![](/cdn-cgi/image/quality=75/https://journal.ib-bank.ru/files/images/posts/cover_orig.jpg)
![](/cdn-cgi/image/quality=75/https://journal.ib-bank.ru/files/images/posts/cover_orig.jpg)
Staffcop Enterprise осуществляет контроль над любыми операциями с любыми объектами.
Обеспечение защиты информационных систем согласно требованиям РД
В этой статье мы рассмотрим требования из следующего списка приказов и положений:
Мы сгруппируем требования этих документов по основным направлениям и рассмотрим, какие функции должна предоставлять система контроля сотрудников:
Рассмотрим каждую группу через призму функциональности программного комплекса Staffcop Enterprise, имеющего сертификат ФСТЭК № 4234 и предназначенного для реализации мер защиты согласно приказам ФСТЭК России № 17, 21, 31, 239 (напрямую относится к № 187-ФЗ) в составе автоматизированных систем (АС) до класса защищённости 1Г; информационных систем персональных данных (ИСПДн); государственных информационных систем (ГИС); на объектах критической информационной инфраструктуры (КИИ).
Контроль машинных носителей, стороннего ПО и состава АРМ
Для этой группы приказы ФСТЭК № 17 и 239 содержат требования по контролю МНИ: контроль подключения;управление доступом; контроль ввода/вывода информации; а также контроль состава ТС, ПО и СЗИ.
Приказ ФСТЭК № 21 содержит требования:
Staffcop Enterprise позволяет определить список разрешённых к использованию МНИ (причём назначить разным пользователям разные возможности взаимодействия с МНИ) и осуществляет регистрацию всех действий с МНИ – чтение, запись или удаление файлов, простое подключение МНИ (об этом может сразу же уведомлять ответственных лиц). Причём это может быть USB или CD-накопитель.
С помощью функций «Инвентаризация программного обеспечения/оборудования» Staffcop позволяет осуществлять контроль за изменением состава АРМ, а также попыток установки и запуска стороннего программного обеспечения. Причём это относится не только к АРМ, но и к, например, банкоматам на системах Windowsи Linux.
Контроль операций с файлами/ресурсами и контроль печати документов
В требования приказов ФСТЭК № 21 и 239 для этой группы входят: контроль операций по созданию/удалению/резервному копированию ресурсов доступа; регистрация фактов вывода на печать и защита информации от утечек.
Также добавляется Положение Банка России №382-П – требование запрета несанкционированного копирования информации.
Staffcop регистрирует все факты отправки документов на печать, а также сохраняет теневые копии распечатанных файлов, позволяя распечатывать их самому администратору безопасности. Конечно же, в системе записывается полная информация касательно инцидента – кто, когда, на каком принтере, с какой рабочей станции пытался распечатать документ.
В рамках имеющейся функции под общим названием «Файловый контроль», Staffcop Enterprise осуществляет контроль над любыми операциями с любыми объектами. Это касается как файлов данных, так и сетевых папок и т. п. – система регистрирует все факты взаимодействия с ресурсами.
Регистрация и просмотр регистрированных событий
Для этой группы приказы ФСТЭК № 17, 21 и Положение № 382-П требуют регистрировать все действия персонала и используемые ресурсы доступа, а также иметь возможность просматривать и анализировать события безопасности, в том числе по каждому конкретному пользователю.
Инструмент должен позволять собирать доказательную базу. Цитируя Приказ ФСТЭК №17, «Исключение возможности отрицания пользователем факта отправки информации другому пользователю или факта получения информации от другого пользователя» смело можно сократить до «Исключение возможности отрицания пользователем фактов». Staffcopсобирает наиболее полную информацию — регистрирует все события и взаимодействия, осуществляет теневое копирование всех внесённых в файлы изменений и формирует базу данных, которая представляется в удобной форме: в виде графиков, таблиц, тепловых диаграмм и т. д., что значительно ускоряет обработку инцидентов информационной безопасности.
Staffcop связывает события, относящиеся к одному пользователю, в единую систему, что позволяет на временной линии отследить, с кем сотрудник контактировал и чем он пользовался.
Кроме того, инструмент «Детектор аномалий» выявляет отклонения от нормы поведения сотрудника — например, чрезмерное увеличение распечатки документов или копирования файлов. Это позволяет быстрее выявлять и реагировать на опасные для компании действия.
А также это строгий учёт времени работы сотрудника – включая все прогулы, опоздания, уход с рабочего места и простои. Имея полную картину того, как сотрудник тратит рабочее время, гораздо проще выявить инциденты ИБ или недобросовестных сотрудников.
Контроль сетевого трафика
В этой группе приказы ФСТЭК № 17 и 21 требуют выявлять и блокировать скрытые каналы передачи данных; контролировать и анализировать сетевой трафик, циркулирующий внутри и поступающий в/исходящий из информационной системы; контролировать, анализировать и при необходимости блокировать передаваемую информацию. Приказы № 239 и 21 также требуют регистрировать все операции работников в сети Интернет и блокировать запрещённые к использованию сайты.
Контроль интернет-ресурсов, которыми пользуются сотрудники,является очень важным, а особенно важен контроль сообщений, которыми обмениваются сотрудники с посторонними лицами. Staffcop позволяет определять содержимое сообщений – по словам, регулярным выражениям, сочетаниям слов и т. д. Содержание входящих и исходящих сообщений фиксируется, делаются скриншоты во время посещения веб-ресурсов, а также при заполнении веб-форм. Staffcop контролирует любую передачу информации по любому каналу, что и является основой требований РД.
Контроль системы защиты на АРМ
В эту группу согласно требованиям Приказов ФСТЭК № 17 и 21 входят функции контроля и регистрации изменений параметров системы защиты или её отключения и возможности удалённого контроля/перехвата управления.
Staffcop позволяет осуществлять удалённое управление АРМ, позволяя вносить изменения в конфигурацию рабочих мест, а также осуществлять контроль в онлайн-режиме и прекращать логический доступ к защищаемой информации при необходимости. Эта функция является необходимой как для защиты информации, так и для системного администрирования, позволяя быстрее реагировать на сообщения от пользователей.
Заключение
Как мы показали, несмотря на многообразие руководящих документов, набор функций для систем контроля, в том числе и для объектов КИИ, является ограниченным. И, по большому счёту, система должна стоять на трёх китах:
Наличие сертификата ФСТЭК подтверждает, что система защиты способна обеспечить выполнение всех требований РД в этих трёх аспектах, а в случае Staffcop – это ещё и дополнительные функции, невысокая стоимость, передовые технологии и качество исполнения.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных