Мошак_Птицына_ Учебное пособие. Федеральное государственное бюджетное образовательное учреждение высшего образования санктпетербургский

Основными целями мониторинга и контроля защитных мер в организации являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные цели:
– контроль за реализацией положений внутренних документов по обеспечению ИБ в организации;
– выявление нештатных, в том числе злоумышленных, действий в ИС организации;
– выявление инцидентов ИБ.
Проведение мониторинга ИБ и контроля защитных мер включает
:
– контроль параметров конфигурации и настроек средств и механизмов защиты, и охватывать все реализованные и эксплуатируемые защитные меры, входящие в СИБ;
– сбор и хранение информации о действиях работников организации, событиях и параметрах, имеющих отношение к функционированию защитных мер;
– сбор и хранение информации обо всех инцидентах ИБ, выявленных в процессе мониторинга СОИБ и контроля защитных мер в базе данных инцидентов ИБ;
– регулярное проведение пересмотров процедуры мониторинга СОИБ и контроля защитных мер в связи с изменениями в составе и способах использования защитных мер, выявлением новых угроз и уязвимостей ИБ, а также инцидентов ИБ. Порядок выполнения процедур пересмотра должен быть документально определен.
Результаты мониторинга СОИБ и контроля защитных мер и Порядок выполнения процедур пересмотра должны документально фиксироваться.
В организации должны быть документально определены роли, связанные с выполнением процедур мониторинга СОИБ и контроля защитных мер, а также пересмотром указанных процедур, и назначены ответственные за выполнение указанных ролей.
5.4.1.1. Организационно–техническая схема применения ЕСМИБ
Целью применения
ЕСМИБ, является контроль состояния информационной безопасности ИС на основе интегрального оперативного анализа санкционированных и несанкционированных действий пользователей
(как легальных, так и нелегальных) для принятия решения о наличии или отсутствии в их действиях угроз для нарушения доступности, целостности или конфиденциальности информации в ИС и выдачи рекомендаций по совершенствованию защитных мер.
Изначально ЕСМИБ настраивается на генерацию предупреждений о нарушении при обнаружении несанкционированного действия хотя бы в одном из журналов штатного аудита компоненты ИС. Цель АИБ и экспертной системы ЕСМИБ – определить характер, источник и последствия выявленного нарушения при помощи анализа журналов штатного аудита компонент ИС, систем защиты информации и правил экспертной системы.
По мере накопления экспертной системой сведений о нарушениях и

пополнении базы знаний работа АИБ автоматизируется в большей степени.
Некоторые практики применения ЕСМИБ приведены на рис. 5.6. -5.8
[45,46]. На рис.5.6. приведена схема работы правила «Контроль заражения компьютера вирусом». Используются данные из регистрационных журналов
ПО «Антивирус Касперского» и системы «Контроль использования периферийных устройств» (например, Device Lock). КСИБ, возникший в результате срабатывания данного правила содержит не только информацию о факте обнаружения вредоносного кода, но и информацию об его источнике
(в том числе серийный номер носителя). Это позволяет значительно ускорить расследование по факту обнаружения вредоносного кода.
Рис.5.6. Примеры формирования коррелированных событий ИБ.
Попытка заражения АРМ «открытого» контура вирусом
На рис. 5.7. приведена схема работы правила «Контроль активности учетных записей сотрудников, находящихся в отпуске». Используются данные из регистрационного журнала системы 1С и других источников, для которых фиксируются события «регистрации пользователя в системе».
В случае, если в период отпуска, сотрудник регистрируется в какой-либо из систем (идентификатор определяется по карточке сотрудника в ЕСМИБ), то формируется КСИБ.

Рис.5.7. Примеры формирования коррелированных событий ИБ.
Контроль активности учетных записей сотрудников «открытого» контура
ИС, находящихся в отпуске
На рис.5.8. приведена схема работы правила «Контроль соответствия учетных записей Windows и 1С». КСИБ выявляет несоответствие учетных записей данного пользователя в операционной системе и 1С.
Идентификаторы пользователя в операционной системе и 1С определяются по карточке пользователя. КСИБ возникает, когда пользователь воспользовался чужой учетной записью (возможно с иными полномочиями) в ОС или 1С.
БД событий
ИБ
Подсистема идентификации
КСИБ
События ИБ

Рис.5.8.
Примеры формирования коррелированных событий ИБ.
Контроль соответствия учетных записей Windows и 1С «открытого» контура
Конкретная последовательность действий экспертов
ЕСМИБ определятся характером обнаруженного нарушения или подозрительного действия и местом его обнаружения. Приведем примерную схему контроля состояния информационной безопасности в корпоративной сети и на серверах СУБД, ОСUnix
Для корпоративной сети:
– проанализировать журналы системы, где было обнаружено нарушение на предмет определения предыдущих событий в этой системе;
– изучив запись о нарушении, попытаться установить источник нарушения (локальный или удаленный). В случае локального нарушения, например, несанкционированного изменения правил фильтрации на маршрутизаторе Cisco, связаться с администратором системы для более детального расследования;
– в случае удаленного нарушения попытаться по цепочке с помощью исследования данных аудита других компонентов корпоративной сети идентифицировать источник нарушения;
– по результатам анализа провести корректировку настроек системы, где произошло нарушение с целью недопущения дальнейших нарушений;
– провести внеочередное тестирование компонент корпоративной сети с помощью сканера безопасности и реализовать полученный рекомендации по повышению уровня защищенности.
Для серверов СУБД, ОСUnix:
– проверить журналы аудита СУБД на наличие записей «действие пользователя с несанкционированным набором полномочий»;
– проверить журналы аудита СУБД на наличие записей «действие администратора СУБД по изменению полномочий».
В случае если изменения полномочий произведены без ведома администратора СУБД
– необходимо проверить журналы системы обнаружения вторжений с целью обнаружения удаленной атаки на СУБД, а также предпринять внеочередное тестирование СУБД с помощью сканнера безопасности;
– проверить ОС Unix средствами системных и сетевых сканеров безопасности на наличие изъянов в системе защиты ОС;
– проверить журналы аудита ОС Unix для обнаружения несанкционированных действий по изменению служебной информации
ОС;
– проверить журналы аудита маршрутизаторов и межсетевых экранов с целью обнаружения попыток доступа к ресурсам центра обработки данных с использованием несанкционированных IP–адресов.
По результатам проверки по каждому из вышеуказанных пунктов АИБ могут производиться дополнительные действия по детальному выяснению причин возникновения нарушений. Также после завершения расследования необходимо произвести дополнительное обучение экспертной системы для

автоматизации обнаружения подобных нарушений в дальнейшем.
АИБ должен получать необходимые сведения, касающиеся функционирования систем от администраторов этих систем, которые, в свою очередь, обязан предоставить такие сведения и обосновать произведенные операции, отражаемые в файлах аудита.
Итогом проводимой работы по анализу данных должны явиться сводные отчеты о выявленных нарушениях и предложения по улучшению системы защиты ИС, вырабатываемые при помощи генератора отчетов системы интегрального аудита при участии администратора информационной безопасности. Кроме того, должны выпускаться аналитические обзоры по функционированию ИС для руководства организации с описанием и обоснованием предложений по усовершенствованию технологии защиты информации и применяемых средств защиты ИС.
По результатам анализа данных мониторинга и аналитической работы подразделение безопасности может вырабатывать рекомендации разработчикам компонент ИС по увеличению уровня информационной безопасности этих компонент.
Предусматривается различный уровень детализации отчетов системы интегрального аудита, предназначенных для изучения экспертами подразделения безопасности, а также руководством организации (обобщение результатов работы системы интегрального аудита). Например, для подразделения безопасности может генерироваться отчет, содержащий следующие сведения:
– подробная статистика НСД и инцидентов с описанием места, времени, указанием объекта и субъекта аудита, подробной интерпретацией события по каждому из журналов аудита;
– рекомендации необходимой дополнительной настройки штатных и внешних систем защиты и параметров аудита;
– данные о текущем состоянии обучения экспертной системы;
– выдача статистических оценок работы пользователей, гистограмм по работе системы защиты.
Для руководства организации могут генерироваться следующие отчеты:
– оценка работы администраторов и пользователей ИС, основанная на статистическом анализе журналов аудита;
– общая статистика по НСД и сбоям в ИС;
–
общая статистика по инцидентам ИБ;
– сводная оценка работы подразделений организации.
5.4.2. Самооценка информационной безопасности
Самооценка соответствия ИБ организации требованиям ПИБ и стандартов
РФ проводится в первую очередь подразделениями технической защиты информации организации.
Самооценка ИБ должна проводиться в соответствии с нормативно-методическими документами организации и/или соответствующего ведомства.

5.4.3. Аудит информационной безопасности
Должна быть документально определена и реализовываться программа аудитов ИБ организации, содержащая информацию, необходимую для планирования и организации аудитов ИБ, их контроля, анализа и совершенствования, а также обеспечения их ресурсами, необходимыми для эффективного и результативного проведения указанных аудитов ИБ в заданные сроки.
В отличие от самостоятельной оценки аудит не проводится тем же персоналом, который участвует в процессах планирования, внедрения и эксплуатации СОИБ. Это необходимо для обеспечения разделения ответственностей. Аудит может проводиться отделом внутреннего аудита организации. Аудит информационной безопасности включает:
–
проверку соответствия политике безопасности и реализация Планов по безопасности;
–
проведение аудита безопасности ИТ–систем;
–
определение и принятие мер несоответствующего использования ИТ–
ресурсов;
–
проверку аспектов безопасности в других видах ИТ–аудита.
Внешний аудит (проводится внешними аудиторами) необходим для определения независимой внешней оценки эффективности СОИБ.
Проведение внешнего аудита также требуют заказчики и третьи стороны.
5.4.4. Анализ функционирования СОИБ
Анализ функционирования СОИБ базируется в том числе на:
– результатах мониторинга СОИБ и контроля защитных мер;
– сведениях об инцидентах ИБ;
– результатах проведения аудитов ИБ и самооценок ИБ;
– данных об угрозах, возможных нарушителях и уязвимостях ИБ;
– данных об изменениях внутри организации, например, данные об изменениях в процессах и технологиях, реализуемых в рамках основного процессного потока, изменениях во внутренних документах организации;
– данных об изменениях вне организации, например, данные об изменениях в законодательстве РФ, изменениях в договорных обязательствах организации.
Анализ функционирования СОИБ должен охватывать следующие функциональные области:
– периодический, а по возможности, динамический контроль защищенности, обеспечивающий своевременное выявление появившихся уязвимостей, которые могут быть использованы для нанесения атак;
– обнаружение атак в режиме реального времени, позволяющее своевременно определить и локализовать попытки выполнения несанкционированных действий и выявить факты несанкционированного воздействия на компьютерные ресурсы;
– централизованное и упреждающее управление, позволяющее на основе автоматизированной поддержки принятия решений, а также эффективного

контроля над пользователями и ресурсами сети снизить количество ошибок администрирования и предпринять превентивные меры, не допускающие развития событий по наихудшему сценарию.
Контроль защищенности предполагает периодическое, а в некоторых случаях – динамическое, выполнение следующих базовых функций:
– проверку системы защиты на соответствие новым руководящим и нормативным документам в области информационно–компьютерной безопасности;
– контроль правил корректного использования средств защиты в зависимости от их состава и назначения;
– контроль целостности и подлинности компонентов системы защиты;
– контроль корректности модификации параметров конфигурирования системы защиты;
– динамическая регистрация данных о функционировании системы защиты, их анализ и уведомление ответственных лиц при нарушении правильности работы защитных средств;
– тестирование подсистем защиты на правильность реагирования при моделировании процесса реализации возможных атак;
– контроль работоспособности подсистем защиты при моделировании нарушений работоспособности отдельных элементов компьютерной сети;
– проверка на отсутствие ошибок администрирования и конфигурирования;
– анализ политики формирования и использования эталонной информации
(ключей, паролей и др.);
– проверка на наличие своевременных обновлений программных средств;
– проверка на отсутствие программных закладок и вирусов.
Таким образом, контроль защищенности предполагает исследование проверяемых объектов для выявления в них «слабых мест» и обобщение полученных сведений, в том числе в виде отчета.
Проверка системы защиты на соответствие новым руководящим и нормативным документам в области ИБ ИС позволяет своевременно выявить недостатки в системе защиты на основе анализа передового опыта по систематизации предъявляемых к таким системам требований.
Контроль правил корректного использования средств защиты в зависимости от их состава и назначения состоит в периодическом контроле и пересмотре политики безопасности на ее административном и процедурном уровнях. При изменении структуры, технологических схем или условий функционирования компьютерной системы, как концепция защиты, так и детальные процедурные меры могут меняться, в особенности, конкретные инструкции по информационно–компьютерной безопасности, относящиеся к администраторам и пользователям компьютерной системы.
Контроль целостности и подлинности компонентов системы защиты предполагает периодическое или динамическое выполнение следующих действий:

– контроль наличия требуемых резидентных компонентов системы защиты в оперативной памяти компьютера;
– контроль всех программ системы защиты, находящихся во внешней и оперативной памяти, на соответствие эталонным характеристикам;
– контроль корректности параметров настройки системы защиты, располагаемых как в оперативной, так и во внешней памяти;
– контроль корректности эталонной информации (идентификаторов, паролей, ключей шифрования и т.д.).
При контроле корректности модификации параметров конфигурирования системы защиты подсистема контроля не должна допустить установку параметров, противоречащих политике безопасности, принятой в организации.
Регистрация данных о функционировании системы защиты предполагает фиксацию и накопление информации о следующих действиях:
– действиях всех подсистем защиты;
– действиях всех администраторов и пользователей других категорий по использованию защитных средств.
Кроме регистрации данных о функционировании системы защиты должен быть обеспечен и периодический анализ накопленной информации. Основной задачей такого анализа является своевременное определение недопустимых действий, а также прогнозирование степени безопасности информации и процесса ее обработки в вычислительной системе.
Для возможности и результативности периодического анализа предварительно должны быть подготовлены правила, описывающие политику работы системы защиты по одному из принципов:
– в работе системы защиты допустимо все, что не запрещено;
– в работе системы защиты запрещено все, что явно недопустимо.
Более высокий уровень контроля и безопасности обеспечивает второй принцип, так как на практике не всегда удается полностью учесть все действия, которые запрещены. Надежнее определить все действия, которые разрешены, и запретить все остальные.
При обнаружении подсистемой контроля любых нарушений в правильности функционирования подсистемы защиты должно быть выполнено немедленное уведомление соответствующих представителей службы безопасности.
Тестирование подсистем защиты на правильность реагирования при моделировании процесса реализации возможных атак выполняется с помощью специализированных средств анализа защищенности, которые, как правило, обеспечивают выполнение и оставшихся функций контроля защищенности.
Результаты анализа функционирования
СОИБ должны документироваться.
В организации должны быть документально определены роли, связанные с процедурами анализа функционирования СОИБ, и назначены ответственные за выполнение указанных ролей.

В организации должен быть определен и утвержден руководством план
выполнения деятельности по контролю и анализу СОИБ. В частности, указанный план должен содержать положения по проведению совещаний на уровне руководства, на которых в том числе производятся поиск и анализ проблем ИБ, влияющих на бизнес организации.
5.4.5. Обеспечение проведения анализа СОИБ со стороны руководства
организации
В организации должен быть утвержден перечень документов необходимых для проведения анализа СОИБ и предоставляемых руководству,
В частности, в указанный перечень документов должны входить:
– отчеты с результатами мониторинга СОИБ и контроля защитных мер;
– отчеты с результатами анализа функционирования СОИБ с учетом выявленных уязвимостях и угрозах ИБ, а также выявленных инцидентах
ИБ и др.