Назначение и основные функции информационной системы

Общие положения

СОИБ предприятия представляет собой совокупность мер организационного и программно-технического уровня, направленных на защиту информационных ресурсов предприятия от угроз информационной безопасности. Меры защиты организационного уровня реализуются путем проведения соответствующих мероприятий, предусмотренных документированной политикой информационной безопасности. Меры защиты программно-технического уровня реализуются при помощи соответствующих программно-технических средств и методов защиты информации.

Экономический эффект от внедрения СОИБ должен проявляться в виде снижения величины возможного материального, репутационного и иных видов ущерба, наносимого предприятию, за счет использования мер, направленных на формирование и поддержание режима ИБ. Эти меры призваны обеспечить:

• доступность информации (возможность за приемлемое время получить требуемую информационную услугу);
• целостность информации (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
• конфиденциальность информации (защита от несанкционированного ознакомления);
• неотказуемость (невозможность отрицания совершенных действий);
• аутентичность (подтверждение подлинности и достоверности электронных документов).

Концепция ИБ предприятия определяет состав критичных информационных ресурсов и основные принципы их защиты. Принципы обеспечения ИБ обуславливают необходимость применения определенных методов и технологий защиты. Определение способов реализации этих принципов путем применения конкретных программно-технических средств защиты информации (СЗИ) и системы организационных мероприятий является предметом конкретных проектов и политик информационной безопасности, разрабатываемых на основе данной Концепции.

Настоящая концепция должна пересматриваться по мере выявления новых методов и технологий осуществления атак на информационные ресурсы. Подобный пересмотр также должен производиться по мере развития информационных систем (ИС) предприятия. Рекомендуемый срок пересмотра концепции составляет три года (при условии отсутствия коренных изменений в структуре системы, в технологиях управления и передачи информации).

Подготовка настоящего документа, внесение в него изменений и общий контроль выполнения требований по обеспечению ИБ предприятия осуществляется сотрудниками отдела ИБ предприятия.

Ответственность за выполнение требований ИБ, определяемых настоящей Концепцией и другими организационно-распорядительными документами предприятия, возлагается на пользователей и администраторов корпоративной сети передачи данных предприятия, а также их руководителей.

Перечень необходимых мер защиты информации определяется по результатам аудита информационной безопасности ИС предприятия и анализа рисков с учетом соотношения затрат на защиту информации с возможным ущербом от ее разглашения, утраты, уничтожения, искажения, нарушения доступности информации и работоспособности программно-технических средств, обрабатывающих эту информацию.

Стратегия обеспечения ИБ должна строиться в соответствии с Российским законодательством в области защиты информации, требованиями международных, отраслевых и технологических стандартов.

Настоящая концепция разработана на основе нормативных и распорядительных документов в области информационной безопасности Российской Федерации.

Описание объекта защиты

Объектом защиты являются автоматизированные системы (как собственной, так и сторонней разработки), входящие в состав информационной системы предприятия.

Информационная система предприятия представляет собой совокупность территориально разнесенных объектов, информационный обмен между которыми осуществляется посредством использования открытых каналов связи, предоставленных сторонними операторами электросвязи. Передача информации осуществляется в кодированном виде на основе протокола кодирования, проверки целостности и конфиденциальности информационных потоков HASH64. Кодирование входящих и исходящих информационных потоков осуществляется на магистральных маршрутизаторах.

Серверы

Серверная группа корпоративной сети работает под управлением ОС Microsoft Windows. Функционально она подразделяется на серверы поддержки специализированных приложений, серверы поддержки общедоступных сервисов и серверы, поддерживающие технологические службы корпоративной сети.

Рабочие станции

К информационной системе предприятия подключены автоматизированные рабочие места пользователей, функционирующих на базе ОС Microsoft Windows XP.

Организационного уровня

СОИБ реализуется путем сочетания мер организационного и программно-технического уровней. Организационные меры состоят из мер административного уровня и процедурных мер защиты информации. Основой мер административного уровня, то есть мер, предпринимаемых руководством предприятия, является политика информационной безопасности. Под политикой информационной безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

Политика безопасности определяет стратегию предприятия в области ИБ, а также ту меру внимания и количество ресурсов, которую руководство считает целесообразным выделить.

Политика безопасности предприятия определяется настоящим документом, а также другими нормативными и организационно-распорядительными документами предприятия, разрабатываемыми на основе настоящей концепции. К числу таких документов относятся следующие:

• Политика защиты от НСД к информации;
• Политика предоставления доступа пользователей в ИС;
• Политика управления паролями;
• Политика восстановления работоспособности АС в случае аварии;
• Политика резервного копирования и восстановления данных;
• Политика предоставления доступа к ресурсам сети Интернет;
• Политика управления доступом к информационным ресурсам ИС предприятия;
• Политика внесений изменений в программное обеспечение;
• Политика управления доступом к АРМ Пользователя;
• Политика использования электронной почты;
• Политика анализа защищенности ИС предприятия;
• Программа, методика и регламенты тестирования функций СЗИ от НСД к информации;
• Инструкция, определяющая порядок и правила регистрации распечатываемых документов, содержащих конфиденциальную информацию, в соответствии с перечнем информации, составляющей конфиденциальную и служебную информацию;
• Должностные инструкции для операторов, администраторов и инженеров, осуществляющих эксплуатацию и обслуживание ИС предприятия;
• Инструкции для операторов, администраторов и инженеров по обеспечению режима информационной безопасности;
• Документированная процедура контроля целостности программной и информационной частей ИС предприятия.

Внутренние нарушители

Внутренним нарушителем может быть лицо из следующих категорий сотрудников обслуживающих подразделений:

• обслуживающий персонал (системные администраторы, администраторы БД, администраторы приложений и т.п., отвечающие за эксплуатацию и сопровождение технических и программных средств);
• программисты, отвечающие за разработку и сопровождение системного и прикладного ПО;
• технический персонал (рабочие подсобных помещений, уборщицы и т. п.);
• сотрудники бизнес подразделений предприятия, которым предоставлен доступ в помещения, где расположено компьютерное или телекоммуникационное оборудование.

Предполагается, что несанкционированный доступ на объекты системы посторонних лиц исключается мерами физической защиты (охрана территории, организация пропускного режима и т. п.).

Предположения о квалификации внутреннего нарушителя формулируются следующим образом:

• внутренний нарушитель является высококвалифицированным специалистом в области разработки и эксплуатации ПО и технических средств;
• знает специфику задач, решаемых обслуживающими подразделениями ИС предприятия;
• является системным программистом, способным модифицировать работу операционных систем;
• правильно представляет функциональные особенности работы системы и процессы, связанные с хранением, обработкой и передачей критичной информации;
• может использовать как штатное оборудование и ПО, имеющиеся в составе системы, так и специализированные средства, предназначенные для анализа и взлома компьютерных систем.

В зависимости от способа осуществления доступа к ресурсам системы и предоставляемых им полномочий внутренние нарушители подразделяются на пять категорий.

Категория А: не зарегистрированные в системе лица, имеющие санкционированный доступ в помещения с оборудованием. Лица, относящиеся к категории А, могут: иметь доступ к любым фрагментам информации, распространяющейся по внутренним каналам связи корпоративной сети; располагать любыми фрагментами информации о топологии сети, об используемых коммуникационных протоколах и сетевых сервисах; располагать именами зарегистрированных пользователей системы и вести разведку паролей зарегистрированных пользователей.

Категория B: зарегистрированный пользователь системы, осуществляющий доступ к системе с удаленного рабочего места. Лица, относящиеся к категории B, располагают всеми возможностями лиц, относящихся к категории А; знают, по крайней мере, одно легальное имя доступа; обладают всеми необходимыми атрибутами, обеспечивающими доступ к системе (например, паролем); имеют санкционированный доступ к информации, хранящейся в БД и на файловых серверах корпоративной сети, а также на рабочих местах пользователей. Полномочия пользователей категории B по доступу к информационным ресурсам корпоративной сети предприятия должны регламентироваться политикой безопасности, принятой на предприятии.

Категория C: зарегистрированный пользователь, осуществляющий локальный либо удаленный доступ к системам входящим в состав корпоративной сети. Лица, относящиеся к категории С, обладают всеми возможностями лиц категории В; располагают информацией о топологии сети, структуре БД и файловых систем серверов; имеют возможность осуществления прямого физического доступа к техническим средствам ИС.

Категория D: зарегистрированный пользователь системы с полномочиями системного (сетевого) администратора. Лица, относящиеся к категории D, обладают всеми возможностями лиц категории С; обладают полной информацией о системном и прикладном программном обеспечении ИС; обладают полной информацией о технических средствах и конфигурации сети; имеют доступ ко всем техническим и программным средствам ИС и обладают правами настройки технических средств и ПО. Концепция безопасности требует подотчетности лиц, относящихся к категории D, и осуществления независимого контроля над их деятельностью.

Категория E: программисты, отвечающие за разработку и сопровождение общесистемного и прикладного ПО, используемого в ИС. Лица, относящиеся к категории E, обладают возможностями внесения ошибок, программных закладок, установки троянских программ и вирусов на серверах корпоративной сети; могут располагать любыми фрагментами информации о топологии сети и технических средствах ИС.

Внешние нарушители

К внешним нарушителям относятся лица, пребывание которых в помещениях с оборудованием без контроля со стороны сотрудников предприятия невозможно.

Внешний нарушитель: осуществляет перехват, анализ и модификацию информации, передаваемой по линиям связи, проходящим вне контролируемой территории; осуществляет перехват и анализ электромагнитных излучений от оборудования ИС.

Предположения о квалификации внешнего нарушителя формулируются следующим образом:

• является высококвалифицированным специалистом в области использования технических средств перехвата информации;
• знает особенности системного и прикладного ПО, а также технических средств ИС;
• знает специфику задач, решаемых ИС;
• знает функциональные особенности работы системы и закономерности хранения, обработки и передачи в ней информации;
• знает сетевое и канальное оборудование, а также протоколы передачи данных, используемые в системе;
• может использовать только серийно изготовляемое специальное оборудование, предназначенное для съема информации с кабельных линий связи и из радиоканалов.

При использовании модели нарушителя для анализа возможных угроз ИБ необходимо учитывать возможность сговора между внутренними и внешними нарушителями.

Общее описание

Технические средства системы включают в себя приемо-передающее и коммутирующее оборудование, оборудование серверов и рабочих станций, а также линии связи. К данному классу относятся угрозы доступности, целостности и, в некоторых случаях конфиденциальности информации, хранимой, обрабатываемой и передаваемой по каналам связи системы, связанные с повреждениями и отказами технических средств ИС, приемо-передающего и коммутирующего оборудования и повреждением линий связи.

Виды угроз

Для технических средств характерны угрозы, связанные с их умышленным или неумышленным повреждением, ошибками конфигурации и выходом из строя:

• Вывод из строя (умышленный или неумышленный);
• Несанкционированное либо ошибочное изменение конфигурации активного сетевого оборудования и приемо-передающего оборудования;
• Физическое повреждение технических средств, линий связи, сетевого и каналообразующего оборудования;
• Перебои в системе электропитания;
• Отказы технических средств;
• Установка непроверенных технических средств или замена вышедших из строя аппаратных компонент на неидентичные компоненты;
• Хищение технических средств и долговременных носителей конфиденциальной информации вследствие отсутствия контроля над их использованием и хранением.

Источники угроз.

В качестве источников угроз безопасности для технических средств системы выступают как внешние и внутренние нарушители, так и природные явления. Среди источников угроз для технических средств можно отметить:

• стихийные бедствия;
• пожар;
• кража оборудования;
• саботаж;
• ошибки обслуживающего персонала;
• терроризм и т. п.

Общее описание

Это наиболее многочисленный класс угроз конфиденциальности, целостности и доступности информационных ресурсов, связанный с получением НСД к информации, хранимой и обрабатываемой в системе, а также передаваемой по каналам связи, при помощи использования возможностей, предоставляемых ПО ИС. Большинство рассматриваемых в этом классе угроз реализуется путем осуществления локальных или удаленных атак на информационные ресурсы системы внутренними и внешними злоумышленниками. Результатом успешного осуществления этих угроз становится получение НСД к информации БД и файловых систем корпоративной сети, данным, хранящимся на АРМ операторов, конфигурации маршрутизаторов и другого активного сетевого оборудования.

Виды угроз

В этом классе рассматриваются следующие основные виды угроз:

• Внедрение вирусов и других разрушающих программных воздействий;
• Нарушение целостности исполняемых файлов;
• Ошибки кода и конфигурации ПО, активного сетевого оборудования;
• Анализ и модификация ПО;
• Наличие в ПО недекларированных возможностей, оставленных для отладки, либо умышленно внедренных;
• Наблюдение за работой системы путем использования программных средств анализа сетевого трафика и утилит, позволяющих получать информацию о системе и о состоянии сетевых соединений;
• Использование уязвимостей ПО для взлома программной защиты с целью получения НСД к информационным ресурсам или нарушения их доступности;
• Выполнение одним пользователем несанкционированных действий от имени другого пользователя («маскарад»);
• Раскрытие, перехват и хищение секретных кодов и паролей;
• Чтение остаточной информации в ОП компьютеров и на внешних носителях;
• Ошибки ввода управляющей информации с АРМ операторов в БД;
• Загрузка и установка в системе не лицензионного, непроверенного системного и прикладного ПО;
• Блокирование работы пользователей системы программными средствами.

Отдельно следует рассмотреть угрозы, связанные с использованием сетей передачи данных. Данный класс угроз характеризуется получением внутренним или внешним нарушителем сетевого доступа к серверам БД и файловым серверам, маршрутизаторам и активному сетевому оборудованию. Здесь выделяются следующие виды угроз, характерные для КСПД предприятия:

• перехват информации на линиях связи путем использования различных видов анализаторов сетевого трафика;
• замена, вставка, удаление или изменение данных пользователей в информационном потоке;
• перехват информации (например, пользовательских паролей), передаваемой по каналам связи, с целью ее последующего использования для обхода средств сетевой аутентификации;
• статистический анализ сетевого трафика (например, наличие или отсутствие определенной информации, частота передачи, направление, типы данных и т. п.).

Источники угроз

В качестве источников угроз безопасности для технических средств системы выступают как внешние и внутренние нарушители.

Источники угроз

В качестве источников угроз безопасности для технических средств системы выступают как внешние и внутренние нарушители, оснащенные средствами технической разведки.

Требования по обеспечению информационной безопасности

Требования к составу основных подсистем СОИБ

В состав СОИБ должны входить следующие подсистемы:

• подсистема управления политикой информационной безопасности;
• подсистема анализа и управления рисками;
• подсистема идентификации и аутентификации;
• подсистема разграничения доступа;
• подсистема протоколирования и пассивного аудита;
• подсистема активного аудита;
• подсистема контроля целостности данных;
• подсистема контроля защищенности;
• подсистема удостоверяющий центр;
• подсистема сегментирования ЛВС и межсетевого экранирования;
• подсистема VPN;
• подсистема антивирусной защиты;
• подсистема фильтрации контента;
• подсистема управления безопасностью;
• подсистема предотвращения утечки информации по техническим каналам.

Требования к подсистеме управления политикой безопасности

Подсистема управления политикой ИБ предназначена для поддержания в актуальном состоянии политик и других организационно-распорядительных документов по обеспечению ИБ, ознакомление всех пользователей и технического персонала ИС с содержанием этих документов, контроля осведомленности и контроля выполнения требований политики безопасности и других регламентирующих документов. Всем сотрудникам предприятия предоставляется персонифицированный доступ к внутреннему информационному Web-серверу, на котором публикуются действующие нормативные документы, списки контрольных (проверочных) вопросов, предназначенных для контроля осведомленности, а также Web-формы для составления сообщений и отчетов об инцидентах, связанных с нарушением правил политики безопасности.

Подсистема управления политикой безопасности должна:

• поддерживать, актуализировать и контролировать исполнение корпоративной политики безопасности;
• обеспечивать определение единого набора правил обеспечения безопасности;
• позволять создавать новые и модифицировать уже созданные политики, правила и инструкции для обеспечения информационной безопасности;
• учитывать отраслевую специфику;
• обеспечивать централизованный персонифицированный доступ сотрудников к текстам корпоративных политик на основе Web-доступа;
• информировать пользователей о создании и утверждении новых политик;
• фиксировать факт ознакомления пользователя с политиками;
• проверять усвоенные знания политик;
• контролировать нарушение политик пользователями;
• контролировать выполнение единого набора правил защиты информации;
• информировать административный персонал о фактах нарушения политик безопасности пользователями;
• иметь средства создания отчетов.

Требования к подсистеме анализа и управления рисками

Подсистема анализа и управления рисками представляет собой комплекс инструментальных средств, установленных на рабочем месте специалиста по анализу рисков и предназначенных для сбора и анализа информации о состоянии защищенности ИС, оценки рисков, связанных с реализацией угроз ИБ, выбора комплекса контрмер (механизмов безопасности), адекватных существующим рисками и контроля их внедрения.

Подсистема анализа и управления рисками должна обеспечивать:

• автоматизацию идентификации рисков;
• возможность создания шкал и критериев, по которым можно измерять риски;
• оценку вероятностей событий;
• оценку угроз;
• анализ допустимого уровня риска;
• выбор контрмер и оценку их эффективности;
• позволять контролировать необходимый уровень обеспечения информационной и физической безопасности (информационные риски, сбои в системах, служба охраны, охранно-пожарная сигнализация и пожаротушение, охрана периметра и т.п.).

Требования к подсистеме идентификации и аутентификации

Подсистема идентификации и аутентификации представляет собой комплекс программно-технических средств, обеспечивающих идентификацию пользователей ИС и подтверждение подлинности пользователей при получении доступа к информационным ресурсам. Подсистема идентификации и аутентификации включает в себя компоненты, встроенные в операционные системы, межсетевые экраны, СУБД и приложения, которые обеспечивают управление идентификационными данными пользователей, паролями и ключевой информацией, а также реализуют различные схемы подтверждения подлинности при входе пользователя в систему и получении доступа к системным ресурсам и приложениям. Встроенные средства идентификации и аутентификации дополняются наложенными средствами, обеспечивающими синхронизацию учетных данных пользователей в различных хранилищах (например, Active Directory, Lotus, Microsoft SQL, Novell Directory, LDAP, прикладные системы и т.п.) и предоставление единой точки доступа и администрирования для всех пользователей ИС.

Подсистема идентификации и аутентификации должна обеспечивать:

• Поддержание идентичности и синхронизацию учетных данных в разных хранилищах (Active Directory, Lotus, Microsoft SQL, Novell Directory, LDAP, автоматизированные системы);
• Комбинирование идентификационной информации из множества каталогов;
• Обеспечение единого представления всей идентификационной информации для пользователей и ресурсов;
• Предоставление единой точки доступа и администрирования;
• Безопасный вход в домен ОС Windows (Windows-десктоп и сеть) при помощи электронного идентификатора (USB-ключа или смарт-карты);
• Усиленную аппаратную двухфакторную аутентификацию пользователей (электронный идентификатор и пин-код);
• Вход в сеть предприятия с любой рабочей станции, посредством хранения электронного сертификата в защищенной области памяти электронного идентификатора;
• Хранение паролей к различным ресурсам (в том числе Web) и электронных сертификатов в защищенной области памяти электронного идентификатора
• Централизованное управление данными об используемых электронных идентификаторах (USB-ключа или смарт-карты);
• Блокирование компьютера или автоматическое отключение от сети в перерывах между работой и отсоединением электронного идентификатора.

Механизмы идентификации и аутентификации должны быть реализованы на всех рубежах защиты информации в следующих объемах:

• На рубеже защиты внешнего периметра КСПД предприятия – идентификация и аутентификация внешних пользователей сети для доступа к информационным ресурсам ЛВС на МЭ и сервере удаленного доступа;
• На рубеже сетевой инфраструктуры должна осуществляться идентификация и аутентификация пользовательских рабочих станций по именам и сетевым адресам при осуществлении доступа к сетевым сервисам ЛВС;
• На рубеже защиты серверов и рабочих станций должна осуществляться идентификация и аутентификация пользователей при осуществлении локальной или удаленной регистрации в системе;
• На рубеже прикладного ПО должна осуществляться идентификация и аутентификация пользователей указанного ПО для получения доступа к информационным ресурсам при помощи данного ПО.

Аутентификация внутренних и внешних пользователей системы осуществляется на основе следующей информации:

• На рубеже защиты внешнего периметра для аутентификации пользователей на МЭ и сервере удаленного доступа используются схемы, устойчивые к прослушиванию сети потенциальными злоумышленниками, построенные на основе одноразовых сеансовых ключей и/или аппаратных носителей аутентификационной информации;
• На рубеже защиты сетевых сервисов ЛВС используются параметры клиентов сетевого уровня (IP-адреса, имена хостов) в сочетании с параметрами канального уровня (MAC-адреса) и парольными схемами аутентификации;
• На рубежах защиты серверов, рабочих станций и приложений используются парольные схемы аутентификации с использованием аппаратных носителей аутентификационной информации.

