параметров конфигурирования системы защиты;
– динамическая регистрация данных о функционировании системы защиты, их анализ и уведомление ответственных лиц при нарушении правильности работы защитных средств;
– тестирование подсистем защиты на правильность реагирования при моделировании процесса реализации возможных атак;
– контроль работоспособности подсистем защиты при моделировании нарушений работоспособности отдельных элементов компьютерной сети;
– проверка на отсутствие ошибок администрирования и конфигурирования;
– анализ политики формирования и использования эталонной информации
(ключей, паролей и др.);
– проверка на наличие своевременных обновлений программных средств;
– проверка на отсутствие программных закладок и вирусов.
Таким образом, контроль защищенности предполагает исследование проверяемых объектов для выявления в них «слабых мест» и обобщение полученных сведений, в том числе в виде отчета.
Проверка системы защиты на соответствие новым руководящим и нормативным документам в области ИБ ИС позволяет своевременно выявить недостатки в системе защиты на основе анализа передового опыта по систематизации предъявляемых к таким системам требований.
Контроль правил корректного использования средств защиты в зависимости от их состава и назначения состоит в периодическом контроле и пересмотре политики безопасности на ее административном и процедурном уровнях. При изменении структуры, технологических схем или условий функционирования компьютерной системы, как концепция защиты, так и детальные процедурные меры могут меняться, в особенности, конкретные инструкции по информационно–компьютерной безопасности, относящиеся к администраторам и пользователям компьютерной системы.
Контроль целостности и подлинности компонентов системы защиты предполагает периодическое или динамическое выполнение следующих действий: