События безопасности подлежащие регистрации

Регламент регистрации событий безопасности в информационной системе

на заседании общего собрания трудового коллектива

от «___» _________ 20___ г.

на заседании профкома

от «___» _________ 20___ г.

________ Т.Ю. Моржина

Директор Средней школы № 66

________ Н.А. Софронова

«___» _________ 20___ г.

регистрации событий безопасности

в информационной системе «Сетевой город. Образование»

1.1. Настоящий Регламент регистрации событий безопасности (далее – Регламент) регламентирует порядок регистрации событий безопасности в информационной системе «Сетевой город. Образование» в муниципальном бюджетном общеобразовательном учреждении города Ульяновска «Средняя школа № 66» (далее – Оператор) в соответствии с законодательством Российской Федерации.

1.2. Настоящий Регламент разработан в соответствии с:

Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных»;

Федеральным законом от 27 июля 2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Приказом ФСТЭК от 11 февраля 2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;

Приказом ФСТЭК от 18 февраля 2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

1.3. Для целей настоящего Положения используются следующие основные понятия:

персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);

информационная система персональных данных (ИСПДн) – система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

несанкционированный доступ – доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации. Также несанкционированным доступом в отдельных случаях называют получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей.

2. Порядок работы с электронными журналами протоколирования и аудита событий безопасности

2.1. Выполнение требований по безопасности для подсистемы «Регистрация событий безопасности» осуществляются организационными мерами и сертифицированными СЗИ.

2.2. Правила и порядок протоколирования и аудита значимых событий в ИС «Сетевой город. Образование» направлены на превентивную фиксацию и изучение действий субъектов и объектов, а также на своевременное выявление фактов НСД к защищаемой информации.

2.3. Все события, происходящие в ОС, ИС «Сетевой город. Образование», других критических приложениях и СЗИ должны протоколироваться в специальные электронные журналы аудита.

2.4. В перечень регистрируемых событий безопасности входят:

вход (выход), а также попытки входа субъектов доступа в информационную систему;

запуск (завершение) программ и процессов (заданий), связанных с обработкой защищаемой информации;

изменение политики безопасности информационной системы;

изменение состава привилегированных пользователей и привилегий учётных записей;

попытки удалённого доступа;

иная информация, необходимая при последующем разборе инцидентов информационной безопасности (в том числе полнотекстовая запись привилегированных команд (команд, управляющих системными функциями));

2.5. Срок хранения зарегистрированных событий – не менее 1 месяца.

2.6. На ПЭВМ, входящим в состав ИС «Сетевой город. Образование», на которых установлены СЗИ от НСД, проверка соответствующего электронного журнала событий, формируемых данными СЗИ, производится в соответствии с прилагаемой к ним эксплуатационной и технической документацией.

2.7. Аудит событий, зафиксированных в электронных журналах, должен анализироваться в плановом порядке на постоянной основе не реже одного раза в месяц Администраторами ИБ.

2.8. Администраторы ИБ обязаны выполнять пересмотр перечня событий безопасности, подлежащих регистрации, не менее чем один раз в год, а также по результатам контроля (мониторинга) за обеспечением уровня защищённости информации, содержащейся в информационной системе.

2.9. Администраторы ИБ обязаны следить за выполнением требований по безопасности ПДн в ИС «Сетевой город. Образование» в соответствии с классом ИС и уровнем защищенности ПДн для подсистемы «Регистрация событий безопасности», приведёнными в Приказе ФСТЭК от 11 февраля 2013 г. №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», Приказе ФСТЭК от 18 февраля 2013 г. №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

2.10. Ответственный за обеспечение безопасности ПДн и Администраторы ИБ обязаны реагировать на события безопасности в течении минимально возможного времени.

2.11. Ответственный за обеспечение безопасности ПДн и Администраторы ИБ обязаны проводить своевременный мониторинг журналов безопасности.

2.12. Ответственный за обеспечение безопасности ПДн и Администраторы ИБ обязаны осуществлять при необходимости копирование и резервирование журналов безопасности.

3. Ответственность при организации регистрации событий безопасности

3.1. Ответственность за организацию регистрации событий безопасности и установление порядка её проведения, в соответствии с требованиями настоящих Правил, возлагается на Администраторов ИБ.

3.2. Ответственность за поддержание установленного порядка и соблюдение требований настоящих Правил возлагается на Ответственного за обработку и защиту ПДн.

3.3. Периодический контроль за выполнением всех требований настоящих Правил осуществляется Администраторами ИБ.

СЗПДн. Проектирование. Регистрация событий ИБ

В рамках создания и эксплуатации любой СЗПДн необходимо регистрировать, собирать, просматривать, анализировать события ИБ и реагировать на выявленные нарушения.

Чтобы ничего не упустить, вспомним требования из НД регуляторов:

Приказ ФСТЭК Р №21:

“8.5. Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.

V. Регистрация событий безопасности (РСБ)

РСБ.1 Определение событий безопасности, подлежащих регистрации, и сроков их хранения

РСБ.2 Определение состава и содержания информации о событиях безопасности, подлежащих регистрации

РСБ.3 Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения

РСБ.5 Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

РСБ.7 Защита информации о событиях безопасности

XI. Защита среды виртуализации (ЗСВ)

ЗСВ.3 Регистрация событий безопасности в виртуальной инфраструктуре”

Приказ ФСБ Р №378:

“20. Для выполнения требования, указанного в пункте 19 настоящего документа, необходимо:

б) обеспечение информационной системы автоматизированными средствами, регистрирующими запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам в электронном журнале сообщений;

23. Для выполнения требования, указанного в подпункте «а» пункта 22 настоящего документа, необходимо:

а) обеспечение информационной системы автоматизированными средствами, позволяющими автоматически регистрировать в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;

б) отражение в электронном журнале безопасности полномочий сотрудников оператора персональных данных по доступу к персональным данным, содержащимся в информационной системе. Указанные полномочия должны соответствовать должностным обязанностям сотрудников оператора;

в) назначение оператором лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия отраженных в нем полномочий сотрудников оператора их должностным обязанностям (не реже 1 раза в месяц).”

Как минимум вам необходимо иметь план регистрации, сбору и анализу событий ИБ. Если же вы заказываете проектирование СЗПДн или разработку ОРД или ЭД, то необходимо требовать наличия в них разделов связанных с регистрацией событий ИБ.

Для типовой СЗПДн план регистрации событий будет примерно следующий (для типового оператора с центральным офисом в 500 чел. и двумя удаленными офисами в 100 чел. и типовым набором СЗИ в рамках СЗПДн)

Для примера расчетов использовались условные предположения о том, что в среднем пользователь раз в 10 минут обращается к новому ресурсу, 2 раза в день запускает (пробуждает) ОС, 8 раз входит в ОС (после блокирования сессии), активный пользователь ИСПДн раз в минуту обращается к ПДн, 10 раз в день печатает документ, удаленный пользователь 2 раза в день подключается по VPN и т.п. предположения основанные на опыте. Данные цифры необходимо будет заменить на актуальные для вашей компании.

Если вы планируете хранить события ИБ на разных серверах, то необходимо ещё добавить столбец с указанием сервера и места хранения событий для каждого источника. Для упрощения, я предполагаю, что события будут собираться на один условный сервер.

Когда мы переходим к реализации плана по регистрации, сбору и анализу событий ИБ, мы можем столкнуться со следующими сложностями / проблемами:

• Нам необходимо собирать события ИБ разными способами (Syslog, SNMP, SDEE, копирование файлов, SQL запросы) с большого количества источников (даже с учетом максимальной централизации – от 15 источников).
• Нам необходимо просматривать и анализировать порядка 155 000 событий в день.
• Нам нужно хранить в оперативном доступе порядка 10 000 000 событий и периодически проводить в них поиск в рамках обработки инцидента
• Все компоненты участвующие в регистрации, сборе и анализе событий ИБ реализуют меры ИБ и соответственно должны быть сертифицированы (либо пройти оценку соответствия)

По первым 3 проблемам – надо грамотно планировать трудовые ресурсы на регистрацию, сбор и анализ событий ИБ и пытаться максимально автоматизировать данные процессы (например, SIEM).

