Реализация требований 187-ФЗ на стыке SIEM и DLP
Дмитрий Кандыбович, 13/10/20
Нормативная база о безопасности КИИ содержит в себе вполне конкретные требования по организации системы защиты, поэтому выбор решения для ее обеспечения оказывается очень непростым. В статье пойдет речь о том, как в условиях ограниченного бюджета построить с нуля систему, соответствующую 187-ФЗ.
Автор: Дмитрий Кандыбович, генеральный директор Staffcop (ООО “Атом безопасность”)
1 января 2018 г. вступил в силу Федеральный закон от 26.07.2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", являющийся частью Доктрины информационной безопасности Российской Федерации. Из него следует определение объектов КИИ – это автоматизированные системы управления, информационные системы, сети и телекоммуникации – а также определение субъектов КИИ: ими являются владельцы указанных типов систем, в первую очередь те, что работают в одной из определенных в законе отраслей.
Не станем подробно останавливаться на тонких местах 187-ФЗ, проблемах его правоприменения, качестве проработки или качестве выполнения регулятором своих функций.
Рассмотрим варианты применения закона на практике: что же можно использовать, чтобы защитить свои информационные системы.
Закон определяет мероприятия, предписанные субъектам КИИ:
- категорирование объектов КИИ;
- создание системы обеспечения безопасности объектов КИИ;
- интеграцию с ГосСОПКА.
В контексте данной статьи рассмотрим аспекты создания системы обеспечения безопасности и интеграцию с ГосСОПКА. Причем, согласно закону, объект КИИ может относиться к категории значимых, а может и не относиться. В первом случае вы реализуете систему защиты на свое усмотрение, а во втором у вас появляется вспомогательная система.
Конечно же, у вас могут быть предустановленные системы, и как раз о них дальше пойдет речь.
SIEM-системы
SIEM – это система, собирающая данные об общем состоянии и безопасности информационной системы из различных источников и предоставляющая их пользователю в рамках единого интерфейса. Ее ключевой функцией является работа на упреждение угроз: провести анализ событий, на его основе сделать выводы и реализовать меры противодействия. Вторая функция – хранить собираемые данные в структурированном виде, чтобы их можно было предоставить в качестве доказательств в случае инцидентов.
В идеале SIEM должна обеспечивать контроль информационной системы в режиме реального времени, позволяя реагировать на возникающие события, пока ситуация не стала критической. Нужно четко осознавать тот факт, что основа основ чистой SIEM – это статистика и математика.
Система не сможет принимать решения за вас и обеспечивать какие-либо защитные меры. Принимать решения и действовать будете вы и ваши защитные системы, а SIEM только подскажет, когда и в каком направлении нужно работать.
SIEM нужна для того, чтобы экономить время. Если у вас используется набор защитных систем (DLP, IDS, межсетевые экраны и т.д.), то при отсутствии SIEM сотрудники отдела информационной безопасности будут тратить очень много времени на обработку логов каждой отдельной системы.
Но есть другой нюанс: недостаточно просто установить SIEM "из коробки". Вам потребуется написать ТЗ на использование системы с учетом имеющейся информационной инфраструктуры, а это значит, что необходимо провести ее предварительный аудит. Затем вы должны выбрать SIEM и только потом начать внедрение системы, а оно состоит из нескольких этапов:
- установка и базовая настройка;
- после периода пробной эксплуатации – создание дополнительных правил, учитывающих особенности обработки информации в конкретной организации;
- тестовая эксплуатация;
- корректировка.
И только потом – ввод в эксплуатацию. Все это может происходить в несколько итераций и определенно займет существенное время.
SIEM – это хорошие системы, но нужно четко осознавать, для чего они созданы и каковы особенности их использования.
ГИС ГосСОПКА
В качестве меры организации защиты объектов КИИ государство предлагает подключение к системе ГосСОПКА.
В этом случае, как и в случае с SIEM, есть нюансы, о которых нужно знать.
Государство не берет на себя обязательство защищать ваши информационные системы от атак. Центры ГосСОПКА выполняют следующие функции:
- выявление и анализ уязвимостей обслуживаемых информационных систем, а также координацию действий по устранению найденных уязвимостей;
- анализ событий, регистрируемых компонентами обслуживаемых информационных систем и средствами их защиты, для поиска признаков атак, направленных на эти системы;
- координацию действий по реагированию на обнаруженную атаку, если же атака привела к инциденту – по ликвидации последствий этого инцидента;
- расследование инцидентов и ретроспективный анализ атак, которые не удалось предотвратить;
- информирование персонала обслуживаемых информационных систем.
