- •Глава 1. Политика информационной безопасности организации 8
- •Глава 3. Требования к построению защищенной информационной системы 40
- •Глава 4. Организационно-технические предложения по методам и механизмам защиты ис организации 68
- •Глава 5. Построение системы управления информационной безопасностью информационной системы 112
- •Введение
- •Глава 1. Политика информационной безопасности организации
- •1.1. Основные этапы построения политики информационной безопасности
- •1.2. Структура объекта защиты
- •1.2.1. Эволюция классической архитектуры «клиент-сервер» информационных систем
- •1.2.2. Архитектура «клиент-сервер», основанная на Web—технологии
- •1.3. Виды информационных ресурсов, хранимых и обрабатываемых в системе
- •В качестве внешних информационных потоков выделяются:
- •1.4. Определение основных приоритетов информационной безопасности ис
- •1.4.1. Базовые услуги безопасности
- •1.4.2. Реализация базовых услуг безопасности и анализ их применения
- •1.5. Определение приоритетов применения базовых услуг безопасности в ис
- •Контрольные вопросы по гл. 1
- •Лк4 Глава 2. Модели нарушителя и угроз в информационной системе
- •2.1. Модели нарушителя в ис
- •2.1.1. Модель нарушителя в «закрытом» контуре
- •2.1.2. Модель нарушителя в «открытом» контуре
- •2.2. Модели угроз информационной безопасности в ис
- •2.2.1. Модели угроз «закрытого» контура
- •2.2.2. Модели угроз в «открытом» контуре
- •Контрольные вопросы по гл. 2
- •Глава 3. Требования к построению защищенной информационной системы
- •3.1. Общие требования к подсистемам «закрытого» и «открытого» контуров ис
- •3.1.1. Общие требования к подсистеме резервирования и восстановления информации
- •3.1.2. Общие требования к подсистеме контроля эталонного состояния информации и рабочей среды
- •3.1.3. Общие требования к подсистеме управления безопасностью
- •3.1.4. Подсистема антивирусного контроля
- •3.2. Требования к подсистемам обеспечения иб «закрытого» контура
- •3.2.1. Типовые требования к подсистеме защиты информации от нсд
- •3.2.2. Требования к криптографической подсистеме
- •3.2.3. Подсистема контроля целостности «закрытого» контура
- •3.2.4. Подсистема защиты межсетевого взаимодействия «закрытого» контура
- •3.2.5. Подсистема администрирования «закрытого» контура
- •3.2.6. Подсистема обнаружения и противодействия вторжений
- •3.2.7. Подсистема мониторинга информационной безопасности «закрытого» контура
- •3.3. Подсистема защиты информации «открытого» контура
- •3.3.1. Подсистема защиты информации от нсд «открытого» контура
- •3.3.2. Подсистема защиты межсетевого взаимодействия «открытого» контура
- •3.3.3. Подсистема администрирования «открытого» контура
- •Контрольные вопросы по гл. 3
- •Глава 4. Организационно-технические предложения по методам и механизмам защиты ис организации
- •4.1. Технические решения для защиты компьютерных ресурсов серверов и арм
- •4.1.2. Решения по ос hp-ux для обеспечения корпоративной безопасности
- •4.1.3. Организационно-технические решения для защиты субд Oracle
- •4.1.4. Организационно-технические решения для защиты сервера бд
- •4.1.5. Организационно-технические решения для защиты арм пользователей ис
- •4.2. Организационно-технические решения для защиты корпоративной мсс
- •4.2.1. Общие технические решения для корпоративной защиты мсс
- •4.2.3. Технические решения для защиты корпоративной мсс на базе систем обнаружения вторжений
- •4.2.5.1. Протоколы vpn канального уровня osi
- •4.2.6. Организационно-технические решения для организации защиты межсетевого взаимодействия с применением межсетевых экранов
- •4.3. Организационно-технические решения по настройке журналов аудита на объектах мониторинга ис
- •4.3.1. Организационно-технические решения по настройке и сбору данных журнала аудита ос hp-ux
- •4.3.2. Организационно-технические решения по настройке и сбору данных журнала аудита субд Oracle
- •4.3.3. Организационно-технические решения по настройке и сбору данных журнала аудита ос Windows
- •4.3.4. Организационно-технические решения по настройке данных журнала аудита сзи от нсд «Аккорд»
- •4.3.5. Организационно-технические решения по настройке данных журнала аудита сзи от нсд Secret Net
- •4.3.6. Организационно-технические решения по настройке данных журнала аудита аппаратно-программный комплекс шифрования «Континент»
- •4.3.7. Организационно-технические решения по настройке данных журнала аудита комплекса антивирусной защитой Dr.Web Enterprise Suite Server
- •4.3.8. Организационно-технические решения по настройке данных журнала аудита продуктов антивирусной защиты Лаборатории Касперского
- •Контрольные вопросы по гл.4
- •Глава 5. Построение системы управления информационной безопасностью информационной системы
- •5.1. Принципы управления информационной безопасностью организации
- •5.1.2. Принципы построения архитектурных решений суиб
- •5.2. Этап «планирование» процедур суиб
- •5.2.2. Планирование сур иб организации. Обработка рисков
- •5.2.3.2. Планирование основных принципов построения есмиб
- •5.2.3.4. Планирование самооценки иб организации
- •5.2.3.5. Планирование типовой программы аудита иб
- •5.2.3.7. Планирование непрерывности бизнеса организации
- •5.3. Этап «реализация» процедур соиб
- •5.3.1.1. Внедрение количественных методик и инструментальных средств управления рисками
- •5.3.1.2. Внедрение качественных методик и инструментальных средств управления рисками
- •5.3.2. Внедрение системы управления инцидентами иб
- •5.3.3. Внедрение системы интегрального мониторинга иб
- •5.3.3.1. Система сбора, анализа и корреляции информации netForensics
- •5.3.3.2. Система сбора, анализа и корреляции информации EnVision
- •5.3.3.3. Система управления средствами защиты, анализа и корреляции iss RealSecure SiteProtector
- •5.3.3.4. Система визуального анализа данных VisualLinks
- •5.3.3.5. Сравнительный анализ подходов к интегральному анализу данных мониторинга иб зарубежных систем
- •1. Необходимость получения событий мониторинга иб от новых источников или применения новых способов сбора (доставки) информации о событиях (специализированных интерфейсов, нетиповых протоколов).
- •3. Необходимость контроля работы приложений, не формирующих собственный журнал регистрации событий.
- •4. Необходимость в специализированных средствах анализа и генерации отчетов, потребности их доработки, переработке и оптимизации.
- •5. Необходимость защиты данных мониторинга от таких угроз как:
- •5.3.3.7. Единая система мониторинга информационной безопасности нпф «Кристалл» (г. Пенза)
- •5.3.4. Внедрение системы «Анализ функционирования соиб»
- •5.3.5. Внедрение системы «Обеспечение непрерывности бизнеса»
- •5.3.6. Документированные процедуры суиб для ввода в эксплуатацию
- •5.4. Этап «проверка» соиб
- •5.4.1. Мониторинг иб и контроль защитных мер
- •5.4.2. Самооценка информационной безопасности
- •5.4.5. Обеспечение проведения анализа соиб со стороны руководства организации
- •5.5. Этап «совершенствование» соиб
- •5.5.1. Направления совершенствования соиб в виде корректирующих или превентивных действий в плане тактических улучшений
- •5.5.2. Направления совершенствований соиб в виде корректирующих или превентивных действий в плане стратегических улучшений
- •Контрольные вопросы по гл. 5
- •Заключение
- •Приложение 1
- •Библиографический список
- •193232 СПб., пр. Большевиков, 22
4.3.5. Организационно-технические решения по настройке данных журнала аудита сзи от нсд Secret Net
Secret Net версий 6.x, 7.x – программный комплекс, сочетающий в себе большой набор функциональных возможностей по защите информации, средства централизованного управления настройками защитных механизмов, средства оперативного реагирования на действия внутренних злоумышленников и возможность мониторинга безопасности, защищаемой ИС [36]. СЗИ от НСД Secret Net может поставляться как в сетевом варианте исполнения, так и в автономном.
В сетевом варианте Secret Net события ИБ фиксируют и клиенты, и сервер безопасности. При этом события сохраняются:
– в локальном журнале Secret Net;
– в централизованной БД сервера безопасности, функционирующей с использованием СУБД Oracle (для версий СЗИ от НСД Secret Net 6.x, 7.x). Для версии СЗИ от НСД Secret Net, начиная со сборки 7.2, БД сервера безопасности может функционировать с использованием СУБД Microsoft SQL Server.
К достоинствам эксплуатации сетевого варианта Secret Net относится:
– обеспечение централизованного управления настройками политики безопасности;
– интеграция с ОС Windows, расширяющая, дополняющая и усиливающая стандартные механизмы защиты;
– осуществление мониторинга и аудита политики безопасности в режиме реального времени;
– оперативное реагирование на события НСД;
– поддержка терминального режима работы пользователей с рабочей станцией;
– аппаратная идентификация пользователей;
– контроль целостности файлов;
– разграничение доступа к устройствам (CD\DVD, USB, Wi-Fi и т. д.).
