Обзор систем управления рисками. Антон Ленский, рассэ (гк АйТеко) Владислав Вайц, мгту им. Н. Э. Баумана Сравнение решений sgrc

12
попытках
аутентификац
ии
Двухфакторна
я
аутентификац
ия
пользователей
Нет данных
Да, СМС, OTP
Нет данных
Да, по сертификатам
Да, по сертификатам
Ограничение
доступа к
решению на
сетевом уровне
Нет данных
Через ограничение доступа к тенанту MS
Azure
Средствами сервера MS
IIS
Нет (только через iptables вручную через Linux- консоль)
Да, через веб-интерфейс: разрешение на доступ к системе только с определенного IP-адреса, из диапазона IP-адресов, из определенной подсети
Аутентификац
ия на
почтовом
шлюзе
Нет данных
Да
Нет данных
Поддержка SSL-соединения, аутентификации на почтовом сервере
Поддержка SSL-соединения, аутентификации на почтовом сервере
1.7. Лицензирование
Стоимость
лицензии
Зависит от количества функциональных модулей, коннекторов к внешним ИС
По прайс-листу MS
Office 365 с тарифным планом E5
Нет данных
Зависит от функционала, общего количества активов, количества коннекторов, кастомизации решения под конкретного заказчика, срока действия приобретаемой технической поддержки
Зависит от перечня выбранных функциональных модулей, количества коннекторов к источникам данных и коннекторов реагирования, возможности использовать режим высокой доступности/многонодности, выбранного уровня технической поддержки
Тип лицензии Бессрочная
Подписка
Нет данных
Бессрочная
Бессрочная, срочная
Механизм
лицензионной
проверки
Нет данных
Онлайн-проверка действительности подписки
Нет данных
Лицензия устанавливается в виде файла, сопоставляемого с уникальным ID инсталляции
Лицензия устанавливается в виде текстового ключа, сгенерированного на основании уникального

13 идентификатора инсталляции
Предоставлени
е по модели
SaaS
Есть
Есть
Нет данных
Нет
Нет
Техническая
поддержка
В зависимости от приобретаемого уровня:
8x5 (GMT+5)
Язык оказания услуги: русский
Есть
Язык оказания услуги: русский, английский
Нет данных
Включает получение периодических обновлений, предоставление консультаций по использованию программного продукта, поддержку в режиме 24/7.
Язык оказания услуги: русский, английский
В зависимости от приобретаемого уровня: 8x5 или 24/7, время реагирования на неисправность от 8 до 2 часов, предоставление патчей, бесплатное обновление до новых версий.
Язык оказания услуги: русский, английский
Дополнительн
о-но
Решение поставляется в составе подписки MS
Office 365 с тарифным планом E5
Нет данных
Пакеты экспертизы, комплексы требований по аудиту приобретаются отдельно
Вендор предлагает как
«коробочное», так и полностью кастомизируемое под конкретного заказчика исполнение
1.8. Сертификаты
Сертификаты
Сертификат соответствия ФСТЭК
России №3796 от
29.08.2017
Продукт включен в
Единый реестр российских программ для ЭВМ и баз данных
Нет
Нет
Продукт включен в Единый реестр российских программ для ЭВМ и баз данных
Сертификат соответствия
ФСТЭК России № 4194 от
19.12.2019 по НДВ4 и ТУ, можно применять для защиты в ГИС-1, АСУТП-1,
ИСПДн-1.
Продукт включен в Единый реестр российских программ для ЭВМ и баз данных
1.9. Внедрения (список заказчиков, из открытых источников)
Внедрения
Нет данных
Нет данных
ПАО «Росбанк»
АО «РСХБ», Банк ВТБ
(ПАО), ПАО «МТС-Банк»,
ОАО «РЖД», Банк ГПБ
ПАО Сбербанк,
Государственная корпорация
«Ростех», ПАО Банк «ФК

14
(АО), ФНС России, АО «СО
ЕЭС»
Открытие», АО «Гознак»,
ФГУП «ГРЧЦ», ФСО
России, ФАУ
«Главгосэкспертиза России»,
«СДМ-Банк» (ПАО), АО
«Газпром-медиа Холдинг»
1.10. Прочее
Работа в
режиме
multitenancy
Нет данных
Есть
Нет данных
Да, с поддержкой разграничения доступа и ролевой модели для MSSP
Да, с поддержкой гранулярного разграничения доступа для MSSP
Отказоустойчи
вость
Да
Да
Нет данных
Да, в режиме Active-Passive,
Active-Active
Да, аппаратное дублирование всех компонент системы, программное распределение задач для обеспечения отказоустойчивости и распределения нагрузки
Выводы по разделу №1
Решения ePlat4m и RSA демонстрируют достаточно типовой для бизнес-продуктов уровень сложности настройки, обслуживания и поддержки, если не брать в расчет разницу в стране-производителе и потенциальной стоимости решения.
Продукт ePlat4m пока не получил широкого распространения. Однако отметим наличие у него сертификата соответствия ФСТЭК России, что является бесспорным конкурентным преимуществом, а также свидетельствует о реализованных в продукте необходимых функциях безопасности. Поэтому вполне правомерно, на наш взгляд, говорить о наличии позитивных перспектив реализации данного продукта на российском рынке, особенно среди государственных структур.
Решение RSA также продается в России не особенно активно. Кроме того, оно «заточено» под интеграцию в экосистеме продуктов от RSA и имеет единичные внедрения в России.

15
Аналогичным образом, решение от Microsoft сфокусировано на работе в стеке MS Azure и является, как и прочие Azure-решения, облачным, что накладывает ограничения на список потенциальных покупателей, учитывая строгие законодательные требования.
Решение R-Vision распространяется на рынке достаточно активно. Оно базируется на ОС Linux, что, как следствие, приводит к необходимости наличия в штате заказчика специалистов с необходимыми *NIX-компетенциями (работа в командной строке, настройка системных утилит Linux). Одновременно, однажды будучи настроенным, такое решение, скорее всего, покажет продолжительный Uptime.
Продукт Security Vision пользуется спросом на российском рынке. Из рассматриваемых нами систем только он и ePlat4m сертифицированы ФСТЭК России.
Security Vision может функционировать в привычной среднему пользователю Windows-среде, что упрощает процесс настройки (например, его легко интегрировать в текущую среду Microsoft Active Directory), а также несколько снижает требования к компетенциям администрирующего эту систему сотрудника. Security Vision поддерживает Open Source инсталляции на базе ОС Linux и СУБД PostgreSQL, что снижает требования к финансовым затратам на ИТ-инфраструктуру заказчика.
В плане удобства эксплуатации и администрирования наиболее привлекательными представляются Microsoft Compliance Center, R-Vision и Security Vision.
Документация решения R-Vision выглядит основательной, также удобной показалась контекстная справка с поиском. У Microsoft Compliance Center и
Security Vision имеется документация не только на русском, но и на английском языке, а также оказывается мультиязычная техническая поддержка.
Security Vision предлагает наибольшее разнообразие типов оповещений: отправку email, СМС, Telegram-уведомлений, звуковые оповещения и всплывающие уведомления в веб-интерфейсе. У ePlat4m,
RSA Archer и R-Vision заявлена только поддержка уведомлений по email, у Microsoft Compliance Center - поддержка уведомлений по email и всплывающие уведомления в веб-интерфейсе.
В плане сертификации вполне закономерно лидируют отечественные продукты. Все три рассматриваемых нами российских системы - ePlat4m, R-Vision и
Security Vision - включены в Единый реестр российских программ для ЭВМ и баз данных. ePlat4m и Security Vision обладают сертификатами соответствия
ФСТЭК России: ePlat4m – по СВТ(5), Security Vision - по НДВ(4) и ТУ.

16
2. Сравнение функциональных возможностей
2.1. Управление информационной безопасностью
2.1.1. Инвентаризация и управление активами
Перечень
поддерживаем
ых типов
активов
Материальные и нематериальные активы:
• процессы
• информация
• системы
• сети
• оборудование
• пользователи
Материальные и нематериальные активы:
• информация
• системы
• оборудование
• ПО
• уязвимости
• пользователи
Материальные и нематериальные активы:
• информация
• системы
• оборудование
• ПО
• уязвимости
• пользователи
Два класса активов (бизнес- активы и ИТ-активы), но в рамках каждого класса можно задавать новые типы активов.
Предустановленные типы активов:
• Организация
(подразделения)
• Бизнес-процессы
• Информация
• Персонал
• Помещения
• Оборудование Сети
• ПО
• Домены
• Уязвимости
• Группы ИТ-активов
(информационные системы)
Любые типы активов. Работа с активами настраивается через универсальный функционал рабочих процессов, реализующих механизм обработки и жизненного цикла логических объектов, включая активы.
Предусмотрен графический редактор конструктора рабочих процессов.
Предустановленные типы активов:
• Бизнес-процесс
• Информационная система
• Техническое средство
• ПО
• Лицензия
• Информация
Перечень
поддерживаем
ых свойств
активов
Нет данных
Свойства активов не кастомизируются
Нет данных
Свойства активов определяются в справочниках. В справочники можно добавить свои элементы. Добавление нового справочника не поддерживается.
Предустановлены порядка 10 видов справочников (типы
Произвольные свойства активов, можно создавать пользовательские свойства.
Поддерживается связь свойств активов с элементами справочников, баз знаний. Типы свойств: временной интервал, дата/время, группа

17 активов, атрибуты безопасности, бизнес- процессы, информационные активы, типы оборудования и т.д.) сотрудников, да/нет, дробное/целое число, текст/расширенный текст (с поддержкой HTML- разметки), связанные активы, сотрудники, файл, справочник
Связи между
активами
Да
Да, связи между оборудованием, ПО, пользователями, уязвимостями
Да
Установка связей между активами типов: оборудование, группы ИТ- активов, бизнес-процессы, информация.
Установка связей («Влияет на» или «Зависит от») атрибутов безопасности
(целостность, конфиденциальность, доступность) между активами.
Есть классификатор активов с возможностью автоматической категоризации активов по применимым нормативным требованиям.
Активы связаны с модулем
«Аудиты» – в свойстве актива находится привязка к проведенным аудитам, нарушениям требований на активе и связанном оборудовании, помещении,
Предусмотрена настройка типов связи («Связаны» или
«Зависит от») между любыми типами объектов.
Взаимодействие между активами настраивается через универсальный функционал рабочих процессов, реализующих механизм обработки любых логических объектов, включая активы.
Предоставляется возможность связывать активы с любыми типами объектов в системе: документы, файлы, законодательные требования, задачи, инциденты
(функционал IRP) и т.д.
Поддерживается мониторинг изменения свойств связанных активов с выполнением автоматических действий

18 системе, а также план работ по устранению нарушений.
Активы связаны с модулем
«Управление рисками» и категорированием объекта в рамках требований по защите
КИИ.
Поддерживается быстрый переход от актива к связанному с ним оборудованию, применимым стандартам/требованиям, инцидентам (функционал
IRP) при наступлении определяемых пользователем условий
Объем
собираемой и
инвентаризиру
емой
информации
об
оборудовании
(встроенными
средствами
решения)
Нет данных
• Имя устройства
• IP-адрес
• MAC-адрес, количество сетевых интерфейсов
• Тип ОС
• Тип оборудования
• Имя домена
• Аппаратные характеристики
(ЦПУ, ОЗУ, жесткий диск)
• Установленное
ПО (версия)
• Список доменных пользователей
Нет данных
• Имя устройства
• IP-адрес
• MAC-адрес, количество сетевых интерфейсов
• Маска подсети
• Тип ОС
• Тип оборудования (в зависимости от типа установленного ПО), роль (в случае серверной ОС
Windows)
• Физическая/ виртуальная машина
• Имя домена/рабочей группы
• Аппаратные характеристики (ЦПУ,
ОЗУ, жесткий диск)
• Имя устройства
• IP-адрес
• MAC-адрес, количество сетевых интерфейсов
• Маска подсети
• Тип ОС
• Тип оборудования
• Физическая/ виртуальная машина
• Имя домена/рабочей группы
• Аппаратные характеристики
(ЦПУ, ОЗУ, жесткий диск)
• Установленное ПО
(версия, дата установки)

19
• Параметры безопасности ОС
• Уязвимости
• Установленное ПО
(версия, дата установки)
• Список локальных/доменных пользователей/ администраторов (имя пользователя, дата последнего входа) на устройстве
• Список доменных групп безопасности, включенных в локальные группы безопасности на устройстве
• Параметры безопасности ОС
(состояние антивирусного средства с указанием версии, состояние межсетевого экрана, состояние службы обновления ОС, параметры подключения USB устройств)
• Уязвимости (путем интеграции со сторонним решением vulners.com)
• Дополнительные поля для ручного ввода
(статус актива,
• Список локальных/доменных пользователей/ администраторов
• Список доменных групп безопасности, включенных в локальные группы безопасности на устройстве
• Параметры безопасности ОС
• Уязвимости
• Дополнительные поля для ручного ввода

20 ответственный, инвентарный номер и т.д.)
Функционал
встроенных
средств
инвентаризаци
и
Нет данных
Агентная инвентаризация проводится с помощью установленного на устройстве Microsoft
Defender ATP, SCCM- клиента
Нет данных
• Безагентная инвентаризация осуществляется коллектором R-Vision: сканирование заданной сети с использованием nmap с последующим удаленным входом на устройство (WMI, MS
RPC для Windows- систем; SSH/SNMP для Linux/Unix- систем, сетевого оборудования Cisco,
Juniper, HP)
• Выполнение на коллекторах системы проприетарных скриптов (типа R-
Vision) для автоматизации действий по сбору инвентаризационной информации
• Запуск локальных логон-скриптов
VBScript на устройствах, недоступных для удаленного входа, с последующей
• Безагентная инвентаризация осуществляется коннектором сбора данных Security
Vision, в котором поддерживаются следующие протоколы и механизмы: DNS,
HTTP, HTTPS, IMAP,
MS RPC, POP3,
SMTP, SNMP, SSH,
SSL, Syslog, TLS,
WindowsShell, WMI; механизмы подключения к службам каталогов
Active Directory и
СУБД Microsoft SQL,
MySQL, Oracle,
PostgreSQL; механизмы API
(REST, SOAP)
• Универсальный коннектор Security
Vision, обеспечивающий подключение практически любой системы, способной предоставить данные

21 отправкой собранных данных в POST- запросе на коллектор
• Универсальный коннектор для интеграции с произвольными базами типов MS SQL,
Oracle, PostgeSQL, импорт данных из произвольной Excel- таблицы
• Собранные данные о полномочиях пользователей на устройствах агрегируются в справочнике
«Привилегии пользователей»
• Возможность задавать пользовательские группы ПО с отнесением к ним различного ПО путем применения regex- выражений
• Поиск установленного
ПО в задаваемых пользователями каталогах
• Сканирование обнаруженных подсетей, связанных с сетевыми адаптерами в машиночитаемом виде
• Алгоритм дедупликации данных гибко настраивается в соответствии с логическими правилами (сравнение свойств событий)
• Механизм настройки правил фильтрации и группировки позволяет настраивать любую логику выборки, связывания и группирования полученных сведений о просканированных активах
• Возможность мониторинга сетевой доступности, качества связи с устройствами и состояния работоспособности активов (по протоколам ICMP,
TCP, UDP, SNMP,
Syslog) с визуализацией полученных данных на графиках
• Возможность удаленного входа на просканированное

22 проинвентаризиро- ванных устройств
• Алгоритм дедупликации активов
(учитывается уникальность MAC,
UID, наличие файла- маркера на просканированной системе) оборудование (по
RDP, SSH)
• Менеджеры коннекторов реагирования могут автоматически распределять задачи между собой для обеспечения отказоустойчивости и распределения нагрузки в процессе инвентаризации
Объем
собираемой и
инвентаризиру
емой
информации
об
оборудовании
(по данным от
подключенных
систем)
Количество данных зависит от конкретной системы-источника
• Установленное
ПО (версия, количество инсталляций, лицензий, срок действия лицензий)
• Аппаратные характеристики
• Уязвимости
Количество данных зависит от конкретной системы-источника
• Установленное ПО
(версия, количество инсталляций, лицензий, срок действия лицензий)
• Аппаратные характеристики
• Уязвимости
• Пользователи
(доменные): ФИО, имя учетной записи, должность, подразделение, данные о прохождении awareness-программ
• Состояние средств защиты информации на устройствах (статус
DLP-агентов, антивирусов, средств защиты от НСД и т.д.)
Количество данных зависит от конкретной системы- источника. Ниже представлены примеры популярных источников:
Kaspersky Security Center:
Сетевое имя, сетевой адрес, сервер антивируса, домен, время последней доступности, время последнего обновления, время последнего сканирования, группа антивируса, видимость узла, статус установки агента, статус запуска агента, статус службы защиты в режиме реального времени, платформа ОС, количество выявленного вредоносного
ПО, количество невылеченного вредоносного

23
ПО, архитектура процессора, время последней загрузки, операционная система, версия и наименование антивируса, дата обновления баз сигнатур.
MaxPatrol 8: сетевой адрес, сетевое имя операционная система, установленное программное обеспечения, версии ПО, путь установки
ПО, полная информация по всем уязвимостям.
MS SCCM: сетевой адрес, идентификаторы, домен, сетевое имя, операционная система, MAC адрес, статус активации автообновления.
Указанный выше список не является конечным: другие источники-системы передают в систему свои перечни данных