Требования к подсистеме разграничения доступа

Подсистема разграничения доступа (авторизации) использует информацию, предоставляемую сервисом аутентификации. Авторизация пользователей для доступа к информационным ресурсам ИС осуществляется на следующих уровнях программно-технической защиты:

• На уровне защиты внешнего периметра ЛВС предприятия (при их подключении к внешним сетям и сети Интернет) МЭ осуществляет разграничение доступа внешних пользователей к сервисам ЛВС и внутренних пользователей к ресурсам сети Интернет и внешних сетей в соответствии с правилами «Политики обеспечения информационной безопасности при взаимодействии с сетью Интернет».
• На уровне защиты сетевых сервисов ЛВС используются внутренние механизмы авторизации пользователей, встроенные в сетевые сервисы, либо специализированные серверы авторизации.
• На уровне защиты серверов и рабочих станций ЛВС используются механизмы авторизации, встроенные в ОС, в сочетании с наложенными средствами разграничения доступа.
• На уровне защиты приложений, функциональных подсистем ИС и системных ресурсов используются механизмы авторизации, встроенные в эти приложения, а также средства разграничения доступа ОС и СУБД.

Средства разграничения доступа должны исключать возможность доступа к ресурсам системы неавторизованных пользователей.

Требования к подсистеме протоколирования и пассивного аудита

Подсистема протоколирования и пассивного аудита предназначена для осуществления контроля за наиболее критичными компонентами сети, включающими в себя серверы приложений, баз данных и прочие сетевые серверы, межсетевые экраны, рабочие станции управления сетью и т.п. Компоненты этой подсистемы располагаются на всех перечисленных выше рубежах защиты (разграничения доступа) и осуществляют протоколирование, централизованный сбор и анализ событий, связанных с безопасностью (включая предоставление доступа, попытки аутентификации, изменение системных политик и пользовательских привилегий, системные сбои и т.п.). Они включают в себя как встроенные средства, имеющиеся в составе ОС, СУБД, приложений и т.п. и предназначенные для регистрации событий безопасности, так и наложенные средства (программные агенты) служащие для агрегирования и анализа данных аудита, полученных из различных источников. Все данные аудита поступают на выделенный сервер аудита, где осуществляется их хранение и обработка. Просмотр и анализ этих данных осуществляется с консоли администратора аудита.

Подсистема пассивного аудита безопасности выполняет следующие основные функции:

• Отслеживание событий, влияющих на безопасность системы;
• Регистрация событий, связанных с безопасностью в журнале аудита;
• Выявление нарушений безопасности, путем анализа данных журналов аудита администратором безопасности в фоновом режиме.

Средства протоколирования и аудита должны применяться на всех рубежах защиты в следующем объеме:

• На рубеже защиты внешнего периметра должны протоколироваться следующие события:

· Информация о состоянии внешнего маршрутизатора, МЭ, сервера удаленного доступа, модемов;

· Действия внешних пользователей по работе с внутренними информационными ресурсами;

· Действия внутренних пользователей по работе с внешними информационными ресурсами;

· Попытки нарушения правил разграничения доступа на МЭ и на сервере удаленного доступа;

· Действия администраторов МЭ и сервера удаленного доступа.

• На рубеже сетевой инфраструктуры должно осуществляться протоколирование информации о состоянии структурированной кабельной системы (СКС) и активного сетевого оборудования, а также структуры информационного обмена на сетевом и транспортном уровнях;
• На рубеже защиты серверов и рабочих станций средствами подсистем аудита безопасности ОС должно обеспечиваться протоколирование всех системных событий, связанных с безопасностью, включая удачные и неудачные попытки регистрации пользователей в системе, доступ к системным ресурсам, изменение политики аудита и т. п.;
• На уровне приложений должна обеспечиваться регистрация событий, связанных с их функционированием, средствами этих приложений.

Эффективность функционирования системы пассивного аудита безопасности определяется следующими основными свойствами этой системы:

• наличие средств аудита, обеспечивающих возможность выборочного контроля любых происходящих в системе событий, связанных с безопасностью;
• наличие средств централизованного управления журналами аудита, политикой аудита и централизованного анализа данных аудита по всем контролируемым системам;
• непрерывность контроля над критичными компонентами ЛВС во времени.