В журнале аудита Secret Net используется такой же формат данных и состав полей записей, что и в журналах ШПРС ОС Windows. Загрузка записей для просмотра осуществляется только в программе просмотра журналов, поставляемой в составе Secret Net [36].
1.Настройка параметров аудита сетевого варианта Secret Net.
1. 1. Сервер безопасности имеет возможность централизованного сбора журналов ШПРС Secret Net с клиентских компьютеров в централизованную БД. Периодичность сбора устанавливается с помощью штатной утилиты Secret Net «Консоль управления» для каждого клиентского компьютера.
1.2. Параметры накопления аудита на клиентских компьютерах конфигурируются через групповую политику домен Secret Net. Для перехода к редактированию данных параметров необходимо на контроллере домена, перейти по главному меню Программы → Администрирование → Политика безопасности домена. Параметр «Максимальный размер журнала системы защиты» устанавливается в значение 50496 кбайт. Параметр «Политика перезаписи событий» устанавливается в значение «Затирать события по мере необходимости».
1.3. Для включения событий на регистрацию необходимо использовать ветку «Регистрация событий» редактирования групповой политики домена Secret Net. Минимальный набор событий, необходимый для регистрации средствами Secret Net:
– Вход/Выход (все события категории);
– Замкнутая программная среда (ЗПС): Запрет запуска программы;
– Замкнутая программная среда: Запрет загрузки библиотеки;
– Контроль целостности: Удаление учетной записи из задания ЗПС;
– Контроль целостности: Завершение обработки задания на контроль целостности;
– Централизованное управление КЦ-ЗПС: Добавление субъекта;
– Централизованное управление КЦ-ЗПС: Изменение субъекта;
– Централизованное управление КЦ-ЗПС: Удаление субъекта;
– Контроль конфигурации: Успешное завершение контроля аппаратной конфигурации;
– Разграничение доступа к устройствам: Подключение устройства;
– Разграничение доступа к устройствам: Отключение устройства;
– Разграничение доступа к устройствам: Запрет доступа к устройству.
Система имеет возможность также контроля работы механизмов защиты (шифрование файлов, полномочное управление, замкнутая программная среда и др.), а также пересылки журналов Secret Net с локальных компьютеров на сервер безопасности.
2. Настройка параметров аудита локального варианта Secret Net
2.1. Необходимо выполнить аналогичные описанным выше настройки в локальной оснастке на каждом компьютере с установленной СЗИ от НСД Secret Net. Для автоматизированного получения событий из локальной БД Secret Net, администратору СЗИ от НСД необходимо выполнить экспорт событий из защищенной базы Secret Net в файл БД формата Microsoft Access на каждом компьютере с установленным Secret Net.
2.2. Для выполнения экспорта, необходимо с полномочиями локального администратора ОС запустить штатную утилиту Secret Net Журналы и затем на левой панели утилиты следует выбрать журнал Secret Net, и далее пункт меню Secret Net → Экспорт. В появившемся диалогов окне следует задать параметры файла для сохранения результатов экспорта.
2.3. Для чтения данных файл *.mdb, полученный в результате экспорта, должен быть перемещен на компьютер функционирования агента. Для доступа к файлу экспорта необходимо создать ODBC-псевдоним (с использованием 32-х разрядной версии редактора ODBC-псевдонимов и драйвера Microsoft Access) и связать его с полученным файлом.
СЗИ SecretNet регистрирует настроенные события сразу после своей установки. Система регистрации событий СЗИ SecretNet не может быть отключена. Ее можно только расширить, доведя уровень детализации аудита до максимального (как локальных событий, так и сетевых). Максимальный уровень детализации подразумевает регистрацию таких событий, как операции открытия файлов на чтение, на запись, запись в файлы и так далее. Кроме того, могут регистрироваться отдельные операции с выбранными файлами.
В качестве контролируемых объектов могут выделяется следующие группы ПО, расположенного на клиентском месте:
– состояние системы защиты SecretNet - по умолчанию контролируется целостность файлов СЗИ, доступ к этим файлам;
– исполняемые файлы АРМ (EXE, COM, DLL и так далее) - протоколируется операции открытия на чтение/запись этих файлов и запуск исполняемых файлов. Протоколируется загрузка DLL-модулей прикладными задачами. Может дополнительно контролироваться целостность файлов;
– конфигурационные файлы прикладного программного обеспечения и специально выбранные файлы - может контролироваться целостность конфигурационных файлов и протоколироваться операции по чтению/записи этих файлов;
– сетевые события - протоколируются регистрация пользователя в корпоративной сети, операции отображения сетевых устройств, доступ к сетевым файлам.