Системы ГосСОПКА не заменяют собой никакие собственные системы субъекта КИИ, а только осуществляют вспомогательную информационную функцию. И если ваша система информационной безопасности даст сбой, то ГосСОПКА окажет посильную помощь.
Эта концепция сформирована и отражена в нормативных документах о безопасности КИИ. Государство подчеркивает, что вы сами должны обеспечивать безопасность. Система ГосСОПКА оценивает целевую систему, производя инвентаризацию, выявляя уязвимости, и производит анализ угроз, учитывая опыт обработки других информационных систем, а также предоставляет сценарии для разных типов угроз.
Любой опыт системы по реализации сценариев защиты используется в дальнейшем, помогая менять сценарии и способствовать развитию системы.
Итак, безопасность информационной структуры – это область ответственности субъекта КИИ. В обработке данных и событий информационной безопасности может помочь государство. SIEM не решает проблемы, но осуществляет вспомогательную функцию, кроме того, требует определенной инфраструктуры, над которой она надстраивается. Осталось восполнить одно недостающее звено, чтобы с нуля построить систему, соответствующую 187-ФЗ, и при этом уложиться в сроки, касающиеся мероприятий с КИИ.
StaffCop – на стыке SIEM и DLP
Если раньше общей концепцией производства ПО было наращивание функционала продукта, то сейчас акцент смещается в сторону одного из двух типов:
- решения, работающие "из коробки";
- решения, объединяющие в себе разные системы.
Время интеграции – это такой же важный фактор, как и функциональность.
Для соответствия функционала приказу ФСТЭК России № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" в StaffCop Enterprise имеются следующие возможности:
- контроль ввода-вывода информации на машинные носители информации – сеть, USB, CD, запись/удаление/печать и т.д.;
- контроль подключения электронных носителей информации – применительно ко всей системе/конкретному сегменту/компьютеру/пользователю, список запрещенных/список разрешенных/разрешение только на чтение;
- контроль и анализ сетевого трафика – вся работа пользователей в сети: время, проведенное на сайтах, список посещенных сайтов, заполнение веб-форм и т.д., а также возможность настройки белого списка сайтов и блокировка доступа к нежелательным;
- контроль файлов – контроль любых операций с файлами, включая передачу через сеть;
- инвентаризационные функции – контроль конфигурации аппаратной части и программной;
- детектор аномалий – аналитический инструмент, который позволяет составить модель поведения сотрудника во время рабочего процесса и реагирующий на отклонения в поведении.
StaffCop Enterprise идет по пути совмещения функций SIEM и DLP, позволяя при небольших затратах получить весь необходимый функционал, соответствующий требованиям 187-ФЗ.
Наши исследования показывают, что по времени развертывания StaffCop Enterprise является одним из быстрейших решений на рынке. Все, что требуется, – развернуть с образа серверную часть, установить агенты на выбранные рабочие станции и настроить антивирус. Причем установить агенты вы можете удаленно, импортировав, например, адреса хостов в установщик, чтобы ускорить процесс, либо проведя сканирование сети и считав данные из домена.
Уменьшение затрат достигается за счет того, что заказчику не требуется приобретать сторонние лицензии, он покупает только сам комплекс: все, что нужно, уже включено в комплект поставки.
Учитывая, что многие организации подключаются к системам ГосСОПКА, в StaffCop Enterprise реализована функция формирования специального протокола, который можно передавать в другие SIEM, в частности в ГосСОПКА. Тот набор данных, которые собирает и анализирует Staffcop Enterprise, дополняет общий срез ИБ и подходит для построения защиты КИИ – подтверждением этого и является сертификат ФСТЭК № 4234 от 15 апреля 2020 г.
Заключение
Государство готово помочь предприятиям частного сектора любого масштаба в анализе событий ИБ с помощью ГИС ГосСОПКА. Поэтому необходимо сосредоточиться на выборе наиболее оптимального решения, позволяющего интегрироваться с ГосСОПКА. StaffСop Enterprise полностью соответствует требованиям федерального закона и включает в себя необходимый функционал, покрывающий потребности любой организации. Само использование программного комплекса не требует особых знаний, и любой сотрудник, как показывает практика, способен быстро научиться с ним обращаться. Документация на программный комплекс находится в открытом доступе, что позволяет ознакомиться с возможностями продукта до его непосредственного тестирования.
В условиях мировой нестабильности Staffcop Enterprise является одним из лучших решений по обеспечению ИБ, сочетая в себе малое время развертывания, многофункциональность, технологичность и низкую стоимость.