BIS Journal №4(39)/2020

21 декабря, 2020

На трёх китах

Staffcop Enterprise осуществляет контроль над любыми операциями с любыми объектами.

 

Обеспечение защиты информационных систем согласно требованиям РД

В этой статье мы рассмотрим требования из следующего списка приказов и положений:

  • Приказ ФСТЭК России от 25 декабря 2017 г. №239 (далее - № 239)
  • Приказ ФСТЭК России от 18 февраля 2013 г. №21 (далее № 21)
  • Положение от 9 июня 2012 года №382-П (далее - № 382-П)
  • Приказ ФСТЭК России от 11 февраля 2013 №17 (далее - № 17)
  • ISO 27001
  • Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры» (КИИ) (далее - № 187-ФЗ)

Мы сгруппируем требования этих документов по основным направлениям и рассмотрим, какие функции должна предоставлять система контроля сотрудников:

  • Контроль машинных носителей, стороннего ПО и состава АРМ
  • Контроль операций с файлами/ресурсами и контроль печати документов
  • Регистрация и просмотр регистрированных событий
  • Контроль сетевого трафика
  • Контроль системы защиты на АРМ

Рассмотрим каждую группу через призму функциональности программного комплекса Staffcop Enterprise, имеющего сертификат ФСТЭК № 4234 и предназначенного для реализации мер защиты согласно приказам ФСТЭК России № 17, 21, 31, 239 (напрямую относится к № 187-ФЗ) в составе автоматизированных систем (АС) до класса защищённости 1Г; информационных систем персональных данных (ИСПДн); государственных информационных систем (ГИС); на объектах критической информационной инфраструктуры (КИИ).

 

Контроль машинных носителей, стороннего ПО и состава АРМ

Для этой группы приказы ФСТЭК № 17 и 239 содержат требования по контролю МНИ: контроль подключения;управление доступом; контроль ввода/вывода информации; а также контроль состава ТС, ПО и СЗИ.

Приказ ФСТЭК № 21 содержит требования:

  • по контролю МНИ: контроль копирования информации; блокировка незарегистрированных МНИ и запрещённой к передаче информации; регистрация фактов стирания информации;
  • по контролю ПО: исключение установки/запуска незарегистрированного ПО; регистрация и контроль установки/удаления/обновления/запуска и состава используемого ПО;
  • по контролю АРМ: учёт и контроль фактического состава ресурсов и объектов доступа.

Staffcop Enterprise позволяет определить список разрешённых к использованию МНИ (причём назначить разным пользователям разные возможности взаимодействия с МНИ) и осуществляет регистрацию всех действий с МНИ – чтение, запись или удаление файлов, простое подключение МНИ (об этом может сразу же уведомлять ответственных лиц). Причём это может быть USB или CD-накопитель.

С помощью функций «Инвентаризация программного обеспечения/оборудования» Staffcop позволяет осуществлять контроль за изменением состава АРМ, а также попыток установки и запуска стороннего программного обеспечения. Причём это относится не только к АРМ, но и к, например, банкоматам на системах Windowsи Linux.

 

Контроль операций с файлами/ресурсами и контроль печати документов

В требования приказов ФСТЭК № 21 и 239 для этой группы входят: контроль операций по созданию/удалению/резервному копированию ресурсов доступа; регистрация фактов вывода на печать и защита информации от утечек.

Также добавляется Положение Банка России №382-П – требование запрета несанкционированного копирования информации.

Staffcop регистрирует все факты отправки документов на печать, а также сохраняет теневые копии распечатанных файлов, позволяя распечатывать их самому администратору безопасности. Конечно же, в системе записывается полная информация касательно инцидента – кто, когда, на каком принтере, с какой рабочей станции пытался распечатать документ.

В рамках имеющейся функции под общим названием «Файловый контроль», Staffcop Enterprise осуществляет контроль над любыми операциями с любыми объектами. Это касается как файлов данных, так и сетевых папок и т. п. – система регистрирует все факты взаимодействия с ресурсами.

