ГОСТ оправдывает средства?! Управление сетевыми устройствами и подсистемами сетевой защиты

BIS Journal №2(37)/2020

11 мая, 2020

ГОСТ оправдывает средства?! Управление сетевыми устройствами и подсистемами сетевой защиты

Приближается 2021 год, а значит, и необходимость обеспечения финансовыми организациями выполнения требований ГОСТ 57580.1–2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (далее — ​Стандарт).

Стандарт разработан с целью унификации подходов к защите информации в финансовых организациях и затрагивает не только организационные, но, что немаловажно, технические меры обеспечения безопасности. Для выполнения требований к уровням защиты информации финансовым организациям уже не обойтись только «бумажными процедурами» и организационными мерами, потребуется внедрение средств защиты, а также инструментов управления ими.

 

НЕЛЁГКАЯ ЗАДАЧА

При ближайшем рассмотрении реализация организационных мер, определённых в Стандарте, не кажется легко выполнимой задачей и может потребовать существенного расширения штата дорогостоящих специалистов информационной безопасности (далее — ​ИБ). Так, например, осуществление на регулярной основе контроля фактических параметров настроек технических мер защиты информации и информационной инфраструктуры (КЗИ.2 [1] ) — ​достаточно трудоёмкий рутинный процесс. Существенно разгрузить офицеров безопасности и сфокусировать их внимание на реально важных задачах, требующих вдумчивого и ответственного подхода, позволяет использование средств автоматизации.

 

НУЖНА АВТОМАТИЗАЦИЯ!

В качестве примера таких средств рассмотрим системы централизованного управления сетевыми устройствами и подсистемами сетевой защиты — ​решения разработчиков Skybox, Tufin, Algosec.

Для оценки влияния внедрения данных систем на степень выполнения требований Стандарта нужно определить, какие организационные и технические требования и в каком объёме могут быть реализованы при применении средств данного класса. В Положениях Банка России 672-П [2], 683-П [3] и 684-П [4] зафиксированы требования к уровню защиты информации (далее — ​УЗИ) для разных типов финансовых организаций. Так, преобладающему числу финансовых организаций, на которые распространяется действие указанных Положений Банка России, необходимо обеспечить стандартный (второй) УЗИ. Таким образом, оценка влияния внедрения на степень выполнения требований целесообразна в отношении требований, предъявляемых к стандартному УЗИ.

На рисунках 1 и 2 приведены результаты оценки количества реализуемых при внедрении систем рассматриваемого класса требований Стандарта, которые должны быть реализованы техническими и организационными мерами соответственно.

Рисунок 1. Количество технических мер, которые могут быть реализованы с использованием систем централизованного управления сетевыми устройствами и подсистемами сетевой защиты

 

Рисунок 2. Количество организационных мер, которые могут быть реализованы с использованием систем централизованного управления сетевыми устройствами и подсистемами сетевой защиты

 

На рисунках приняты следующие цветовые обозначения и обозначения для доменов требований Стандарта:

требования Стандарта, реализуемые с использованием средства автоматизации;

требования Стандарта, не реализуемые с использованием средства автоматизации;

требования Стандарта, реализуемые с использованием средства автоматизации с ограничениями;

УЗП — ​Управление учётными записями и правами субъектов логического доступа;

ИУ — ​Идентификация и учёт ресурсов и объектов доступа;

СМЭ — ​Сегментация и межсетевое экранирование вычислительных сетей;

ЗБС — ​Защита беспроводных сетей;

ЦЗИ — ​Контроль целостности и защищённости информационной инфраструктуры;

ПУИ — ​Предотвращение утечек информации;

МАС — ​Управление инцидентами защиты информации;

РИ — ​Обнаружение инцидентов защиты информации и реагирование на них;

ЗСВ — ​Защита среды виртуализации;

ЗУД — ​Защита информации при осуществлении удалённого логического доступа с использованием мобильных (переносных) устройств;

ПЗИ — ​Планирование процесса системы защиты информации;

РЗИ — ​Реализация процесса системы защиты информации;

КЗИ — ​Контроль процесса системы защиты информации;

ЖЦ — ​Требования к защите информации на этапах жизненного цикла автоматизированных систем и приложений

 

КАКАЯ ПОЛЬЗА?

Польза от применения систем данного класса для выполнения следующих требований Стандарта становится особенно очевидной при использовании в сетях крупного и среднего размера:

  • реализация и контроль информационного взаимодействия между сегментами финансовой организации (СМЭ.4) и сетью Интернет (СМЭ.17) в соответствии с установленными правилами и протоколами сетевого взаимодействия;
  • регистрация изменений параметров настроек средств и систем защиты информации, обеспечивающих реализацию сегментации, межсетевого экранирования и защиты вычислительных сетей финансовой организации (СМЭ.21);
  • регистрация операций по изменению параметров настроек технических мер системы защиты информации АС (ЖЦ.23).

 

ДОПОЛНИТЕЛЬНЫЕ ВОЗМОЖНОСТИ

В то же время стоит акцентировать внимание на дополнительных возможностях, появляющихся при внедрении данных решений:

  • контроль соответствия фактических прав логического доступа эталонной информации о предоставленных правах логического доступа (УЗП.9);
  • установление фактов неиспользования субъектами предоставленных им прав доступа на протяжении некоторого периода времени (УЗП.14, УЗП.15);
  • размещение и настройка (конфигурирование) технических мер системы защиты информации АС в информационной инфраструктуре, используемой для непосредственной реализации бизнес-процессов или технологических процессов финансовой организации, в соответствии с положениями проектной и эксплуатационной документации (ЖЦ.12).

Рисунок 3. Возможные результаты автоматизированной оценки соответствия требованиям, доступные «из коробки»

 

ДОПОЛНИТЕЛЬНЫЕ УСЛОВИЯ И ОГРАНИЧЕНИЯ

Реализация ряда требований Стандарта с использованием систем централизованного управления сетевым оборудованием и подсистемами сетевой защиты возможна при наличии дополнительных условий и ограничений. Рассмотрим типовые из них.

При условии интеграции со сканером уязвимостей системы данного класса позволяют осуществить приоритезацию работ по устранению уязвимостей. Это достигается за счёт моделирования сценариев реализации атаки, при котором во внимание принимаются открытые доступы на межсетевых экранах и актуальные уязвимости. Такой подход позволяет обеспечить оперативное устранение действительно опасных уязвимостей (ЦЗИ.4, ЦЗИ.5, ЦЗИ.6).

Вместе с тем в силу специфики, Skybox, Tufin, Algosec позволяют управлять только сетевым оборудованием и подсистемами сетевой защиты; не стоит ожидать от них управления хостовым антивирусом. То есть данные системы позволяют осуществлять настройку (конфигурирование) технических мер защиты информации в информационной инфраструктуре (РЗИ.2) и контроль (тестирование) полноты реализации мер системы защиты информации (ЖЦ.9, ЖЦ.13) в отношении сетевых устройств и подсистем сетевой защиты.

 

ЕСЛИ НУЖНО БОЛЬШЕ?

Для финансовых организаций, которым необходимо реализовать усиленный уровень защиты информации, внедрение средств данного класса позволит обеспечить выполнение ряда дополнительных требований, неактуальных для стандартного УЗИ:

  • реализация централизованного управления техническими мерами защиты информации (РЗИ.8);
  • реализация и контроль информационного взаимодействия между отдельными пользовательскими сегментами, сегментами управления, сегментами общедоступных объектов доступа и иными сегментами вычислительных сетей в соответствии с установленными правилами и протоколами сетевого взаимодействия (СМЭ.12).

Кроме этого, системы Tufin, Skybox, Algosec поддерживают «из коробки» возможность проведения автоматизированной оценки соответствия устройств сетевой инфраструктуры требованиям PSI DSS, GDPR и др. стандартам и лучшим практикам. Это базовая функциональность систем, не требующая дополнительных настроек.

