Практика использования «КИБ СёрчИнформ»

Опыт применения DLP-систем для решения задач ИБ

ТЕОРИЯ

  • Исполнение требований приказов 17 и 21 ФСТЭК с применением «КИБ СёрчИнформ»

ПРАКТИКА

  • Применение «КИБ СёрчИнформ» для контроля неучтенных сетевых хранилищ
  • Контроль нетекстовых файлов
  • «КИБ СёрчИнформ» – модуль оповещения для сторонних продуктов

ТЕОРИЯ

Требования регуляторов в сфере информационной безопасности

Приказ ФСТЭК России от 18 февраля 2013 г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» обязателен к исполнению для всех операторов персональных данных.

Приказ ФСТЭК России от 11 февраля 2013 г. №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» обязателен к исполнению для государственных и муниципальных структур, а также их подведомственных организаций и всех лиц, обрабатывающих государственные информационные ресурсы.

МЕРЫ: УПД

II. Управление доступом субъектов доступа к объектам доступа (УПД)

УПД.2. Реализация необходимых методов (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа.

Применение «КИБ СёрчИнформ»: Управление доступом, в том числе типом доступа, к USB-устройствам и сетевым папкам.
Компонент: DeviceController

Усиление УПД.2 п. 2. Правила разграничения доступа должны обеспечивать управление доступом субъектов к техническим средствам, устройствам, внешним устройствам.

Применение «КИБ СёрчИнформ»: Управление доступом, в том числе типом доступа, к USB-устройствам и сетевым папкам.
Компонент: DeviceController

УПД.14. Регламентация и контроль использования в информационной системе технологий беспроводного доступа.

Применение «КИБ СёрчИнформ»: Блокировка Wi-Fi и Bluetooth-модулей.
Компонент: DeviceController

УПД.15. Регламентация и контроль использования в информационной системе мобильных технических средств.

Применение «КИБ СёрчИнформ»: Блокировка доступа мобильных устройств и носителей информации.
Компонент: DeviceController

Усиление УПД.15 п. 1. Обеспечивается запрет использования в информационной системе съемных машинных носителей информации, не входящих в ее состав.

Применение «КИБ СёрчИнформ»: Создание белых списков USB-устройств и последующая блокировка неучтенных.
Компонент: DeviceController

Усиление УПД.15 п .2. Обеспечивается запрет использования съемных машинных носителей информации, для которых не определен владелец.

Применение «КИБ СёрчИнформ»: Создание белых списков USB-устройств и последующая блокировка неучтенных.
Компонент: DeviceController

Усиление УПД.15 п .5. Обеспечивается запрет использования мобильных технических средств, на которые может быть осуществлена запись информации (перезаписываемых съемных машинных носителей информации).

Применение «КИБ СёрчИнформ»: Создание белых списков USB-устройств и последующая блокировка неучтенных.
Компонент: DeviceController

МЕРЫ: ОПС

III. Ограничение программной среды (ОПС)

ОПС.3. Установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов.

Применение «КИБ СёрчИнформ»: Периодический контроль установленного ПО для проверки соответствия перечням разрешенного/запрещенного к установке.
Компонент: ReportCenter

МЕРЫ: ЗНИ

IV. Защита машинных носителей информации (ЗНИ)

ЗНИ.1. Учет машинных носителей информации.

Применение «КИБ СёрчИнформ»: Требование закрывается с помощью «КИБ СёрчИнформ», если прописать организационно-разрешительной документации в том числе ведение журналов учета в электронном виде.
Компонент: DeviceController, ReportCenter

ЗНИ.5. Контроль использования интерфейсов ввода (вывода) информации на машинные носители информации.
Применение «КИБ СёрчИнформ»: Блокировка «запрещенных» интерфейсов: Bluetooth, модемы, ИК-порт, Wi-Fi.
Компонент: DeviceController

Усиление ЗНИ.5 п. 1. Регистрация использования интерфейсов ввода (вывода) в соответствии с РСБ.3.

Применение «КИБ СёрчИнформ»: Блокировка «запрещенных» интерфейсов: Bluetooth, модемы, ИК-порт, Wi-Fi.
Компонент: DeviceController

Усиление ЗНИ.5 п. 3. Программное отключение запрещенных к использованию интерфейсов ввода (вывода).

Применение «КИБ СёрчИнформ»: Блокировка «запрещенных» интерфейсов: Bluetooth, модемы, ИК-порт, Wi-Fi.
Компонент: DeviceController

ЗНИ.6. Контроль ввода (вывода) информации на машинные носители информации.

Применение «КИБ СёрчИнформ»: Блокировка «запрещенных» интерфейсов: Bluetooth, модемы, ИК-порт, Wi-Fi.
Компонент: DeviceController

Усиление ЗНИ.6 п. 1. Создание копии информации, записываемой пользователями на съемные машинные носители информации (теневое копирование).

Применение «КИБ СёрчИнформ»:
Компонент: DeviceController

Усиление ЗНИ.6 п. 2. Применение средств контроля подключения съемных машинных носителей информации.

Применение «КИБ СёрчИнформ»: Блокировка «запрещенных» интерфейсов: Bluetooth, модемы, ИК-порт, Wi-Fi.
Компонент: DeviceController

ЗНИ.7. Контроль подключения машинных носителей информации.

Применение «КИБ СёрчИнформ»: Настройка разрешенных/запрещенных устройств и пользователей.
Компонент: DeviceController

Усиление ЗНИ.7 п. 1. Обеспечение контроля подключения машинных носителей информации с использованием средств контроля подключения съемных носителей информации.

Применение «КИБ СёрчИнформ»: Настройка разрешенных/запрещенных устройств и пользователей.
Компонент: DeviceController

Усиление ЗНИ.7 п. 2. Запрет подключения к информационной системе носителей пользователями, не имеющими полномочий на подключение носителей.

Применение «КИБ СёрчИнформ»: Настройка разрешенных/запрещенных устройств и пользователей.
Компонент: DeviceController

МЕРЫ: РСБ

V. Регистрация событий безопасности (РСБ)

РСБ.1. Определение событий безопасности, подлежащих регистрации, и сроков их хранения.

Применение «КИБ СёрчИнформ»: Перечень событий, подлежащих регистрации, дополняется возможностями КИБ.
Компонент: DeviceController, FileController

РСБ.8. Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе.

Применение «КИБ СёрчИнформ»: Базовый функционал DLP-системы.
Компонент: Все модули

МЕРЫ: АНЗ

VIII. Контроль (анализ) защищенности информации (АНЗ)

АНЗ.2. Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации.

Применение «КИБ СёрчИнформ»: Контроль процесса установки ПО, выявление узлов с не установленным ПО.
Компонент: ReportCenter

АНЗ.3. Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации.

Применение «КИБ СёрчИнформ»: Выявление отключения на компьютере запущенных процессов, например, антивируса.
Компонент: MonitorController, ProgramController

Усиление АНЗ.3 п. 1. Должна обеспечиваться регистрация событий и оповещение администратора безопасности о событиях, связанных с нарушением работоспособности и параметров настройки программного обеспечения и средств защиты.

Применение «КИБ СёрчИнформ»: Выявление отключения на компьютере запущенных процессов, например, антивируса.
Компонент: MonitorController, AlertCenter

АНЗ.4. Контроль состава технических средств, программного обеспечения и средств защиты информации.

Применение «КИБ СёрчИнформ»: Базовый функционал DLP-системы.
Компонент: ReportCenter

Усиление АНЗ.4 п. 1. Должна обеспечиваться регистрация событий безопасности, связанных с изменением состава технических средств, программного обеспечения и средств защиты информации.

Применение «КИБ СёрчИнформ»: Базовый функционал DLP-системы.
Компонент: ReportCenter

Усиление АНЗ.4 п .2. Оператор должен использовать автоматизированные средства, обеспечивающие инвентаризацию технических средств, программного обеспечения и средств защиты информации.

Применение «КИБ СёрчИнформ»: Базовый функционал DLP-системы.
Компонент: ReportCenter

АНЗ.5. Контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступом, полномочий пользователей в информационной системе.

