5.4. Этап «проверка» соиб
Задачей выполнения деятельности в рамках группы процессов «ПРОВЕРКА» СОИБ является обеспечение достаточной уверенности в том, что СОИБ, включая защитные меры, функционирует надлежащим образом и адекватна существующим угрозам ИБ. В рамках выполнения процессов этапа «ПРОВЕРКА» СОИБ предусматривается проведение следующих основных работ:
– мониторинг ИБ и контроль защитных мер;
– самооценка ИБ;
– аудит ИБ;
– анализ функционирования СОИБ (в том числе со стороны руководства).
Результат выполнения деятельности на этапе «ПРОВЕРКА» СОИБ является основой для выполнения деятельности по совершенствованию СОИБ.
5.4.1. Мониторинг иб и контроль защитных мер
Основными целями мониторинга и контроля защитных мер в организации являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные цели:
– контроль за реализацией положений внутренних документов по обеспечению ИБ в организации;
– выявление нештатных, в том числе злоумышленных, действий в ИС организации;
– выявление инцидентов ИБ.
Проведение мониторинга ИБ и контроля защитных мер включает:
– контроль параметров конфигурации и настроек средств и механизмов защиты, и охватывать все реализованные и эксплуатируемые защитные меры, входящие в СИБ;
– сбор и хранение информации о действиях работников организации, событиях и параметрах, имеющих отношение к функционированию защитных мер;
– сбор и хранение информации обо всех инцидентах ИБ, выявленных в процессе мониторинга СОИБ и контроля защитных мер в базе данных инцидентов ИБ;
– регулярное проведение пересмотров процедуры мониторинга СОИБ и контроля защитных мер в связи с изменениями в составе и способах использования защитных мер, выявлением новых угроз и уязвимостей ИБ, а также инцидентов ИБ. Порядок выполнения процедур пересмотра должен быть документально определен.
Результаты мониторинга СОИБ и контроля защитных мер и Порядок выполнения процедур пересмотра должны документально фиксироваться.
В организации должны быть документально определены роли, связанные с выполнением процедур мониторинга СОИБ и контроля защитных мер, а также пересмотром указанных процедур, и назначены ответственные за выполнение указанных ролей.
5.4.1.1. Организационно–техническая схема применения ЕСМИБ
Целью применения ЕСМИБ, является контроль состояния информационной безопасности ИС на основе интегрального оперативного анализа санкционированных и несанкционированных действий пользователей (как легальных, так и нелегальных) для принятия решения о наличии или отсутствии в их действиях угроз для нарушения доступности, целостности или конфиденциальности информации в ИС и выдачи рекомендаций по совершенствованию защитных мер.
Изначально ЕСМИБ настраивается на генерацию предупреждений о нарушении при обнаружении несанкционированного действия хотя бы в одном из журналов штатного аудита компоненты ИС. Цель АИБ и экспертной системы ЕСМИБ – определить характер, источник и последствия выявленного нарушения при помощи анализа журналов штатного аудита компонент ИС, систем защиты информации и правил экспертной системы. По мере накопления экспертной системой сведений о нарушениях и пополнении базы знаний работа АИБ автоматизируется в большей степени.
Некоторые практики применения ЕСМИБ приведены на рис. 5.6. -5.8 [45,46]. На рис.5.6. приведена схема работы правила «Контроль заражения компьютера вирусом». Используются данные из регистрационных журналов ПО «Антивирус Касперского» и системы «Контроль использования периферийных устройств» (например, Device Lock). КСИБ, возникший в результате срабатывания данного правила содержит не только информацию о факте обнаружения вредоносного кода, но и информацию об его источнике (в том числе серийный номер носителя). Это позволяет значительно ускорить расследование по факту обнаружения вредоносного кода.
Рис.5.6. Примеры формирования коррелированных событий ИБ. Попытка заражения АРМ «открытого» контура вирусом
На рис. 5.7. приведена схема работы правила «Контроль активности учетных записей сотрудников, находящихся в отпуске». Используются данные из регистрационного журнала системы 1С и других источников, для которых фиксируются события «регистрации пользователя в системе».
В случае, если в период отпуска, сотрудник регистрируется в какой-либо из систем (идентификатор определяется по карточке сотрудника в ЕСМИБ), то формируется КСИБ.
БД
событий ИБ
Подсистема
идентификации КСИБ
События
ИБ
Рис.5.7. Примеры формирования коррелированных событий ИБ. Контроль активности учетных записей сотрудников «открытого» контура ИС, находящихся в отпуске
На рис.5.8. приведена схема работы правила «Контроль соответствия учетных записей Windows и 1С». КСИБ выявляет несоответствие учетных записей данного пользователя в операционной системе и 1С. Идентификаторы пользователя в операционной системе и 1С определяются по карточке пользователя. КСИБ возникает, когда пользователь воспользовался чужой учетной записью (возможно с иными полномочиями) в ОС или 1С.
Рис.5.8. Примеры формирования коррелированных событий ИБ. Контроль соответствия учетных записей Windows и 1С «открытого» контура
Конкретная последовательность действий экспертов ЕСМИБ определятся характером обнаруженного нарушения или подозрительного действия и местом его обнаружения. Приведем примерную схему контроля состояния информационной безопасности в корпоративной сети и на серверах СУБД, ОСUnix
Для корпоративной сети:
– проанализировать журналы системы, где было обнаружено нарушение на предмет определения предыдущих событий в этой системе;
– изучив запись о нарушении, попытаться установить источник нарушения (локальный или удаленный). В случае локального нарушения, например, несанкционированного изменения правил фильтрации на маршрутизаторе Cisco, связаться с администратором системы для более детального расследования;
– в случае удаленного нарушения попытаться по цепочке с помощью исследования данных аудита других компонентов корпоративной сети идентифицировать источник нарушения;
– по результатам анализа провести корректировку настроек системы, где произошло нарушение с целью недопущения дальнейших нарушений;
– провести внеочередное тестирование компонент корпоративной сети с помощью сканера безопасности и реализовать полученный рекомендации по повышению уровня защищенности.
Для серверов СУБД, ОСUnix:
– проверить журналы аудита СУБД на наличие записей «действие пользователя с несанкционированным набором полномочий»;
– проверить журналы аудита СУБД на наличие записей «действие администратора СУБД по изменению полномочий».
В случае если изменения полномочий произведены без ведома администратора СУБД
– необходимо проверить журналы системы обнаружения вторжений с целью обнаружения удаленной атаки на СУБД, а также предпринять внеочередное тестирование СУБД с помощью сканнера безопасности;
– проверить ОС Unix средствами системных и сетевых сканеров безопасности на наличие изъянов в системе защиты ОС;
– проверить журналы аудита ОС Unix для обнаружения несанкционированных действий по изменению служебной информации ОС;
– проверить журналы аудита маршрутизаторов и межсетевых экранов с целью обнаружения попыток доступа к ресурсам центра обработки данных с использованием несанкционированных IP–адресов.
По результатам проверки по каждому из вышеуказанных пунктов АИБ могут производиться дополнительные действия по детальному выяснению причин возникновения нарушений. Также после завершения расследования необходимо произвести дополнительное обучение экспертной системы для автоматизации обнаружения подобных нарушений в дальнейшем.
АИБ должен получать необходимые сведения, касающиеся функционирования систем от администраторов этих систем, которые, в свою очередь, обязан предоставить такие сведения и обосновать произведенные операции, отражаемые в файлах аудита.
Итогом проводимой работы по анализу данных должны явиться сводные отчеты о выявленных нарушениях и предложения по улучшению системы защиты ИС, вырабатываемые при помощи генератора отчетов системы интегрального аудита при участии администратора информационной безопасности. Кроме того, должны выпускаться аналитические обзоры по функционированию ИС для руководства организации с описанием и обоснованием предложений по усовершенствованию технологии защиты информации и применяемых средств защиты ИС.
По результатам анализа данных мониторинга и аналитической работы подразделение безопасности может вырабатывать рекомендации разработчикам компонент ИС по увеличению уровня информационной безопасности этих компонент.
Предусматривается различный уровень детализации отчетов системы интегрального аудита, предназначенных для изучения экспертами подразделения безопасности, а также руководством организации (обобщение результатов работы системы интегрального аудита). Например, для подразделения безопасности может генерироваться отчет, содержащий следующие сведения:
– подробная статистика НСД и инцидентов с описанием места, времени, указанием объекта и субъекта аудита, подробной интерпретацией события по каждому из журналов аудита;
– рекомендации необходимой дополнительной настройки штатных и внешних систем защиты и параметров аудита;
– данные о текущем состоянии обучения экспертной системы;
– выдача статистических оценок работы пользователей, гистограмм по работе системы защиты.
Для руководства организации могут генерироваться следующие отчеты:
– оценка работы администраторов и пользователей ИС, основанная на статистическом анализе журналов аудита;
– общая статистика по НСД и сбоям в ИС;
– общая статистика по инцидентам ИБ;
– сводная оценка работы подразделений организации.