Требования к подсистеме активного аудита безопасности

Подсистема активного аудита безопасности предназначена для автоматического выявления нарушений безопасности критичных компонентов ИС и реагирования на них в режиме реального времени. К числу критичных компонентов ИС, с наибольшей вероятностью подверженных атакам со стороны злоумышленников, относится внешний защищенный шлюз в сеть Интернет, сервер удаленного доступа, серверная группа и рабочие станции управления сетью. Данная подсистема тесно интегрирована с подсистемой протоколирования и пассивного аудита, т.к. она частично использует данные аудита, полученные из этой подсистемы, для выявления атак и активизации алгоритмов автоматического реагирования.

Подсистема активного аудита строится на традиционной для подобных систем архитектуре агент-менеджер-управляющая консоль. Для сбора информации и реагирования на инциденты используются программные агенты, программа-менеджер размещается на сервере аудита и отвечает за агрегирование, хранение и обработку данных аудита, управление агентами и автоматическую активизацию алгоритмов реагирования. Управление всей подсистемой осуществляется с консоли администратора аудита.

Анализатор сетевого трафика должен обнаруживать известные типы сетевых атак, включая атаки, направленные против следующих приложений:

• СУБД, Web, FTP, TELNET и почтовые серверы;
• Серверы NIS, DNS, WINS, NFS и SMB;
• Почтовые агенты и Web-браузеры;
• Выявление сетевых и локальных атак и других нарушений безопасности, а также реагирование на них должны осуществляться в реальном времени.

Требования к подсистеме контроля целостности

Подсистема контроля целостности программных и информационных ресурсов ИС предназначена для контроля и оперативного восстановления целостности критичных файлов ОС и приложений на серверах и рабочих станциях сети, включая конфигурационные файлы, файлы данных, программы и библиотеки функций. Контроль целостности информационных ресурсов осуществляет путем регулярного подсчета контрольных сумм файлов и их сравнения с эталонной базой данных контрольных сумм. В случае несанкционированной модификации контролируемых файлов они могут быть восстановлены с использованием средств резервного копирования и восстановления данных. Подсистема контроля целостности может входить в состав подсистемы активного аудита в качестве одного из ее функциональных компонентов.

Система контроля целостности программной и информационной части ЛВС должна обеспечивать контроль неизменности атрибутов критичных файлов и их содержимого, своевременное выявление нарушений целостности критичных файлов и их оперативное восстановление. В составе системы контроля целостности должны быть предусмотрены средства централизованного удаленного администрирования, средства просмотра отчетов по результатам проверки целостности и средства автоматического оповещения администратора безопасности о выявленных нарушениях.

Требования к подсистеме контроля защищенности

Подсистема контроля защищенности предназначена для выявления и ликвидации уязвимостей отдельных подсистем СОИБ, сетевых сервисов, приложений, функциональных подсистем, системного ПО и СУБД, входящих в состав ИС. Она включает в себя средства сетевого уровня (сетевые сканеры безопасности), устанавливаемые на рабочей станции администратора безопасности и предназначенные для выявления уязвимостей сетевых ресурсов путем эмуляции действий возможного злоумышленника по осуществлению удаленных атак, а также средства системного уровня, построенные на архитектуре «агент-менеджер-консоль» и предназначенные для анализа параметров конфигурации операционных систем и приложений, выявления уязвимостей, коррекции конфигурационных параметров и контроля изменения состояния операционных систем и приложений.

Сетевой сканер должен осуществлять сканирование всего диапазона TCP и UDP портов, выявлять все доступные сетевые ресурсы и сервисы, обнаруживать уязвимости различных ОС, СУБД, сетевых сервисов и приложений.

Средства анализа защищенности системного и прикладного уровней предназначены для решения следующих основных задач:

• анализ параметров конфигурации операционных систем и приложений по шаблонам с целью выявления уязвимостей, связанных с их некорректной настройкой, определения уровня защищенности контролируемых систем и соответствия политике безопасности организации;
• коррекция конфигурационных параметров операционных систем и приложений;
• контроль изменения состояния операционных систем и приложений, осуществляемый на основе мгновенных снимков их параметров и атрибутов файлов.

Средства контроля защищенности системного уровня должны выполнять проверки привилегий пользователей, политик управления паролями и регистрационных записей пользователей, параметров подсистемы резервного копирования, командных файлов, параметров системы электронной почты, настройки системных утилит и т.п.

Средства контроля защищенности системного уровня должна поддерживать распределенные конфигурации и быть интегрированы с сетевыми сканерами и со средствами сетевого управления.

Требования к подсистеме «удостоверяющий центр»