Контакты
Подписка 2025
Статьи по информационной безопасности

Реализация требований 187-ФЗ на стыке SIEM и DLP

Дмитрий Кандыбович, 13/10/20

Нормативная база о безопасности КИИ содержит в себе вполне конкретные требования по организации системы защиты, поэтому выбор решения для ее обеспечения оказывается очень непростым. В статье пойдет речь о том, как в условиях ограниченного бюджета построить с нуля систему, соответствующую 187-ФЗ.

Автор: Дмитрий Кандыбович, генеральный директор Staffcop (ООО “Атом безопасность”)

1 января 2018 г. вступил в силу Федеральный закон от 26.07.2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", являющийся частью Доктрины информационной безопасности Российской Федерации. Из него следует определение объектов КИИ – это автоматизированные системы управления, информационные системы, сети и телекоммуникации – а также определение субъектов КИИ: ими являются владельцы указанных типов систем, в первую очередь те, что работают в одной из определенных в законе отраслей.

Не станем подробно останавливаться на тонких местах 187-ФЗ, проблемах его правоприменения, качестве проработки или качестве выполнения регулятором своих функций.

Рассмотрим варианты применения закона на практике: что же можно использовать, чтобы защитить свои информационные системы.

Закон определяет мероприятия, предписанные субъектам КИИ:

  • категорирование объектов КИИ;
  • создание системы обеспечения безопасности объектов КИИ;
  • интеграцию с ГосСОПКА.

В контексте данной статьи рассмотрим аспекты создания системы обеспечения безопасности и интеграцию с ГосСОПКА. Причем, согласно закону, объект КИИ может относиться к категории значимых, а может и не относиться. В первом случае вы реализуете систему защиты на свое усмотрение, а во втором у вас появляется вспомогательная система.

Конечно же, у вас могут быть предустановленные системы, и как раз о них дальше пойдет речь.

SIEM-системы

SIEM – это система, собирающая данные об общем состоянии и безопасности информационной системы из различных источников и предоставляющая их пользователю в рамках единого интерфейса. Ее ключевой функцией является работа на упреждение угроз: провести анализ событий, на его основе сделать выводы и реализовать меры противодействия. Вторая функция – хранить собираемые данные в структурированном виде, чтобы их можно было предоставить в качестве доказательств в случае инцидентов.

В идеале SIEM должна обеспечивать контроль информационной системы в режиме реального времени, позволяя реагировать на возникающие события, пока ситуация не стала критической. Нужно четко осознавать тот факт, что основа основ чистой SIEM – это статистика и математика.

Система не сможет принимать решения за вас и обеспечивать какие-либо защитные меры. Принимать решения и действовать будете вы и ваши защитные системы, а SIEM только подскажет, когда и в каком направлении нужно работать.

SIEM нужна для того, чтобы экономить время. Если у вас используется набор защитных систем (DLP, IDS, межсетевые экраны и т.д.), то при отсутствии SIEM сотрудники отдела информационной безопасности будут тратить очень много времени на обработку логов каждой отдельной системы.

Но есть другой нюанс: недостаточно просто установить SIEM "из коробки". Вам потребуется написать ТЗ на использование системы с учетом имеющейся информационной инфраструктуры, а это значит, что необходимо провести ее предварительный аудит. Затем вы должны выбрать SIEM и только потом начать внедрение системы, а оно состоит из нескольких этапов:

  • установка и базовая настройка;
  • после периода пробной эксплуатации – создание дополнительных правил, учитывающих особенности обработки информации в конкретной организации;
  • тестовая эксплуатация;
  • корректировка.

И только потом – ввод в эксплуатацию. Все это может происходить в несколько итераций и определенно займет существенное время.

SIEM – это хорошие системы, но нужно четко осознавать, для чего они созданы и каковы особенности их использования.

ГИС ГосСОПКА

В качестве меры организации защиты объектов КИИ государство предлагает подключение к системе ГосСОПКА.

В этом случае, как и в случае с SIEM, есть нюансы, о которых нужно знать.