Применение «КИБ СёрчИнформ»: Базовый функционал DLP-системы.
Компонент: ADSniffer (функции модуля перенесены в «СёрчИнформ SIEM»)

МЕРЫ: ОЦЛ

IX. Обеспечение целостности информационной системы и информации (ОЦЛ)

ОЦЛ.5. Контроль содержания информации, передаваемой из информационной системы: контейнерный, основанный на свойствах объекта доступа, и контентный, основанный на поиске запрещенной к передаче информации с использованием сигнатур, масок и иных методов. Исключение неправомерной передачи информации из информационной системы.

Применение «КИБ СёрчИнформ»: Базовый функционал DLP-системы.
Компонент: Все компоненты

Усиление ОЦЛ.5 п. 1. Должно осуществляться хранение всей передаваемой информации и (или) информации с недопустимым к передаче из информационной системы содержанием, в течение времени, определяемого оператором.

Применение «КИБ СёрчИнформ»: Базовый функционал DLP-системы.
Компонент: Все компоненты

Усиление ОЦЛ.5 п. 1. Должна осуществляться блокировка передачи из информационной системы информации с недопустимым содержанием.

Применение «КИБ СёрчИнформ»: Блокировка записи по типу файла.
Компонент: MailController, DeviceController

МЕРЫ: ОДТ

X. Обеспечение доступности информации (ОДТ)

ОДТ.4. Периодическое резервное копирование информации на резервные машинные носители информации.

Применение «КИБ СёрчИнформ»: Резервная копия электронной почты. Сохранение целых документов при индексации рабочих станций (в том числе – индексации файловых серверов).
Компонент: MailController, Индексация рабочих станций

ОДТ.5. Обеспечение возможности восстановления информации с резервных машинных носителей информации (резервных копий) в течение установленного временного интервала.

Применение «КИБ СёрчИнформ»: Резервная копия электронной почты. Сохранение целых документов при индексации рабочих станций (в том числе – индексации файловых серверов).
Компонент: MailController, Индексация рабочих станций

МЕРЫ: ЗИС (часть 1)

XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)

ЗИС.8. Контроль санкционированного и исключение несанкционированного использования технологий передачи речи, в том числе регистрация событий, связанных с использованием технологий передачи речи, их анализ и реагирование на нарушения, связанные с использованием технологий передачи речи.

Применение «КИБ СёрчИнформ»: Контроль Skype. Исключение несанкционированного использования процессов (например, Skype) через DeviceController.
Компонент: SkypeController, DeviceController

ЗИС.9. Контроль санкционированной и исключение несанкционированной передачи видеоинформации, в том числе регистрация событий, связанных с передачей видеоинформации, их анализ и реагирование на нарушения, связанные с передачей видеоинформации.

Применение «КИБ СёрчИнформ»: Контроль Skype. Исключение несанкционированного использования процессов (например, Skype) через DeviceController.
Компонент: SkypeController, DeviceController

ЗИС.12. Исключение возможности отрицания пользователем факта отправки информации другому пользователю.

Применение «КИБ СёрчИнформ»: Подтверждение отправки электронного письма от конкретного пользователя и компьютера. Контроль действий пользователей на файлообменных серверах. Подтверждение активности пользователя в указанный момент времени.
Компонент: MailController, FileController, DeviceController, MonitorController

ЗИС.13. Исключение возможности отрицания пользователем факта получения информации от другого пользователя.

Применение «КИБ СёрчИнформ»: Подтверждение открытия пользователем файла с сервера. Подтверждение активности пользователя в указанный момент времени.
Компонент: FileController, MonitorController

ЗИС.16. Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов.

Применение «КИБ СёрчИнформ»: Выявление использования несанкционированных сетевых ресурсов. Выявление подозрительных обменов по HTTP.
Компонент: DeviceController, HTTPController

МЕРЫ: ЗИС (часть 2)

XIII. Защита информационной системы, ее средств, систем связи и передачи данных (ЗИС)

ЗИС.20. Защита беспроводных соединений, применяемых в информационной системе.

Применение «КИБ СёрчИнформ»: Блокировка, в том числе частичная по пользователям и интерфейсам, беспроводных соединений и регистрация использования беспроводных соединений.
Компонент: DeviceController

Усиление ЗИС.20 п. 2. Должны применяться программно-технические средства обнаружения, анализа и блокирования несанкционированного использования беспроводных технологий и подключений.

