Проведение испытаний систем сбора и обработки данных событий информационной безопасности

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Проведение испытаний систем сбора и обработки данных событий информационной безопасности

программный данные информационная безопасность

О.Ю. Кондрахин, М.Л. Радюкевич, Д.И. Жукова

Научно-исследовательский институт

технической защиты информации

г. Минск, Республика Беларусь

11 апреля 2017 года утвержден и введен в действие постановлением Госстандарта Республики Беларусь № 29 СТБ 34.101.74-2017 «Информационные технологии. Системы сбора и обработки данных событий информационной безопасности. Общие требования» (далее - Стандарт), который в соответствии с приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 17 декабря 2013 г. № 94 «О перечне технических нормативных правовых актов, взаимосвязанных с техническим регламентом ТР 2013/027/BY» в редакции приказа Оперативно-аналитического центра при Президенте Республики Беларусь от 11.10.2017 № 64 устанавливает требования к системам сбора и обработки данных событий информационной безопасности выпускаемым в обращение на рынке Республики Беларусь.

ССОДС ИБ предназначены как для сбора данных о событиях информационной безопасности от других средств защиты информации (СЗИ) информационной сети (Security Event Management, SEM), так и для анализа поступающей информации на основании правил корреляции, встроенных по умолчанию, или формируемых пользователем (Security Information Management, SIM).

В стандарте устанавливаются два типа систем сбора и обработки данных событий информационной безопасности (ССОДС ИБ).

- тип 1 - системы, собирающие и обрабатывающие информацию в режиме реального времени. Сбор и обработка информации о сетевом трафике осуществляется с портов активного сетевого оборудования или TAP-устройств. В системах типа 1 осуществляется автоматизированный мониторинг и сбор событий, их обработка, анализ и генерация предупреждающих сообщений;

- тип 2 - системы, собирающие и обрабатывающие информацию о произошедших в информационных системах событиях, сохраненных в журналах событий этих систем. В качестве источников событий выступает активное сетевое оборудование, серверы, операционные системы, приложения, облачные среды и др. Системы типа 2 обеспечивают долговременное хранение данных и анализируют накопленную информацию с последующим предоставлением статистики, отчетов и сведений об отклонениях от заданных правил.

ССОДС ИБ может соответствовать требованиям для обоих типов систем, то есть функционировать как в режиме реального времени, так и обрабатывать информацию, хранящуюся в журналах аудита программных и (или) программно-аппаратных средств защиты информации.

В общем случае ССОДС ИБ должны состоять из следующих подсистем:

- администрирования;

- сбора и фильтрации;

- нормализации и выявления событий безопасности;

- аудита безопасности;

- обеспечения безопасного функционирования;

- восстановления после сбоев и отказов.

Требования предъявляемые к подсистеме администрирования ССОДС ИБ одинаковы для обоих типов, поскольку являются универсальными для всех СЗИ:

- разграничение доступа на основании ролей пользователей;

- идентификация пользователей до любых действий;

- аутентификация пользователей до любых действий;

- предоставление права на создание, изменение, удаление настроек конфигурации и функций безопасности в соответствии с ролями пользователей;

- синхронизация времени.

Перечень требований, предъявляемых к подсистеме сбора и фильтрации приведен ниже:

- сбор событий и данных от неспециализированного программного обеспечения и программно-аппаратного средства;

- сбор событий и данных от специализированного программного обеспечения и программно-аппаратного средства;

- перехват сетевого трафика;

- запись сетевого трафика, связанного с событием безопасности;

- фильтрация событий и данных в соответствии с правилами, установленными уполномоченным пользователем.

На первом этапе функционирования ССОДС ИБ выполняет сбор и фильтрацию данных от всех источников событий. Подобными источниками событий могут выступать межсетевые экраны, роутеры, системы обнаружения/предотвращения вторжений (Intrusion Detection/Prevention system, IDS/IPS), системы предотвращения утечек информации (Data Loss Prevention, DLP), антивирусы, сканеры уязвимостей системы контроля доступа, аутентификации, операционные системы и т.д. Информация может поступать как от источника непосредственно, так и с использованием специализированного программного обеспечения и программно-аппаратного средств - агентов и датчиков сети.

Поступление данных от неспециализированного программного обеспечения может быть реализовано различными способами: c использованием стандарта syslog, по протоколам NetBIOS, RPC, TFTP, FTP. Помимо того, что полученные от различных источников данные могут иметь различный формат, что усложняет их последующую обработку, хранение информации может потребовать существенного объема дискового пространства. Предварительная обработка данных, проводимая ССОДС ИБ для приведения выявленных событий в заданный вид в соответствии с определенными правилами называется нормализацией.

Подсистема нормализации и выявления событий безопасности ССОДС ИБ должна выполнять следующие функции:

- нормализация полученных данных. В соответствии с требованиями Стандарта данные, полученные от разных устройств, должны быть приведены к единому формату, содержащему следующие параметры: дата, время, сведения об источнике данных, уникальный идентификатор данных, сведения о контролируемых показателях сети (например, MAC-адрес, порт, URL-адрес);

- агрегация событий и данных (выполнение группировки в соответствии с определенными правилами, чтобы объединить события одного типа);

- выявление событий безопасности на основе правил корреляции, описанных в поставляемой документации;

- выявление событий безопасности на основе правил корреляции, определенных пользователем

- категорирование выявленных событий безопасности;

- изменение категорий выявленных событий безопасности;

- анализ данных (трафика) до уровня приложений модели взаимодействия открытых систем (OSI);

- обработка записей о событиях безопасности в соответствии с правилами, установленными уполномоченным пользователем

Применяя встроенные правила, представляющие собой некоторый перечень из условий срабатывания и сценариев действий, и правила, формируемые пользователем из доступного инструментария, представленного разработчиком ССОДС ИБ способны выявлять сетевые и вирусные атаки на информационную сеть, попытки несанкционированного доступа к защищаемым ресурсам информационных систем, ошибки конфигурации активного сетевого оборудования.

Аудит выявленных событий безопасности обеспечивает подсистема аудита безопасности, осуществляющая регистрацию событий в журнале аудита, оповещение о событиях в соответствии с функциями безопасности и генерацию отчетов.

Дополнительные требования предъявляются к подсистеме обеспечения безопасного функционирования, обеспечивающей контроль целостности программных ССОДС ИБ, наличию программной и (или) эксплуатационной документации и подсистеме восстановления после сбоев и отказов.

Контроль целостности допускается проводить средствами стороннего программного обеспечения, имеющего сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь.

Программная и (или) эксплуатационная документация, входящая в комплект поставки ССОДС ИБ должна быть представлена на одном из государственных языков Республики Беларусь. В поставляемой документации должны быть отражены особенности и ограничения функционирования программных ССОДС ИБ в конкретной операционной системе, если не используется специализированное программно-аппаратное решение.

Размещено на Allbest.ru