Контакты
Подписка 2024

Реализация требований 187-ФЗ на стыке SIEM и DLP

Дмитрий Кандыбович, 13/10/20

Нормативная база о безопасности КИИ содержит в себе вполне конкретные требования по организации системы защиты, поэтому выбор решения для ее обеспечения оказывается очень непростым. В статье пойдет речь о том, как в условиях ограниченного бюджета построить с нуля систему, соответствующую 187-ФЗ.

Автор: Дмитрий Кандыбович, генеральный директор Staffcop (ООО “Атом безопасность”)

1 января 2018 г. вступил в силу Федеральный закон от 26.07.2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", являющийся частью Доктрины информационной безопасности Российской Федерации. Из него следует определение объектов КИИ – это автоматизированные системы управления, информационные системы, сети и телекоммуникации – а также определение субъектов КИИ: ими являются владельцы указанных типов систем, в первую очередь те, что работают в одной из определенных в законе отраслей.

Не станем подробно останавливаться на тонких местах 187-ФЗ, проблемах его правоприменения, качестве проработки или качестве выполнения регулятором своих функций.

Рассмотрим варианты применения закона на практике: что же можно использовать, чтобы защитить свои информационные системы.

Закон определяет мероприятия, предписанные субъектам КИИ:

  • категорирование объектов КИИ;
  • создание системы обеспечения безопасности объектов КИИ;
  • интеграцию с ГосСОПКА.

В контексте данной статьи рассмотрим аспекты создания системы обеспечения безопасности и интеграцию с ГосСОПКА. Причем, согласно закону, объект КИИ может относиться к категории значимых, а может и не относиться. В первом случае вы реализуете систему защиты на свое усмотрение, а во втором у вас появляется вспомогательная система.

Конечно же, у вас могут быть предустановленные системы, и как раз о них дальше пойдет речь.

SIEM-системы

SIEM – это система, собирающая данные об общем состоянии и безопасности информационной системы из различных источников и предоставляющая их пользователю в рамках единого интерфейса. Ее ключевой функцией является работа на упреждение угроз: провести анализ событий, на его основе сделать выводы и реализовать меры противодействия. Вторая функция – хранить собираемые данные в структурированном виде, чтобы их можно было предоставить в качестве доказательств в случае инцидентов.

В идеале SIEM должна обеспечивать контроль информационной системы в режиме реального времени, позволяя реагировать на возникающие события, пока ситуация не стала критической. Нужно четко осознавать тот факт, что основа основ чистой SIEM – это статистика и математика.

Система не сможет принимать решения за вас и обеспечивать какие-либо защитные меры. Принимать решения и действовать будете вы и ваши защитные системы, а SIEM только подскажет, когда и в каком направлении нужно работать.

SIEM нужна для того, чтобы экономить время. Если у вас используется набор защитных систем (DLP, IDS, межсетевые экраны и т.д.), то при отсутствии SIEM сотрудники отдела информационной безопасности будут тратить очень много времени на обработку логов каждой отдельной системы.

Но есть другой нюанс: недостаточно просто установить SIEM "из коробки". Вам потребуется написать ТЗ на использование системы с учетом имеющейся информационной инфраструктуры, а это значит, что необходимо провести ее предварительный аудит. Затем вы должны выбрать SIEM и только потом начать внедрение системы, а оно состоит из нескольких этапов:

  • установка и базовая настройка;
  • после периода пробной эксплуатации – создание дополнительных правил, учитывающих особенности обработки информации в конкретной организации;
  • тестовая эксплуатация;
  • корректировка.

И только потом – ввод в эксплуатацию. Все это может происходить в несколько итераций и определенно займет существенное время.

SIEM – это хорошие системы, но нужно четко осознавать, для чего они созданы и каковы особенности их использования.

ГИС ГосСОПКА

В качестве меры организации защиты объектов КИИ государство предлагает подключение к системе ГосСОПКА.

В этом случае, как и в случае с SIEM, есть нюансы, о которых нужно знать.

Государство не берет на себя обязательство защищать ваши информационные системы от атак. Центры ГосСОПКА выполняют следующие функции:

  • выявление и анализ уязвимостей обслуживаемых информационных систем, а также координацию действий по устранению найденных уязвимостей;
  • анализ событий, регистрируемых компонентами обслуживаемых информационных систем и средствами их защиты, для поиска признаков атак, направленных на эти системы;
  • координацию действий по реагированию на обнаруженную атаку, если же атака привела к инциденту – по ликвидации последствий этого инцидента;
  • расследование инцидентов и ретроспективный анализ атак, которые не удалось предотвратить;
  • информирование персонала обслуживаемых информационных систем.

Системы ГосСОПКА не заменяют собой никакие собственные системы субъекта КИИ, а только осуществляют вспомогательную информационную функцию. И если ваша система информационной безопасности даст сбой, то ГосСОПКА окажет посильную помощь.

Эта концепция сформирована и отражена в нормативных документах о безопасности КИИ. Государство подчеркивает, что вы сами должны обеспечивать безопасность. Система ГосСОПКА оценивает целевую систему, производя инвентаризацию, выявляя уязвимости, и производит анализ угроз, учитывая опыт обработки других информационных систем, а также предоставляет сценарии для разных типов угроз.

Любой опыт системы по реализации сценариев защиты используется в дальнейшем, помогая менять сценарии и способствовать развитию системы.

Итак, безопасность информационной структуры – это область ответственности субъекта КИИ. В обработке данных и событий информационной безопасности может помочь государство. SIEM не решает проблемы, но осуществляет вспомогательную функцию, кроме того, требует определенной инфраструктуры, над которой она надстраивается. Осталось восполнить одно недостающее звено, чтобы с нуля построить систему, соответствующую 187-ФЗ, и при этом уложиться в сроки, касающиеся мероприятий с КИИ.

StaffCop – на стыке SIEM и DLP

Если раньше общей концепцией производства ПО было наращивание функционала продукта, то сейчас акцент смещается в сторону одного из двух типов:

  • решения, работающие "из коробки";
  • решения, объединяющие в себе разные системы.

Время интеграции – это такой же важный фактор, как и функциональность.

Для соответствия функционала приказу ФСТЭК России № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" в StaffCop Enterprise имеются следующие возможности:

  • контроль ввода-вывода информации на машинные носители информации – сеть, USB, CD, запись/удаление/печать и т.д.;
  • контроль подключения электронных носителей информации – применительно ко всей системе/конкретному сегменту/компьютеру/пользователю, список запрещенных/список разрешенных/разрешение только на чтение;
  • контроль и анализ сетевого трафика – вся работа пользователей в сети: время, проведенное на сайтах, список посещенных сайтов, заполнение веб-форм и т.д., а также возможность настройки белого списка сайтов и блокировка доступа к нежелательным;
  • контроль файлов – контроль любых операций с файлами, включая передачу через сеть;
  • инвентаризационные функции – контроль конфигурации аппаратной части и программной;
  • детектор аномалий – аналитический инструмент, который позволяет составить модель поведения сотрудника во время рабочего процесса и реагирующий на отклонения в поведении.

StaffCop Enterprise идет по пути совмещения функций SIEM и DLP, позволяя при небольших затратах получить весь необходимый функционал, соответствующий требованиям 187-ФЗ.

Наши исследования показывают, что по времени развертывания StaffCop Enterprise является одним из быстрейших решений на рынке. Все, что требуется, – развернуть с образа серверную часть, установить агенты на выбранные рабочие станции и настроить антивирус. Причем установить агенты вы можете удаленно, импортировав, например, адреса хостов в установщик, чтобы ускорить процесс, либо проведя сканирование сети и считав данные из домена.

Уменьшение затрат достигается за счет того, что заказчику не требуется приобретать сторонние лицензии, он покупает только сам комплекс: все, что нужно, уже включено в комплект поставки.

Учитывая, что многие организации подключаются к системам ГосСОПКА, в StaffCop Enterprise реализована функция формирования специального протокола, который можно передавать в другие SIEM, в частности в ГосСОПКА. Тот набор данных, которые собирает и анализирует Staffcop Enterprise, дополняет общий срез ИБ и подходит для построения защиты КИИ – подтверждением этого и является сертификат ФСТЭК № 4234 от 15 апреля 2020 г.

Заключение

Государство готово помочь предприятиям частного сектора любого масштаба в анализе событий ИБ с помощью ГИС ГосСОПКА. Поэтому необходимо сосредоточиться на выборе наиболее оптимального решения, позволяющего интегрироваться с ГосСОПКА. StaffСop Enterprise полностью соответствует требованиям федерального закона и включает в себя необходимый функционал, покрывающий потребности любой организации. Само использование программного комплекса не требует особых знаний, и любой сотрудник, как показывает практика, способен быстро научиться с ним обращаться. Документация на программный комплекс находится в открытом доступе, что позволяет ознакомиться с возможностями продукта до его непосредственного тестирования.

В условиях мировой нестабильности Staffcop Enterprise является одним из лучших решений по обеспечению ИБ, сочетая в себе малое время развертывания, многофункциональность, технологичность и низкую стоимость.

Темы:DLPSIEMГосСОПКАКИИЖурнал "Информационная безопасность" №4, 2020

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Посетить
Обзоры. Спец.проекты. Исследования
Персональные данные в 2025 году: новые требования и инструменты. Что нужно знать бизнесу о защите ПДн?
Получите комментарии экспертов на ITSEC 2024
Статьи по той же темеСтатьи по той же теме

  • Скрытые расходы: как эксплуатационные затраты меняют стоимость лицензии SIEM
    Виктор Никуличев, руководитель продукта R-Vision SIEM в компании R-Vision
    Основываясь на практическом опыте работы с клиентами, мы исследовали факторы, влияющие на стоимость обслуживания SIEM-системы в долгосрочной перспективе с учетом работ инженерных специалистов. Стоимость эксплуатации складывается не только из расходов на лицензии, но и из затрат на работы, которые находятся в "серой зоне", так как их обычно не учитывают в первичных расчетах.
  • Парадокс возможностей: как развитие SIEM угрожает задачам заказчиков
    Павел Пугач, системный аналитик “СёрчИнформ”
    Когда компания закупает ИБ-систему и активно ей пользуется, аппетиты тоже начинают расти: хочется, чтобы система могла все больше, решая максимум задач в одном окне. При этом возникает риск, что дополнительные функции вытеснят основные. Рассмотрим на примере SIEM, как рынок размывает задачи систем и выводит их за рамки своего класса, и что в таком случае лучше выбрать заказчикам.
  • Тренды информационной безопасности, и как они влияют на SIEM
    Cовременные тренды в области информационной безопасности: явное смещение фокуса к облачным решениям, сервисным моделям и интеграции искусственного интеллекта. Это ставит новые требования к системам SIEM. Архитектура решения становится критически важной для обеспечения гибкости и масштабируемости, необходимых для успешной защиты инфраструктуры.
  • Инновации в DLP и DCAP и новые классы решений
    Эксперты в области систем для защиты от утечек поделились своим мнением о том, как развиваются решения классов DLP и DCAP и какие инновации появились в этом сегменте за последний год.
  • "Открытый контроль" как профилактика утечек информации. Что предлагают DLP?
    Алексей Дрозд, Директор учебного центра "СёрчИнформ"
    Исследование “СёрчИнформ” показало, что только 18% компаний в России оценивают уровень киберграмотности своих сотрудников как хороший.
  • Из DLP в DLP. Обзор развития российского рынка DCAP
    Владимир Ульянов, руководитель аналитического центра Zecurion
    DCAP долгое время находился в поисках своего места в сложной иерархии средств информационной безопасности. Он родился под названием DAG, конкурировал с такими альтернативами, как DSG и UDM, а как только обрел общепринятое название в рамках концепции DCAP, начал испытывать притязания со стороны старого союзника – DLP, вместе с которым защищал корпоративные данные еще до выделения в отдельный класс. Разберемся в истории развития DCAP и его перспективах.

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Защищенный удаленный доступ: как обеспечить контроль работы внешних сотрудников
Узнайте на ITSEC 2024!

More...
Обзоры. Исследования. Спец.проекты
Защита АСУ ТП и объектов КИИ: готовимся к 2025 году
Жми, чтобы участвовать

More...