Мошак_Птицына_ Учебное пособие. Федеральное государственное бюджетное образовательное учреждение высшего образования санктпетербургский

Рис.5.5. Реализация второго уровня мониторинга ИБ в ЕСМИБ организации
Основой второго уровня является подсистема анализа и формирования
событий ИБ, предназначенная для автоматизированного анализа первичных событий мониторинга (входных данных) из журналов подконтрольных объектов ИС и формирования событий ИБ по заданным правилам с целью оценки степени их влияния на ИБ организации.
В зависимости от способа постановки используются два разных режима решения задачи: отложенный (для решения задач из перечня предопределенных) и оперативный (для решения сформулированных задач).
Отложенный режим решения предполагает применение соответствующего задаче метода статистического анализа или метода
выявления закономерностей на массиве данных мониторинга ИБ, ограниченного заданными параметрами.
Структура процесса отложенного интегрального анализа приведена на рис. 5.6. Отложенный интегральный анализ реализуется над массивом исходных данных, образующимся в результате постановки задачи
(статистической или выявления закономерностей), задания общих и специфичных для задачи набором параметров. По результатам решения поставленной задачи формируется заключение.

Единое хранилище
Определение специфичных параметров задачи
Выбор типов объектов АС
Задание временных интервалов
Массивы данных для анализа
ВД 1
Задачи интегрального анализа
Статистические методы
Р
ез ул ьт ат ы
ан ал и
за
ВД N
Методы выявления закономерностей
Данные
Выбор типов операций
Формирование заключения
Отложенный интегральный анализ
Рис. 5.6. Структура модуля отложенного интегрального анализа
Оперативный режим решения предполагает применение сигнатурного
анализа упорядоченной, ограниченной параметрами последовательности операций, выполняемых в процессе функционирования ИС.
Общая схема сигнатурного анализа данных мониторинга второго уровня представлена на рис.5.7. Основные принципы функционирования подсистемы анализа:
– входными данными являются события мониторинга в унифицированном формате, сформированные подсистемой сбора;
– формирование событий ИБ осуществляется в соответствии с перечнем правил, описывающих штатную и нештатную работу пользователей и ПО объектов мониторинга;
– правила создаются в процессе настройки системы на основе общих положений документов ИБ регуляторов, политик по информационной безопасности для общесистемных продуктов и на основе опыта эксплуатации систем мониторинга ИБ в организации;
– результатом автоматизированного анализа событий мониторинга ИБ являются события ИБ. Объем событий ИБ существенно меньше объема событий мониторинга;
– автоматизированный анализ выполняется по мере поступления входных данных в режиме, максимально приближенном к режиму реального времени;
– события ИБ при формировании получают качественную оценку, используемую в отчетах о событиях ИБ по результатам расследований и при идентификации КСИБ на третьем уровне мониторинга ИБ.

Сигнатурный анализ
Подконтрольная АС
Факты, интересные с точки зрения обеспечения ИБ
Информационные объекты
Пользователи
Последовательности событий, соответствующие фактам
Атрибуты событий, соответствующие фактам
Выявленные факты
Факты на подконтрольной АС
Отражение фактов в данных мониторинга
Съем и перенос данных мониторинга
Обработка данных мониторинга
Потребители результатов мониторинга
Рис. 5.7. Общая схема сигнатурного анализа
Перечень типов событий ИБ может насчитывать несколько сотен.
Возможности ЕСМИБ по формированию событий ИБ в первую очередь определяются составом событий мониторинга, формируемых объектами наблюдения. От качества формирования событий мониторинга напрямую зависят и качество анализа и формирования событий ИБ. Примеры событий
ИБ подсистемы анализа и формирования событий ИБ, являющиеся результатом работы второго уровня ЕСМИБ ТУ
– Вход/выход пользователя в систему/приложение.
– Запуск/завершение процессов.
– Работа с файлами (на локальных, сетевых и съемных носителях).
– Работа с объектами БД.
– Работа с информационными объектами в приложениях.
– Подключение/отключение периферийных устройств.
– Добавление/удаление СМН (компакт-диски, флэш-диски и др.).
– Отправление/прием почтовых сообщений и файлов.
– Работа по протоколам FTP и HTTP.
– Печать документов.
– Модификация информации реестра ОС Windows.
Подсистема хранения событий ИБ предназначена для хранения результатов работы подсистемы анализа в базе данных (БД) событий ИБ.
Подсистема информирования о событиях ИБ предназначена для оперативного (в режиме, приближенном к реальному времени) графического представления информации о событиях ИБ персоналу СОИБ.
Подсистема
расследования событий
ИБ предназначена для автоматизации деятельности персонала в части проведения отложенного анализа и генерации отчетов о событиях ИБ, содержащихся в подсистеме хранения.
Основными задачами третьего уровня ЕСМИБ (рис.5.8) являются
идентификация и обработка коррелированных событий ИБ (КСИБ) .

Третий уровень мониторинга ИБ
П/с хранения и резервирования КСИБ
БД событий ИБ
П
/с и
д ен ти ф
и ка ц
и и
К
С
И
Б
П
/с о
б ра б
от ки
К
С
И
Б
КСИБ
Данные о сотрудниках ТУ
БД обработки
КСИБ
О
тч ет п
о ре зу л
ьт ат ам ан ал и
за с
об ы
ти й
И
Б
Н
ас тр ой ки
Е
С
М
И
Б
Т
У
О
тч ет п
о ре зу л
ьт ат ам об ра б
от ки
К
С
И
Б
БД идентификации
КСИБ
П/с подготовки отчетов по КСИБ
Данные о сотрудниках ТУ
АС ВХД
Данные об УЗ сотрудников ТУ
Данные об УЗ сотрудников ТУ
События ИБ
П/с централизованного обновления базы требований документов Банка России по ИБ
Д
ан ны е
Н
С
М
И
и оп и
са ни е
К
С
И
Б
П
/с и
м по рт а и
сх од ны х д
ан ны х
`
КСИБ
Рис. 5 .8.
Реализация второго третьего уровня мониторинга ИБ в ЕСМИБ организации
КСИБ – это инцидент ИБ, выявленный в результате сигнатурного
анализа события ИБ или последовательности событий ИБ. ЕСМИБ обеспечивает выявление КСИБ в результате автоматизированного анализа событий ИБ на наличие признаков неправомерных или подозрительных действий и/или операций, нарушающих требования нормативных документов ИБ организации и модели нарушителя. Анализ событий ИБ проводится как независимо для каждого объекта мониторинга, так и с учетом взаимных связей (корреляций) событий ИБ, зафиксированных для нескольких объектов мониторинга в составе ИС. При этом выявленный
(идентифицированный) КСИБ характеризует реализацию угроз нарушения свойств ИБ задействованных информационных активов.

Подсистема идентификации коррелированных событий ИБ (рис. 5.9) предназначена для выявления КСИБ на основе правил анализа событий ИБ от разнотипных источников ИС с указанием нарушений требований нормативных документов организации по ИБ, а также передачи коррелированных событий ИБ в подсистему обработки. Подсистема идентификации должна включать в свой состав средства для создания, редактирования, проверки и графического представления правил анализа событий ИБ (сценариев).
БД событий ИБ
Подсистема идентификации КСИБ
Модуль передачи в п/с обработки КСИБ
КСИБ
Описания событий ИБ
БД идентификации
КСИБ
М
од ул ь уп ра вл ен ия п
ра ви ла м
и ан ал из а со бы ти й
И
Б
Правила анализа событий ИБ. Описания КСИБ
Подсистема импорта исходных данных
Данные о сотрудниках ТУ
Данные об УЗ сотрудников ТУ
Подсистема централизованного обновления базы требований документов Банка
России по ИБ
Данные НСМИ и описание КСИБ
БД обработки КСИБ
КСИБ
Рис. 5.9. Реализация третьего уровня мониторинга. Подсистема идентификации коррелированных событий ИБ
Основные принципы функционирования подсистемы идентификации:
– входными данными являются события ИБ, сформированные
подсистемой анализа и формирования событий ИБ второго уровня;
– формирование (идентификация) КСИБ осуществляется в результате взаимоувязанного анализа событий ИБ от разных объектов мониторинга в соответствии с набором правил анализа, сформированных с учетом требований документов ИБ организации;
– идентификация может выполняться как по мере поступления входных данных в режиме, максимально приближенном к режиму реального времени, так и в отложенном режиме, по запросам персонала;
– каждое идентифицированное КСИБ содержит ссылку на нарушение конкретных требований нормативных документов ИБ организации и передается в подсистему обработки.
Интегральный анализ предполагает проведение совместной обработки разнородных данных мониторинга ИБ, полученных от различных ОС, СУБД и технических средств, функционирующих в составе ИС. На (рис. 5.10) показано изменение объема данных в процессе выполнения отдельных этапов интегрального анализа, обусловленное введением концепции конкретизации и дальнейшего уточнения целей анализа.

Формирование информационных массивов для целей анализа
Постановка задачи анализа
Определение параметров задачи
Решение задачи
Переход к очередному этапу анализа
Данные мониторинга ИБ
Заполнение ХД
Выдвижение версии
Процесс
Х
Составной процесс
Ограничение набора анализируемых данных
Направление изменения объема анализируемых данных
...
Рис.5.10. Изменение объема анализируемых данных в процессе интегрального анализа
Параметры задач однозначно определяются природой анализируемых данных. К числу источников данных значимых для целей интегрального анализа ИБ относятся:
– материалы по фактам обнаружения признаков нарушений, имеющих место в процессе использования разнородных критических ресурсов организации;
– сообщения лиц, имеющих прямой доступ к информации, относящейся к фактам нарушений;
– материалы ведущихся расследований;
– результаты анализа инцидентов по материалам завершенных расследований;
– открытые источники: анализ и обобщение информации, уже собранной правительственными и иными учреждениями, в том числе опубликованной в общедоступных документах;
– соответствующие положения нормативно-методических документов организации, описывающие порядок проведения интегрального анализа.
Общая схема выполнения методики интегрального анализа приведена на рис.5.11.

Интегральный анализ
Постановка задачи анализа
Определение параметров задачи
Решение задачи
Формирование заключения
– материалы по фактам обнаружения признаков нарушений;
– сообщения лиц, имеющих прямой доступ к информации, относящейся к фактам нарушений;
– материалы ведущихся расследований;
– результаты анализа инцидентов;
– открытые источники;
– положения НМД.
Инициация
Переход к очередному процессу
Новое знание об
АС
Предоставление исходных данных для целей анализа
Х
Процесс, выполняемый персоналом службы безопасности
Результирующий процесс
Х
Факторы интегрального анализа
Х
Данные
Х
Автоматизированный процесс
Выдвижение предположения о характере злоумышленной деятельности
(
постановка цели анализа)
Проверка предположения завершена?
Цель анализа достигнута?
Формирование отчета
НЕТ
ДА
ДА
НЕТ
Х
Условие перехода к очередному процессу
Формирование информационных
массивов для целей анализа
Сбор данных средствами существующих систем мониторинга ИБ
Преобразование и загрузка данных
Представление данных в виде информационного массива для целей анализа
Х
Рис.5.11. Общая схема выполнения методики интегрального анализа
Формирование информационных массивов для целей анализа (рис. 5.11) в общем случае является автоматизированным непрерывным процессом, выполнение которого поддерживается системой мониторинга ИБ.
Укажем основные особенности подсистемы идентификации и
коррелированного анализа ЕСМИБ
– возможность одновременного анализа событий от нескольких разнородных источников (анализ событий ИБ проводится как независимо для каждого объекта мониторинга, так и с учетом корреляций событий ИБ: взаимных связей по пользователям, ресурсам, времени и пр. информационным параметрам событий ИБ);
– выявление незавершенных последовательностей;
– выявление циклических появлений событий в последовательности;
– использование при анализе возможности объединения нескольких учетных записей в одну карточку пользователя;
– возможность использования нескольких описаний последовательностей в контексте одного правила;
– декларативное описание правила анализа без использования элементов программирования;
– возможность ручной и автоматической регистрации КСИБ в подсистеме обработки;
– возможность регистрации КСИБ в любом узле описания последовательности.

Ввод исходных данных в подсистему импорта исходных данных происходит с целью использования в процессе взаимоувязанного анализа событий ИБ данных о сотрудниках организации и данных об их учетных записях.
Подсистема обработки КСИБ (рис. 5.12) должна обеспечивать реализацию функций регистрации, информирования, классификации по заданным критериям, и фиксирования мер по устранению последствий КСИБ в соответствии с ролевыми функциями персонала СОИБ.
Подсистема обработки
коррелированных событий ИБ
БД
зарегистрированных
КСИБ
Обработка инцидентов в
Банке России
Руководство
ТУ Банка России
Сообщения об инцидентах ИБ
Модуль
регистрации КСИБ
Модуль
оповещения
Модуль
обработки
Модуль анализа и
подготовки отчетов
Ответственные за обработку КСИБ
Отчеты
Boy 1
Boy 1
·
Архивные данные
·
Система ключевых показателей ИБ
Подсистема идентификации
коррелированных событий ИБ
Аналитик
Рис.5.12.
Третий уровень мониторинга.
Подсистема обработки коррелированных событий ИБ в ЕСМИБ
Подсистема обработки КСИБ функционирует в соответствии со следующими принципами:
– входными данными являются КСИБ, сформированные подсистемой идентификации, либо зарегистрированные Регистратором посредством ввода информации в специализированную форму;
– подсистема обработки КСИБ обеспечивает последовательность обработки в соответствии с назначенными ролями персонала (Регистратор,
Ответственный, Руководитель и др.). В зависимости от назначенной роли, персоналу доступны различные функции по обработке коррелированных событий ИБ. Например, разрешение (закрытие) коррелированного события
ИБ может выполнить только пользователь с ролью «Ответственный» и т. д.;
– использование Web-технологий позволяет подключать новых ответственных лиц без установки дополнительного программного

обеспечения на их рабочие места. Доступ осуществляется по http-протоколу из Интернет-браузера, что предоставляет возможность работы с системой, не привязываясь к определенному рабочему месту.
Общая схема обработки коррелированных событий ИБ в ЕСМИБ приведена на рис.5.13.
Рис.5.12. Общая схема обработки коррелированных событий ИБ в ЕСМИБ
В оперативном режиме выполняется анализ событий ИБ из нескольких источников одновременно без переписывания данных в промежуточное хранилище, с сохранением специфики и уникальности информации об источниках данных.
Подсистема хранения и резервирования коррелированных событий ИБ должна обеспечивать реализацию функций по ведению оперативного архива
(например, в течение 30 дней) и долговременного архива (перенос данных, с освобождением дискового пространства, на отчуждаемые носители), загрузки данных из долговременных архивов.
Подсистема подготовки отчетов по коррелированным событиям ИБ должна обеспечивать реализацию функции автоматизированной подготовки отчетов по коррелированным событиям ИБ с учетом задаваемых параметров
(временной интервал, оценка коррелированного события ИБ, его тип и т. п.), выводу на печать и экспорту в файл отчетов.
Структурная схема применения ЕСМИБ приведена на рис.5.14.

Рис.5.14. Структурная схема применения ЕСМИБ
5.3.4.
Внедрение системы «Анализ функционирования СОИБ»
Для реализации система «Анализ функционирования СОИБ»должны быть внедрены следующие подсистемы:
– подсистема анализа соответствия комплекса внутренних документов, регламентирующих деятельность по обеспечению ИБ в организации, требованиям законодательства Российской Федерации;
– подсистема анализа соответствия внутренних документов, требованиям Политик ИБ организации;
– подсистема оценки адекватности модели угроз организации существующим угрозам ИБ;
– подсистема оценки рисков в области ИБ организации, включая оценку уровня остаточного и допустимого риска;
– подсистема проверки адекватности используемых защитных мер требованиям внутренних документов организации и результатам оценки рисков;
– подсистема анализа отсутствия разрывов в технологических процессах обеспечения ИБ, а также несогласованности в использовании защитных мер.
5.3.5. Внедрение системы «Обеспечение непрерывности бизнеса»
С
истема «
Обеспечение непрерывности бизнеса
»должна включать в себя следующие подсистемы
:
– подсистема реагирования на инцидент и восстановления непрерывности бизнеса;

– подсистема оценки результатов реагирования и оценки ущерба от инцидентов ИБ;
– подсистема активизации плана непрерывности бизнеса;
– подсистема тестирования и проверки плана обеспечения непрерывности бизнеса;
– подсистема учета обучения и повышения осведомленности работников организации;
– подсистема учета обязанностей работников по выполнению плана непрерывности бизнеса.
5.3.6.
Документированные процедуры СУИБ для ввода в эксплуатацию
Документированные процедуры являются обязательным элементом
эксплуатации СУИБ организации. Следовательно, в рамках системы управления необходимо разработать базу нормативных документов, описывающих все процедуры в области ИБ.
Основными документами по управлению ИБ являются Политика
управления информационной безопасностью и Политика информационной
безопасности (Политика). Политика управления ИБ описывает общий подход к управлению ИБ. Кроме этого, разрабатываются методики и инструкции, описывающие процедуры обеспечения ИБ и управления ею. В качестве примеров можно привести следующие методики:
– Методика инвентаризации активов;
– Методика категорирования активов;
– Методика оценки информационных рисков;
– Методика обработки информационных рисков.
Инструкции следует разработать для каждой процедуры обеспечения информационной безопасности. Примерный перечень может содержать следующие инструкции:
– Инструкция по обеспечению сохранности конфиденциальной информации (соглашение о конфиденциальности);
– Инструкция пользователя по обеспечению информационной безопасности;
–
Инструкция системного администратора по обеспечению информационной безопасности;
– Инструкция администратора безопасности;
– Инструкция по управлению доступом пользователей к информационной системе;
– Инструкция по защите от вредоносного программного обеспечения;
– Инструкция по выполнению резервного копирования;
– Инструкция по обращению со съемными носителями информации;
– Инструкция по использованию мобильных компьютеров;
– Инструкция по использованию средств криптографической защиты информации;
– Инструкция по внесению изменений в информационную систему;

