Проведение испытаний систем сбора и обработки данных событий информационной безопасности
Особенности и ограничения функционирования программных систем сбора и обработки данных событий информационной безопасности в конкретной операционной системе. Использование специализированных программно-аппаратных решений информационной безопасности.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | русский |
Дата добавления | 03.05.2019 |
Размер файла | 15,6 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Размещено на http://www.allbest.ru/
Проведение испытаний систем сбора и обработки данных событий информационной безопасности
программный данные информационная безопасность
О.Ю. Кондрахин, М.Л. Радюкевич, Д.И. Жукова
Научно-исследовательский институт
технической защиты информации
г. Минск, Республика Беларусь
11 апреля 2017 года утвержден и введен в действие постановлением Госстандарта Республики Беларусь № 29 СТБ 34.101.74-2017 «Информационные технологии. Системы сбора и обработки данных событий информационной безопасности. Общие требования» (далее - Стандарт), который в соответствии с приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 17 декабря 2013 г. № 94 «О перечне технических нормативных правовых актов, взаимосвязанных с техническим регламентом ТР 2013/027/BY» в редакции приказа Оперативно-аналитического центра при Президенте Республики Беларусь от 11.10.2017 № 64 устанавливает требования к системам сбора и обработки данных событий информационной безопасности выпускаемым в обращение на рынке Республики Беларусь.
ССОДС ИБ предназначены как для сбора данных о событиях информационной безопасности от других средств защиты информации (СЗИ) информационной сети (Security Event Management, SEM), так и для анализа поступающей информации на основании правил корреляции, встроенных по умолчанию, или формируемых пользователем (Security Information Management, SIM).
В стандарте устанавливаются два типа систем сбора и обработки данных событий информационной безопасности (ССОДС ИБ).
- тип 1 - системы, собирающие и обрабатывающие информацию в режиме реального времени. Сбор и обработка информации о сетевом трафике осуществляется с портов активного сетевого оборудования или TAP-устройств. В системах типа 1 осуществляется автоматизированный мониторинг и сбор событий, их обработка, анализ и генерация предупреждающих сообщений;
- тип 2 - системы, собирающие и обрабатывающие информацию о произошедших в информационных системах событиях, сохраненных в журналах событий этих систем. В качестве источников событий выступает активное сетевое оборудование, серверы, операционные системы, приложения, облачные среды и др. Системы типа 2 обеспечивают долговременное хранение данных и анализируют накопленную информацию с последующим предоставлением статистики, отчетов и сведений об отклонениях от заданных правил.
ССОДС ИБ может соответствовать требованиям для обоих типов систем, то есть функционировать как в режиме реального времени, так и обрабатывать информацию, хранящуюся в журналах аудита программных и (или) программно-аппаратных средств защиты информации.
В общем случае ССОДС ИБ должны состоять из следующих подсистем:
- администрирования;
- сбора и фильтрации;
- нормализации и выявления событий безопасности;
- аудита безопасности;
- обеспечения безопасного функционирования;
- восстановления после сбоев и отказов.
Требования предъявляемые к подсистеме администрирования ССОДС ИБ одинаковы для обоих типов, поскольку являются универсальными для всех СЗИ:
- разграничение доступа на основании ролей пользователей;
- идентификация пользователей до любых действий;
- аутентификация пользователей до любых действий;
- предоставление права на создание, изменение, удаление настроек конфигурации и функций безопасности в соответствии с ролями пользователей;
- синхронизация времени.
Перечень требований, предъявляемых к подсистеме сбора и фильтрации приведен ниже:
- сбор событий и данных от неспециализированного программного обеспечения и программно-аппаратного средства;
- сбор событий и данных от специализированного программного обеспечения и программно-аппаратного средства;
- перехват сетевого трафика;
- запись сетевого трафика, связанного с событием безопасности;
- фильтрация событий и данных в соответствии с правилами, установленными уполномоченным пользователем.
На первом этапе функционирования ССОДС ИБ выполняет сбор и фильтрацию данных от всех источников событий. Подобными источниками событий могут выступать межсетевые экраны, роутеры, системы обнаружения/предотвращения вторжений (Intrusion Detection/Prevention system, IDS/IPS), системы предотвращения утечек информации (Data Loss Prevention, DLP), антивирусы, сканеры уязвимостей системы контроля доступа, аутентификации, операционные системы и т.д. Информация может поступать как от источника непосредственно, так и с использованием специализированного программного обеспечения и программно-аппаратного средств - агентов и датчиков сети.
Поступление данных от неспециализированного программного обеспечения может быть реализовано различными способами: c использованием стандарта syslog, по протоколам NetBIOS, RPC, TFTP, FTP. Помимо того, что полученные от различных источников данные могут иметь различный формат, что усложняет их последующую обработку, хранение информации может потребовать существенного объема дискового пространства. Предварительная обработка данных, проводимая ССОДС ИБ для приведения выявленных событий в заданный вид в соответствии с определенными правилами называется нормализацией.
Подсистема нормализации и выявления событий безопасности ССОДС ИБ должна выполнять следующие функции:
- нормализация полученных данных. В соответствии с требованиями Стандарта данные, полученные от разных устройств, должны быть приведены к единому формату, содержащему следующие параметры: дата, время, сведения об источнике данных, уникальный идентификатор данных, сведения о контролируемых показателях сети (например, MAC-адрес, порт, URL-адрес);
- агрегация событий и данных (выполнение группировки в соответствии с определенными правилами, чтобы объединить события одного типа);
- выявление событий безопасности на основе правил корреляции, описанных в поставляемой документации;
- выявление событий безопасности на основе правил корреляции, определенных пользователем
- категорирование выявленных событий безопасности;
- изменение категорий выявленных событий безопасности;
- анализ данных (трафика) до уровня приложений модели взаимодействия открытых систем (OSI);
- обработка записей о событиях безопасности в соответствии с правилами, установленными уполномоченным пользователем
Применяя встроенные правила, представляющие собой некоторый перечень из условий срабатывания и сценариев действий, и правила, формируемые пользователем из доступного инструментария, представленного разработчиком ССОДС ИБ способны выявлять сетевые и вирусные атаки на информационную сеть, попытки несанкционированного доступа к защищаемым ресурсам информационных систем, ошибки конфигурации активного сетевого оборудования.
Аудит выявленных событий безопасности обеспечивает подсистема аудита безопасности, осуществляющая регистрацию событий в журнале аудита, оповещение о событиях в соответствии с функциями безопасности и генерацию отчетов.
Дополнительные требования предъявляются к подсистеме обеспечения безопасного функционирования, обеспечивающей контроль целостности программных ССОДС ИБ, наличию программной и (или) эксплуатационной документации и подсистеме восстановления после сбоев и отказов.
Контроль целостности допускается проводить средствами стороннего программного обеспечения, имеющего сертификат соответствия, выданный в Национальной системе подтверждения соответствия Республики Беларусь.
Программная и (или) эксплуатационная документация, входящая в комплект поставки ССОДС ИБ должна быть представлена на одном из государственных языков Республики Беларусь. В поставляемой документации должны быть отражены особенности и ограничения функционирования программных ССОДС ИБ в конкретной операционной системе, если не используется специализированное программно-аппаратное решение.
Размещено на Allbest.ru
Подобные документы
Процесс создания комплексной системы информационной безопасности, предназначенной для обеспечения безопасности всех важных данных сети аптек "Таблэтка". Исследования практики функционирования систем обработки данных и вычислительных систем. Оценка риска.
курсовая работа [38,8 K], добавлен 17.06.2013Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Особенности информационной безопасности банков. Человеческий фактор в обеспечении информационной безопасности. Утечка информации, основные причины нарушений. Комбинация различных программно-аппаратных средств. Механизмы обеспечения целостности данных.
контрольная работа [22,3 K], добавлен 16.10.2013Разработка политики безопасности компании в условиях информационной борьбы. Повышение информационной безопасности в системах обработки данных. Обеспечение устойчивости к противодействию диверсионной и технической разведке. Защита локальной сети.
курсовая работа [841,2 K], добавлен 13.06.2012Под информационной безопасностью систем понимается поддержание физической сохранности, конфиденциальности, достоверности, своевременности информации, гарантированной работоспособности средств, используемых для ввода, хранения, обработки и передачи данных.
курсовая работа [1,3 M], добавлен 29.11.2008Сущность информации, ее классификация. Основные проблемы обеспечения и угрозы информационной безопасности предприятия. Анализ рисков и принципы информационной безопасности предприятия. Разработка комплекса мер по обеспечению информационной безопасности.
курсовая работа [28,2 K], добавлен 17.05.2016Сущность и основное предназначение Доктрины информационной безопасности Российской Федерации (РФ). Виды и источники угроз информационной безопасности РФ. Основные положения государственной политики обеспечения информационной безопасности России.
статья [15,9 K], добавлен 24.09.2010Анализ инфраструктуры ООО магазин "Стиль". Создание системы информационной безопасности отдела бухгалтерии предприятия на основе ее предпроектного обследования. Разработка концепции, политики информационной безопасности и выбор решений по ее обеспечению.
курсовая работа [2,2 M], добавлен 17.09.2010Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Анализ основных угроз и методов обеспечения работы систем информационной безопасности. Характеристика разновидностей защиты баз данных. Особенности UML-моделирования: оценка основных функций и процесс работы, пути реализации информационной системы.
курсовая работа [158,7 K], добавлен 15.06.2013