Применение «КИБ СёрчИнформ»: Блокировка, в том числе частичная по пользователям и интерфейсам, беспроводных соединений и регистрация использования беспроводных соединений.
Компонент: DeviceController, AlertCenter

Усиление ЗИС.20 п. 3. Должно обеспечиваться блокирование несанкционированных беспроводных подключений.

Применение «КИБ СёрчИнформ»: Блокировка, в том числе частичная по пользователям и интерфейсам, беспроводных соединений и регистрация использования беспроводных соединений.
Компонент: DeviceController

МЕРЫ: ИНЦ/УКФ

XIV. Выявление инцидентов и реагирование на них (ИНЦ)

ИНЦ.2. Обнаружение, идентификация и регистрация инцидентов.

Применение «КИБ СёрчИнформ»: Базовый функционал DLP-системы.
Компонент: Все компоненты

ИНЦ.3. Своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов в информационной системе пользователями и администраторами.

Применение «КИБ СёрчИнформ»: Базовый функционал DLP-системы.
Компонент: AlertCenter

ИНЦ.4. Анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий.

Применение «КИБ СёрчИнформ»: Базовый функционал DLP-системы.
Компонент: Все компоненты

XV. Управление конфигурацией информационной системы и системы защиты персональных данных (УКФ)

УКФ.2. Управление изменениями конфигурации информационной системы и системы защиты персональных данных.

Применение «КИБ СёрчИнформ»: В части изменений AD.
Компонент: ADSniffer (функции модуля перенесены в «СёрчИнформ SIEM»)

УКФ.4. Документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных.

Применение «КИБ СёрчИнформ»: В части изменений AD.
Компонент: ADSniffer (функции модуля перенесены в «СёрчИнформ SIEM»)

ПРАКТИКА

  • Контроль неучтенных сетевых хранилищ

Задача: Выявить и заблокировать несанкционированные сетевые файловые обмены через сетевые «шары» и диски в ЛВС.

Решение:

  1. Включаем аудит записи в сетевые папки (DeviceController)
  2. Смотрим результаты через SearchClient и индекс DeviceAudit
  3. Настраиваем AlertCenter: исключаем из результатов легальные файловые сервера, административные «шары», сетевые диски.
  4. Контроль получен. Уведомление сработает при передаче файлов на неучтенные сетевые ресурсы. По факту уведомления: удаляем «шары», корректируем исключения, расследуем реальные инциденты.
  5. Включаем аудит чтения и теперь видим все хранилища.
  6. Включаем блокировку записи на не учтенные сетевые ресурсы.
  • Утечка нетекстовых файлов

Условие Решение
Графика (растровая картография) Поиск по ширине/высоте изображения
Файлы AutoCAD (векторная картография) Определение в индексах файлов DWG как текстовых и последующий поиск в них ключевых слов
Лицензионные ключи на ПО Поиск как по расширению файлов, так и по содержимому
  • Модуль оповещения для сторонних продуктов

Задача: оперативно информировать администратора безопасности об изменении ключевых параметров безопасности на компьютерах пользователей, например:

  • появление «левых» локальных администраторов, иных учетных записей на компьютере;
  • появление сетевых «шар» на компьютере;
  • исчезновение администраторских «шар» на компьютере (прямая угроза работе «КИБ СёрчИнформ») и другие.

Решение: использовать «КИБ СёрчИнформ» в связке с другими решениями.

Реализация:

  1. На компьютере запускается самодельный скрипт. Настройка – через групповые политики домена. Запуск – при загрузке компьютера или по расписанию в планировщике задач.
  2. Скрипт осуществляет необходимые проверки безопасности и, в случае негативного результата, сохраняет файл на сервере. Скрипт (cmd, bat, vbs.
  3. «КИБ СёрчИнформ» при появлении нового файла на сервере уведомляет администратора безопасности об инциденте. Модули: Индексация рабочих станций и AlertCenter.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними

 
 
 

© 2018 ООО «СёрчИнформ»

Все права защищены