Государство не берет на себя обязательство защищать ваши информационные системы от атак. Центры ГосСОПКА выполняют следующие функции:

  • выявление и анализ уязвимостей обслуживаемых информационных систем, а также координацию действий по устранению найденных уязвимостей;
  • анализ событий, регистрируемых компонентами обслуживаемых информационных систем и средствами их защиты, для поиска признаков атак, направленных на эти системы;
  • координацию действий по реагированию на обнаруженную атаку, если же атака привела к инциденту – по ликвидации последствий этого инцидента;
  • расследование инцидентов и ретроспективный анализ атак, которые не удалось предотвратить;
  • информирование персонала обслуживаемых информационных систем.

Системы ГосСОПКА не заменяют собой никакие собственные системы субъекта КИИ, а только осуществляют вспомогательную информационную функцию. И если ваша система информационной безопасности даст сбой, то ГосСОПКА окажет посильную помощь.

Эта концепция сформирована и отражена в нормативных документах о безопасности КИИ. Государство подчеркивает, что вы сами должны обеспечивать безопасность. Система ГосСОПКА оценивает целевую систему, производя инвентаризацию, выявляя уязвимости, и производит анализ угроз, учитывая опыт обработки других информационных систем, а также предоставляет сценарии для разных типов угроз.

Любой опыт системы по реализации сценариев защиты используется в дальнейшем, помогая менять сценарии и способствовать развитию системы.

Итак, безопасность информационной структуры – это область ответственности субъекта КИИ. В обработке данных и событий информационной безопасности может помочь государство. SIEM не решает проблемы, но осуществляет вспомогательную функцию, кроме того, требует определенной инфраструктуры, над которой она надстраивается. Осталось восполнить одно недостающее звено, чтобы с нуля построить систему, соответствующую 187-ФЗ, и при этом уложиться в сроки, касающиеся мероприятий с КИИ.

StaffCop – на стыке SIEM и DLP

Если раньше общей концепцией производства ПО было наращивание функционала продукта, то сейчас акцент смещается в сторону одного из двух типов:

  • решения, работающие "из коробки";
  • решения, объединяющие в себе разные системы.

Время интеграции – это такой же важный фактор, как и функциональность.

Для соответствия функционала приказу ФСТЭК России № 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" в StaffCop Enterprise имеются следующие возможности:

  • контроль ввода-вывода информации на машинные носители информации – сеть, USB, CD, запись/удаление/печать и т.д.;
  • контроль подключения электронных носителей информации – применительно ко всей системе/конкретному сегменту/компьютеру/пользователю, список запрещенных/список разрешенных/разрешение только на чтение;
  • контроль и анализ сетевого трафика – вся работа пользователей в сети: время, проведенное на сайтах, список посещенных сайтов, заполнение веб-форм и т.д., а также возможность настройки белого списка сайтов и блокировка доступа к нежелательным;
  • контроль файлов – контроль любых операций с файлами, включая передачу через сеть;
  • инвентаризационные функции – контроль конфигурации аппаратной части и программной;
  • детектор аномалий – аналитический инструмент, который позволяет составить модель поведения сотрудника во время рабочего процесса и реагирующий на отклонения в поведении.

StaffCop Enterprise идет по пути совмещения функций SIEM и DLP, позволяя при небольших затратах получить весь необходимый функционал, соответствующий требованиям 187-ФЗ.

Наши исследования показывают, что по времени развертывания StaffCop Enterprise является одним из быстрейших решений на рынке. Все, что требуется, – развернуть с образа серверную часть, установить агенты на выбранные рабочие станции и настроить антивирус. Причем установить агенты вы можете удаленно, импортировав, например, адреса хостов в установщик, чтобы ускорить процесс, либо проведя сканирование сети и считав данные из домена.

Уменьшение затрат достигается за счет того, что заказчику не требуется приобретать сторонние лицензии, он покупает только сам комплекс: все, что нужно, уже включено в комплект поставки.