 

СЕТЕВЫЕ ПОТОКИ

Естественно, оценка соответствия требованиям — ​не единственное назначение этих систем. Многие наши заказчики решают с их помощью задачи комплексного управления информационными потоками на уровне сети.

С особенностями внедрения и некоторыми сценариями использования систем данного класса можно ознакомиться в статьях М. Ксенофонтова «Что? Где? Куда? в вашей сети» (BIS Journal № 2(33)/2019, с. 85–87) и Е. Степановой и А. Петляковой «Куда? Кому? Как? в вашей сети» (BIS Journal № 3(34)/2019, с. 60–62).

Часто специалисты, отвечающие за сетевую инфраструктуру, располагают отрывочными знаниями о топологии сети, ограниченными их сферой ответственности. Без средства автоматизации не представляется возможным поддерживать в актуальном состоянии схемы сети и справочники с открытыми доступами. Ещё более нетривиальной задачей является определение информационных потоков, «скрытых» за правилами на межсетевых экранах, и выявление, какие из них нужны для решения бизнес-задач, какие уже потеряли актуальность, а какие были открыты нарушителями при реализации атаки.

Одна из систем рассматриваемого класса — ​Algosec — ​в своём составе имеет модули BusinessFlow и AutoDiscovery, которые позволяют управлять сетевыми доступами для обеспечения функциони-рования информационных потоков бизнес-приложений. Данная цель достигается следующим образом:

  • определяются и исключаются не используемые длительное время правила, конкретизируются «широкие» правила сетевого оборудования и подсистем сетевой защиты;
  • после нескольких итераций текущие правила признаются легитимными, таким образом формируется baseline;
  • на регулярной основе анализируются идентифицированные системой сетевые потоки; сетевые доступы, не входящие в состав легитимных и открытые без соответствующей заявки, подлежат расследованию в рамках процесса управления инцидентами ИБ.

 

И ИНЦИДЕНТЫ ТОЖЕ?

Все системы данного класса оперируют информацией об актуальных настройках сетевых устройств и подсистем сетевой защиты, а значит, с их помощью можно оценить сетевую доступность. Это часто востребовано при расследовании инцидентов ИБ, когда в режиме реального времени необходимо оценить доступность сетевых сегментов с ключевыми информационными активами от скомпрометированного хоста.

Помимо этого, данные системы позволяют не только предоставлять информацию, необходимую для расследования инцидентов ИБ, но и выявлять случаи неконтролируемого системой изменения сетевых доступов. Так, в случае открытия нарушителем сетевого доступа на скомпрометированном межсетевом экране, системы данного класса предоставляют офицеру безопасности информацию о таких изменениях. Кроме предоставления подробной информации о внесённых изменениях, в интерфейсе систем будут сформированы рекомендации по блокированию небезопасного сетевого доступа. При условии активации соответствующих функций в системе возможно автоматизированное внесение изменений в конфигурацию управляемых устройств.

 

***

Безусловно, внедрение систем класса централизованного управления сетевыми устройствами и подсистемами сетевой защиты — ​непростой процесс, требующий не только модернизации систем финансовой организации, но и актуализации процессов обеспечения ИТ и ИБ. Однако использование Tufin, Skybox или Algosec даст офицерам безопасности глубокое понимание сетевой инфраструктуры, позволит контролировать все сетевые доступы, своевременно выявлять нелегитимные изменения и реагировать на них. Это повысит управляемость и защищённость сетевой инфраструктуры в целом, и в результате вы всегда сможете ответить на вопросы: Что? Где? Куда? Кому? Как? в вашей сети.

 

[1] Здесь и далее по тексту в скобках приведено условное обозначение меры Стандарта

[2] Положение Банка России от 09.01.2019 № 672-П «О требованиях к защите информации в платёжной системе Банка России»

[3] Положение Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»

[4] Положение Банка России от 17.04.2019 № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфер финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»

Смотрите также