 

Регистрация и просмотр регистрированных событий

Для этой группы приказы ФСТЭК № 17, 21 и Положение № 382-П требуют регистрировать все действия персонала и используемые ресурсы доступа, а также иметь возможность просматривать и анализировать события безопасности, в том числе по каждому конкретному пользователю.

Инструмент должен позволять собирать доказательную базу. Цитируя Приказ ФСТЭК №17, «Исключение возможности отрицания пользователем факта отправки информации другому пользователю или факта получения информации от другого пользователя» смело можно сократить до «Исключение возможности отрицания пользователем фактов». Staffcopсобирает наиболее полную информацию — регистрирует все события и взаимодействия, осуществляет теневое копирование всех внесённых в файлы изменений и формирует базу данных, которая представляется в удобной форме: в виде графиков, таблиц, тепловых диаграмм и т. д., что значительно ускоряет обработку инцидентов информационной безопасности.

Staffcop связывает события, относящиеся к одному пользователю, в единую систему, что позволяет на временной линии отследить, с кем сотрудник контактировал и чем он пользовался.

Кроме того, инструмент «Детектор аномалий» выявляет отклонения от нормы поведения сотрудника — например, чрезмерное увеличение распечатки документов или копирования файлов. Это позволяет быстрее выявлять и реагировать на опасные для компании действия.

А также это строгий учёт времени работы сотрудника – включая все прогулы, опоздания, уход с рабочего места и простои. Имея полную картину того, как сотрудник тратит рабочее время, гораздо проще выявить инциденты ИБ или недобросовестных сотрудников.

 

Контроль сетевого трафика

В этой группе приказы ФСТЭК № 17 и 21 требуют выявлять и блокировать скрытые каналы передачи данных; контролировать и анализировать сетевой трафик, циркулирующий внутри и поступающий в/исходящий из информационной системы; контролировать, анализировать и при необходимости блокировать передаваемую информацию. Приказы № 239 и 21 также требуют регистрировать все операции работников в сети Интернет и блокировать запрещённые к использованию сайты.

Контроль интернет-ресурсов, которыми пользуются сотрудники,является очень важным, а особенно важен контроль сообщений, которыми обмениваются сотрудники с посторонними лицами. Staffcop позволяет определять содержимое сообщений – по словам, регулярным выражениям, сочетаниям слов и т. д. Содержание входящих и исходящих сообщений фиксируется, делаются скриншоты во время посещения веб-ресурсов, а также при заполнении веб-форм. Staffcop контролирует любую передачу информации по любому каналу, что и является основой требований РД.

 

Контроль системы защиты на АРМ

В эту группу согласно требованиям Приказов ФСТЭК № 17 и 21 входят функции контроля и регистрации изменений параметров системы защиты или её отключения и возможности удалённого контроля/перехвата управления.

Staffcop позволяет осуществлять удалённое управление АРМ, позволяя вносить изменения в конфигурацию рабочих мест, а также осуществлять контроль в онлайн-режиме и прекращать логический доступ к защищаемой информации при необходимости. Эта функция является необходимой как для защиты информации, так и для системного администрирования, позволяя быстрее реагировать на сообщения от пользователей.

 

Заключение

Как мы показали, несмотря на многообразие руководящих документов, набор функций для систем контроля, в том числе и для объектов КИИ, является ограниченным. И, по большому счёту, система должна стоять на трёх китах:

  • Контроль и регистрация всех без исключения событий в информационной системе предприятия – непосредственно на АРМ, при сетевом взаимодействии и при подключении внешних носителей.
  • Контроль состояния самого АРМ и системы защиты – с регистрацией и/или запретом всех изменений.
  • Представление всей собранной информации в удобном формате для обеспечения сбора доказательной базы и получения полной картины происходящего.

Наличие сертификата ФСТЭК подтверждает, что система защиты способна обеспечить выполнение всех требований РД в этих трёх аспектах, а в случае Staffcop – это ещё и дополнительные функции, невысокая стоимость, передовые технологии и качество исполнения.

Смотрите также