Учитывая, что многие организации подключаются к системам ГосСОПКА, в StaffCop Enterprise реализована функция формирования специального протокола, который можно передавать в другие SIEM, в частности в ГосСОПКА. Тот набор данных, которые собирает и анализирует Staffcop Enterprise, дополняет общий срез ИБ и подходит для построения защиты КИИ – подтверждением этого и является сертификат ФСТЭК № 4234 от 15 апреля 2020 г.

Заключение

Государство готово помочь предприятиям частного сектора любого масштаба в анализе событий ИБ с помощью ГИС ГосСОПКА. Поэтому необходимо сосредоточиться на выборе наиболее оптимального решения, позволяющего интегрироваться с ГосСОПКА. StaffСop Enterprise полностью соответствует требованиям федерального закона и включает в себя необходимый функционал, покрывающий потребности любой организации. Само использование программного комплекса не требует особых знаний, и любой сотрудник, как показывает практика, способен быстро научиться с ним обращаться. Документация на программный комплекс находится в открытом доступе, что позволяет ознакомиться с возможностями продукта до его непосредственного тестирования.

В условиях мировой нестабильности Staffcop Enterprise является одним из лучших решений по обеспечению ИБ, сочетая в себе малое время развертывания, многофункциональность, технологичность и низкую стоимость.
Темы:DLPSIEMГосСОПКАКИИЖурнал "Информационная безопасность" №4, 2020

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (июнь) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 17-18 июня →
Статьи по той же темеСтатьи по той же теме

  • Особенности защиты данных в медицинских организациях
    Дмитрий Вощуков, GR-специалист "СёрчИнформ"
    Отрасль здравоохранения является одной из самых зарегулированных. Однако, число инцидентов ИБ растет, и цена нарушения в медучреждении высока. Разберем, с какими типовыми нарушениями сталкиваются медицинские организации и как на практике реализуются меры информационной безопасности в здравоохранении.
  • Где кончается SIEM и начинается конвергенция?
    В ближайшие годы SIEM-системы продолжат расширять свою функциональность, интегрируясь с различными ИБ- и ИТ-решениями. Некоторые вендоры делают ставку на кросс-продуктовые сценарии внутри собственной экосистемы, другие – на расширение возможностей через машинное обучение и интеллектуальный анализ данных. Одновременно изменяется подход к управлению данными в SIEM: увеличивающееся количество источников событий и рост объема событий требуют более мощных инструментов нормализации, сжатия и анализа информации. 
  • Изоляция как стратегия: однонаправленные шлюзы для промышленного сегмента сети
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Обеспечение безопасности АСУ ТП является комплексной задачей часть из направлений которой так или иначе связана с мерами по сегментации сетевой инфраструктуры и выбором решений по изоляции АСУ ТП от внешних воздействий и несанкционированного доступа. Решением по сегментации являются однонаправленные шлюзы, они же диоды данных или инфодиоды.
  • Частые ошибки при проектировании системы защиты ОКИИ
    В 2025 году объекты КИИ, по-видимому, будут переживать этап значительных преобразований и модернизации, с фокусом на отечественные разработки и повышение уровня защиты. Вместе с экспертами рассмотрим основные риски для объектов КИИ, а также ошибки, которые часто допускаются при проектировании систем безопасности.
  • Как разгрузить SIEM, уже работающую в инфраструктуре?
    Оптимизация SIEM требует внимательного подхода, чтобы добиться реального эффекта в производительности, не навредив работе системы. Эксперты в этой области делятся рецептами, проверенными практикой.
  • Слово не воробей, но DLP его поймает
    Дмитрий Костров, заместитель ГД по информационной безопасности ДКБ, IEK GROUP
    Информация – ценный актив и важнейшее достояние компании, требующее надежной защиты. Подходы к защите информации могут значительно различаться, но требования регуляторов обязывают компании обеспечивать безопасность данных, включая защиту ПДн. А ответственность за необходимость охраны коммерческой тайны ложится на плечи подразделений информационной безопасности. Помимо прочего, существует “чувствительная информация”, утечка которой способна привести к крайне негативным последствиям.

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 17-18 июня →

More...
ТБ Форум 2025
18 июня | Форум ITSEC Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности