Опыт применения DLP-систем для решения задач ИБ
ТЕОРИЯ
- Исполнение требований приказов 17 и 21 ФСТЭК с применением «КИБ СёрчИнформ»
ПРАКТИКА
- Применение «КИБ СёрчИнформ» для контроля неучтенных сетевых хранилищ
- Контроль нетекстовых файлов
- «КИБ СёрчИнформ» – модуль оповещения для сторонних продуктов
ТЕОРИЯ
Требования регуляторов в сфере информационной безопасности
Приказ ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» обязателен к исполнению для всех операторов персональных данных.
Приказ ФСТЭК России от 11 февраля 2013 г. №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» обязателен к исполнению для государственных и муниципальных структур, а также их подведомственных организаций и всех лиц, обрабатывающих государственные информационные ресурсы.
МЕРЫ: УПД
II. Управление доступом субъектов доступа к объектам доступа (УПД)
УПД.2. Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа.
Применение «КИБ СёрчИнформ»: Управление доступом, в том числе типом доступа, к USB-устройствам и сетевым папкам.
Компонент: DeviceController
Усиление УПД.2 п. 2. Правила разграничения доступа должны обеспечивать управление доступом субъектов к техническим средствам, устройствам, внешним устройствам.
Применение «КИБ СёрчИнформ»: Управление доступом, в том числе типом доступа, к USB-устройствам и сетевым папкам.
Компонент: DeviceController
УПД.14. Регламентация и контроль использования в информационной системе технологий беспроводного доступа.
Применение «КИБ СёрчИнформ»: Блокировка Wi-Fi и Bluetooth-модулей.
Компонент: DeviceController
УПД.15. Регламентация и контроль использования в информационной системе мобильных технических средств.
Применение «КИБ СёрчИнформ»: Блокировка доступа мобильных устройств и носителей информации.
Компонент: DeviceController
Усиление УПД.15 п. 1. Обеспечивается запрет использования в информационной системе съемных машинных носителей информации, не входящих в ее состав.
Применение «КИБ СёрчИнформ»: Создание белых списков USB-устройств и последующая блокировка неучтенных.
Компонент: DeviceController
Усиление УПД.15 п .2. Обеспечивается запрет использования съемных машинных носителей информации, для которых не определен владелец.
Применение «КИБ СёрчИнформ»: Создание белых списков USB-устройств и последующая блокировка неучтенных.
Компонент: DeviceController
Усиление УПД.15 п .5. Обеспечивается запрет использования мобильных технических средств, на которые может быть осуществлена запись информации (перезаписываемых съемных машинных носителей информации).
Применение «КИБ СёрчИнформ»: Создание белых списков USB-устройств и последующая блокировка неучтенных.
Компонент: DeviceController
МЕРЫ: ОПС
III. Ограничение программной среды (ОПС)
ОПС.3. Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов.
Применение «КИБ СёрчИнформ»: Периодический контроль установленного ПО для проверки соответствия перечням разрешенного/запрещенного к установке.
Компонент: ReportCenter
МЕРЫ: ЗНИ
IV. Защита машинных носителей информации (ЗНИ)
ЗНИ.1. Учет машинных носителей информации.
Применение «КИБ СёрчИнформ»: Требование закрывается с помощью «КИБ СёрчИнформ», если прописать организационно-разрешительной документации в том числе ведение журналов учета в электронном виде.
Компонент: DeviceController, ReportCenter
ЗНИ.5. Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации.
Применение «КИБ СёрчИнформ»: Блокировка «запрещенных» интерфейсов: Bluetooth, модемы, ИК-порт, Wi-Fi.
Компонент: DeviceController
Усиление ЗНИ.5 п. 1. Регистрация использования интерфейсов ввода (вывода) в соответствии с РСБ.3.
Применение «КИБ СёрчИнформ»: Блокировка «запрещенных» интерфейсов: Bluetooth, модемы, ИК-порт, Wi-Fi.
Компонент: DeviceController
Усиление ЗНИ.5 п. 3. Программное отключение запрещенных к использованию интерфейсов ввода (вывода).
Применение «КИБ СёрчИнформ»: Блокировка «запрещенных» интерфейсов: Bluetooth, модемы, ИК-порт, Wi-Fi.
Компонент: DeviceController
ЗНИ.6. Контроль ввода (вывода) информации на машинные носители информации.
Применение «КИБ СёрчИнформ»: Блокировка «запрещенных» интерфейсов: Bluetooth, модемы, ИК-порт, Wi-Fi.
Компонент: DeviceController
Усиление ЗНИ.6 п. 1. Создание копии информации, записываемой пользователями на съемные машинные носители информации (теневое копирование).
Применение «КИБ СёрчИнформ»:
Компонент: DeviceController
Усиление ЗНИ.6 п. 2. Применение средств контроля подключения съемных машинных носителей информации.
Применение «КИБ СёрчИнформ»: Блокировка «запрещенных» интерфейсов: Bluetooth, модемы, ИК-порт, Wi-Fi.
Компонент: DeviceController
ЗНИ.7. Контроль подключения машинных носителей информации.
Применение «КИБ СёрчИнформ»: Настройка разрешенных/запрещенных устройств и пользователей.
Компонент: DeviceController
Усиление ЗНИ.7 п. 1. Обеспечение контроля подключения машинных носителей информации с использованием средств контроля подключения съемных носителей информации.
Применение «КИБ СёрчИнформ»: Настройка разрешенных/запрещенных устройств и пользователей.
Компонент: DeviceController
Усиление ЗНИ.7 п. 2. Запрет подключения к информационной системе носителей пользователями, не имеющими полномочий на подключение носителей.
Применение «КИБ СёрчИнформ»: Настройка разрешенных/запрещенных устройств и пользователей.
Компонент: DeviceController
МЕРЫ: РСБ
V. Регистрация событий безопасности (РСБ)
РСБ.1. Определение событий безопасности, подлежащих регистрации, и сроков их хранения.
Применение «КИБ СёрчИнформ»: Перечень событий, подлежащих регистрации, дополняется возможностями КИБ.
Компонент: DeviceController, FileController
РСБ.8. Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе.
Применение «КИБ СёрчИнформ»: Базовый функционал DLP-системы.
Компонент: Все модули
МЕРЫ: АНЗ
VIII. Контроль (анализ) защищенности информации (АНЗ)
АНЗ.2. Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации.
Применение «КИБ СёрчИнформ»: Контроль процесса установки ПО, выявление узлов с не установленным ПО.
Компонент: ReportCenter
АНЗ.3. Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации.
Применение «КИБ СёрчИнформ»: Выявление отключения на компьютере запущенных процессов, например, антивируса.
Компонент: MonitorController, ProgramController
Усиление АНЗ.3 п. 1. Должна обеспечиваться регистрация событий и оповещение администратора безопасности о событиях, связанных с нарушением работоспособности и параметров настройки программного обеспечения и средств защиты.
Применение «КИБ СёрчИнформ»: Выявление отключения на компьютере запущенных процессов, например, антивируса.
Компонент: MonitorController, AlertCenter
АНЗ.4. Контроль состава технических средств, программного обеспечения и средств защиты информации.
Применение «КИБ СёрчИнформ»: Базовый функционал DLP-системы.
Компонент: ReportCenter
Усиление АНЗ.4 п. 1. Должна обеспечиваться регистрация событий безопасности, связанных с изменением состава технических средств, программного обеспечения и средств защиты информации.
Применение «КИБ СёрчИнформ»: Базовый функционал DLP-системы.
Компонент: ReportCenter
Усиление АНЗ.4 п .2. Оператор должен использовать автоматизированные средства, обеспечивающие инвентаризацию технических средств, программного обеспечения и средств защиты информации.
Применение «КИБ СёрчИнформ»: Базовый функционал DLP-системы.
Компонент: ReportCenter
АНЗ.5. Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе.
Применение «КИБ СёрчИнформ»: Базовый функционал DLP-системы.
Компонент: ADSniffer (функции модуля перенесены в «СёрчИнформ SIEM»)
МЕРЫ: ОЦЛ
IX. Обеспечение целостности информационной системы и информации (ОЦЛ)
ОЦЛ.5. Контроль содержания информации, передаваемой из информационной системы: контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов. Исключение неправомерной передачи информации из информационной системы.
Применение «КИБ СёрчИнформ»: Базовый функционал DLP-системы.
Компонент: Все компоненты
Усиление ОЦЛ.5 п. 1. Должно осуществляться хранение всей передаваемой информации и (или) информации с недопустимым к передаче из информационной системы содержанием, в течение времени, определяемого оператором.
Применение «КИБ СёрчИнформ»: Базовый функционал DLP-системы.
Компонент: Все компоненты
Усиление ОЦЛ.5 п. 1. Должна осуществляться блокировка передачи из информационной системы информации с недопустимым содержанием.
Применение «КИБ СёрчИнформ»: Блокировка записи по типу файла.
Компонент: MailController, DeviceController
МЕРЫ: ОДТ
X. Обеспечение доступности информации (ОДТ)
ОДТ.4. Периодическое резервное копирование информации на резервные машинные носители информации.
Применение «КИБ СёрчИнформ»: Резервная копия электронной почты. Сохранение целых документов при индексации рабочих станций (в том числе – индексации файловых серверов).
Компонент: MailController, Индексация рабочих станций
ОДТ.5. Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала.
Применение «КИБ СёрчИнформ»: Резервная копия электронной почты. Сохранение целых документов при индексации рабочих станций (в том числе – индексации файловых серверов).
Компонент: MailController, Индексация рабочих станций
МЕРЫ: ЗИС (часть 1)
XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)
ЗИС.8. Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи.
Применение «КИБ СёрчИнформ»: Контроль Skype. Исключение несанкционированного использования процессов (например, Skype) через DeviceController.
Компонент: SkypeController, DeviceController
ЗИС.9. Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации.
Применение «КИБ СёрчИнформ»: Контроль Skype. Исключение несанкционированного использования процессов (например, Skype) через DeviceController.
Компонент: SkypeController, DeviceController
ЗИС.12. Исключение возможности отрицания пользователем факта отправки информации другому пользователю.
Применение «КИБ СёрчИнформ»: Подтверждение отправки электронного письма от конкретного пользователя и компьютера. Контроль действий пользователей на файлообменных серверах. Подтверждение активности пользователя в указанный момент времени.
Компонент: MailController, FileController, DeviceController, MonitorController
ЗИС.13. Исключение возможности отрицания пользователем факта получения информации от другого пользователя.
Применение «КИБ СёрчИнформ»: Подтверждение открытия пользователем файла с сервера. Подтверждение активности пользователя в указанный момент времени.
Компонент: FileController, MonitorController
ЗИС.16. Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов.
Применение «КИБ СёрчИнформ»: Выявление использования несанкционированных сетевых ресурсов. Выявление подозрительных обменов по HTTP.
Компонент: DeviceController, HTTPController
МЕРЫ: ЗИС (часть 2)
XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)
ЗИС.20. Защита беспроводных соединений, применяемых в информационной системе.
Применение «КИБ СёрчИнформ»: Блокировка, в том числе частичная по пользователям и интерфейсам, беспроводных соединений и регистрация использования беспроводных соединений.
Компонент: DeviceController
Усиление ЗИС.20 п. 2. Должны применяться программно-технические средства обнаружения, анализа и блокирования несанкционированного использования беспроводных технологий и подключений.
Применение «КИБ СёрчИнформ»: Блокировка, в том числе частичная по пользователям и интерфейсам, беспроводных соединений и регистрация использования беспроводных соединений.
Компонент: DeviceController, AlertCenter
Усиление ЗИС.20 п. 3. Должно обеспечиваться блокирование несанкционированных беспроводных подключений.
Применение «КИБ СёрчИнформ»: Блокировка, в том числе частичная по пользователям и интерфейсам, беспроводных соединений и регистрация использования беспроводных соединений.
Компонент: DeviceController
МЕРЫ: ИНЦ/УКФ
XIV. Выявление инцидентов и реагирование на них (ИНЦ)
ИНЦ.2. Обнаружение, идентификация и регистрация инцидентов.
Применение «КИБ СёрчИнформ»: Базовый функционал DLP-системы.
Компонент: Все компоненты
ИНЦ.3. Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами.
Применение «КИБ СёрчИнформ»: Базовый функционал DLP-системы.
Компонент: AlertCenter
ИНЦ.4. Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий.
Применение «КИБ СёрчИнформ»: Базовый функционал DLP-системы.
Компонент: Все компоненты
XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)
УКФ.2. Управление изменениями конфигурации информационной системы и системы защиты персональных данных.
Применение «КИБ СёрчИнформ»: В части изменений AD.
Компонент: ADSniffer (функции модуля перенесены в «СёрчИнформ SIEM»)
УКФ.4. Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных.
Применение «КИБ СёрчИнформ»: В части изменений AD.
Компонент: ADSniffer (функции модуля перенесены в «СёрчИнформ SIEM»)
ПРАКТИКА
-
Контроль неучтенных сетевых хранилищ
Задача: Выявить и заблокировать несанкционированные сетевые файловые обмены через сетевые «шары» и диски в ЛВС.
Решение:
- Включаем аудит записи в сетевые папки (DeviceController)
- Смотрим результаты через SearchClient и индекс DeviceAudit
- Настраиваем AlertCenter: исключаем из результатов легальные файловые сервера, административные «шары», сетевые диски.
- Контроль получен. Уведомление сработает при передаче файлов на неучтенные сетевые ресурсы. По факту уведомления: удаляем «шары», корректируем исключения, расследуем реальные инциденты.
- Включаем аудит чтения и теперь видим все хранилища.
- Включаем блокировку записи на не учтенные сетевые ресурсы.
-
Утечка нетекстовых файлов
| Условие | Решение |
| Графика (растровая картография) | Поиск по ширине/высоте изображения |
| Файлы AutoCAD (векторная картография) | Определение в индексах файлов DWG как текстовых и последующий поиск в них ключевых слов |
| Лицензионные ключи на ПО | Поиск как по расширению файлов, так и по содержимому |
-
Модуль оповещения для сторонних продуктов
Задача: оперативно информировать администратора безопасности об изменении ключевых параметров безопасности на компьютерах пользователей, например:
- появление «левых» локальных администраторов, иных учетных записей на компьютере;
- появление сетевых «шар» на компьютере;
- исчезновение администраторских «шар» на компьютере (прямая угроза работе «КИБ СёрчИнформ») и другие.
Решение: использовать «КИБ СёрчИнформ» в связке с другими решениями.
Реализация:
- На компьютере запускается самодельный скрипт. Настройка – через групповые политики домена. Запуск – при загрузке компьютера или по расписанию в планировщике задач.
- Скрипт осуществляет необходимые проверки безопасности и, в случае негативного результата, сохраняет файл на сервере. Скрипт (cmd, bat, vbs.
- «КИБ СёрчИнформ» при появлении нового файла на сервере уведомляет администратора безопасности об инциденте. Модули: Индексация рабочих станций и AlertCenter.