–
Инструкция по управлению инцидентами информационной безопасности;
– План непрерывности ведения бизнеса;
– Регламент обеспечения физической безопасности и др.
Как правило, на этапе «ВНЕДРЕНИЕ» СУИБ разрабатывают также
«План внедрения системы управления», в котором описывают четкую последовательность действий при внедрении процедур, методы контроля и осуществления проверок выполнения процедуры.
Модель
СУИБ формализуется в едином комплексе нормативных документов. В этот комплекс входят следующие основные документы:
– Концепция обеспечения ИБ;
– Политика информационной безопасности;
– Положение об информационной безопасности организации;
– План обеспечения непрерывной работы и восстановления работоспособности информационной системы в кризисных ситуациях;
– Правила работы с защищаемой информацией;
– Журнал учета нештатных ситуаций;
– План защиты информационных систем организации;
– Положение о правах доступа к информации;
– Инструкция по внесению изменений в списки пользователей и наделению пользователей полномочиями доступа к информационным ресурсам организации;
– Инструкция по внесению изменений в состав и конфигурацию технических и программных средств информационных систем;
– Инструкция по работе сотрудников в сети Интернет;
– Инструкция по организации парольной защиты;
– Инструкция по организации антивирусной защиты;
– Инструкция пользователю информационных систем по соблюдению режима информационной безопасности;
– Инструкция администратора безопасности сети;
–
Аналитический отчет о проведенной проверке системы информационной безопасности;
– Требования к процессу разработки программного продукта;
– Положение о распределении прав доступа пользователей информационных систем;
– Положение по учету, хранению и использованию носителей ключевой информации;
–
План обеспечения непрерывности работы организации
(непрерывности ведения бизнеса);
– Положение по резервному копированию информации;
– Методика проведения полного анализа и управления рисками, связанными с нарушениями информационной безопасности.
Датой ввода СУИБ в эксплуатацию является дата утверждения высшим руководством организации Положения о применимости средств управления.

Данный документ является публичным и декларирует цели и средства, выбранные организацией для управления рисками.
СУИБ организации можно считать внедренной и эффективно функционирующей на практике тогда, когда все ее процедуры хотя бы один раз пройдут этапы модели РDСА, когда будут найдены и решены проблемы, возникающие при внедрении процедур.
Обеспечение ИБ и управление ею – достаточно трудоемкие процессы.
Однако если к ним подойти комплексно и своевременно, а также выполнять все рекомендации международных стандартов в области управления ИБ –
ISO/IЕС 27001:2005 и ISO/IЕС 17799:2005, они станут прозрачными, а защита от угроз безопасности эффективной.
5.3.7. Подготовка СУИБ к сертификационному аудиту
На данном этапе организации рекомендуется пройти предварительный аудит, который поможет оценить готовность к сертификационному аудиту.
Предварительный аудит обычно проводится тем же органом по сертификации, в котором предполагается прохождение сертификационного аудита. По результатам предварительного аудита орган по сертификации составляет отчет, в нем отмечаются все положительные стороны созданной
СУИБ, выявленные несоответствия и рекомендации по их устранению.
Для проведения сертификационного аудита рекомендуется, чтобы СУИБ организации функционировала от трех до шести месяцев. Это минимальный период, необходимый для первичного выполнения внутренних аудитов и анализа СУИБ со стороны руководства, а также для формирования записей по результатам выполнения всех процедур СУИБ, которые анализируются в ходе сертификационного аудита.
Результатом данного этапа является СУИБ организации, подготовленная к прохождению сертификационного аудита.