Средства оперативного контроля и регистрации событий безопасности

Средства обеспечения и контроля целостности

Средства разграничения доступа

Зоны ответственности и задачи конкретных технических средств защиты устанавливаются исходя из их возможностей и эксплуатационных характеристик, описанных в документации на данные средства.

Технические средства разграничения доступа должны по возможности быть составной частью единой системы контроля доступа:

• на контролируемую территорию; в отдельные помещения;
• к компонентам информационной среды Банка и элементам системы защиты информации (физический доступ);
• к информационным ресурсам (документам, носителям информации, файлам, наборам данных, архивам, справкам и т.д.);
• к активным ресурсам (прикладным программам, задачам и т.п.);
• к операционной системе, системным программам и программам защиты.

Средства обеспечения целостности включают в свой состав средства резервного копирования, программы антивирусной защиты, программы восстановления целостности операционной среды и баз данных.

Средства контроля целостности информационных ресурсов системы предназначены для своевременного обнаружения модификации или искажения ресурсов системы. Они позволяют обеспечить правильность функционирования системы защиты и целостность хранимой и обрабатываемой информации.

Контроль целостности информации и средств защиты, с целью обеспечения неизменности информационной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной модификации информации должен обеспечиваться:

• средствами разграничения доступа (в помещения, к документам, к носителям информации, к серверам, логическим устройствам и т.п.);
• средствами электронно-цифровой подписи; средствами учета;
• средствами подсчета контрольных сумм (для используемого программного обеспечения).

Средства объективного контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т.п.), которые могут повлечь за собой нарушение Концепции безопасности и привести к возникновению кризисных ситуаций. Анализ собранной средствами регистрации информации позволяет выявить факты совершения нарушений, их характер, подсказать метод его расследования и способы поиска нарушителя и исправления ситуации. Средства контроля и регистрации должны предоставлять возможности:

• ведения и анализа журналов регистрации событий безопасности (системных журналов);
• получения твердой копии (печати) журнала регистрации событий безопасности;
• упорядочения журналов, а также установления ограничений на срок их хранения;
• оперативного оповещения администратора безопасности о нарушениях.

При регистрации событий безопасности в журнале должна фиксироваться следующая информация:

• дата и время события;
• идентификатор субъекта, осуществляющего регистрируемое действие;
• действие (тип доступа).

Список мер по обеспечению безопасности персональных данных

Меры по идентификации и аутентификации субъектов доступа и объектов доступа должны обеспечивать присвоение субъектам и объектам доступа уникального признака (идентификатора), сравнение предъявляемого субъектом (объектом) доступа идентификатора с перечнем присвоенных идентификаторов, а также проверку принадлежности субъекту (объекту) доступа предъявленного им идентификатора (подтверждение подлинности).

Меры по управлению доступом субъектов доступа к объектам доступа должны обеспечивать управление правами и привилегиями субъектов доступа, разграничение доступа субъектов доступа к объектам доступа на основе совокупности установленных в информационной системе правил разграничения доступа, а также обеспечивать контроль за соблюдением этих правил.

Меры по ограничению программной среды должны обеспечивать установку и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключать возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения.

Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также несанкционированное использование съемных машинных носителей персональных данных.

Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.

Меры по антивирусной защите должны обеспечивать обнаружение в информационной системе компьютерных программ либо иной компьютерной информации, предназначенной для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, а также реагирование на обнаружение этих программ и информации.

Меры по обнаружению (предотвращению) вторжений должны обеспечивать обнаружение действий в информационной системе, направленных на несанкционированный доступ к информации, специальные воздействия на информационную систему и (или) персональные данные в целях добывания, уничтожения, искажения и блокирования доступа к персональным данным, а также реагирование на эти действия.

Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.

Меры по обеспечению целостности информационной системы и персональных данных должны обеспечивать обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных.

Меры по обеспечению доступности персональных данных должны обеспечивать авторизованный доступ пользователей, имеющих права по доступу, к персональным данным, содержащимся в информационной системе, в штатном режиме функционирования информационной системы.

Меры по защите среды виртуализации должны исключать несанкционированный доступ к персональным данным, обрабатываемым в виртуальной инфраструктуре, и к компонентам виртуальной инфраструктуры и (или) воздействие на них, в том числе к средствам управления виртуальной инфраструктурой, монитору виртуальных машин (гипервизору), системе хранения данных (включая систему хранения образов виртуальной инфраструктуры), сети передачи данных через элементы виртуальной или физической инфраструктуры, гостевым операционным системам, виртуальным машинам (контейнерам), системе и сети репликации, терминальным и виртуальным устройствам, а также системе резервного копирования и создаваемым ею копиям.

Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее — средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей.

Меры по защите информационной системы, ее средств, систем связи и передачи данных должны обеспечивать защиту персональных данных при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы и проектных решений, направленных на обеспечение безопасности персональных данных.

Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов.

Меры по управлению конфигурацией информационной системы и системы защиты персональных данных должны обеспечивать управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений.

ЗАКЛЮЧЕНИЕ

Таким образом, персональные данные это очень важные документы потому, что они представляют собой любую информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы, другую информацию. Персональные данные должны бать, очень хорошо защищены, защитой персональных данных называется комплекс мер, предпринимаемых операторами по противодействию несанкционированному использованию персональных данных, включающих организационно административные и технические методы защиты.

Под безопасностью информационных ресурсов понимается гарантия защиты, информации во времени и пространстве.

Не смотря на осознанное понимание поднятой проблемы как законодательными, так и государственными и коммерческими организациями, персональные данные все же подвержены утечкам информации, ущерб от которых подчас оценивается весьма впечатляющими цифрами.

Отсутствие систематизированного законодательства в сфере персональных данных и специального закона создает состояние правовой незащищенности от несанкционированного доступа к такой информации. На сегодняшний день в российском законодательстве отсутствует и классификация персональных данных, хотя попытка их различия имеет место быть – например, в Трудовом кодексе РФ, где речь идет о так называемых оценочных персональных данных. Между тем зарубежный опыт свидетельствует о целесообразности разделения соответствующей информации на две группы: данные общего характера и особая категория персональных данных, которая определяется как «данные чувствительного свойства» и которой относится информация о расовом происхождении, политических убеждениях, состоянии здоровья, личных пристрастиях и т.д. Персональные данные второй группы должны иметь особый режим защиты и большой уровень конфиденциальности. Сбор, обработка и использование этих данных должны осуществляться только в силу необходимости. Что касается субъектов правоотношений по поводу персональных данных, то, возможно, в число их можно включить и корпоративные объединения, не имеющие статус юридического лица, как это сделано в ряде западных стран.

Многократно возрастающий объем информации ограниченного доступа, в том числе и персональных данных, требуют особой ответственности при решении вопросов регулирование соответствующих правоотношений. Исходным принципом при этом должно стать обеспечение информационной безопасности гражданина, защита его личных прав в условиях информатизации общества. Использование персональных данных должно служить основной задачей – повышению эффективности функционирования основных институтов государственной власти, поскольку высшая цель государства, закрепленная в Конституции РФ — признание, соблюдение и защита прав и свобод человека и гражданина.

Список используемой литературы

1. Федеральный закон «О персональных данных» от 26 января 2007г., № 152-ФЗ.

2. Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ.

3.Конституция Российской Федерации.

4.Федеральный закон от 19.12.2005 №160-ФЗ «О ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных».

5.Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».

6.Постановление Правительства Российской Федерации от 17.11.2007 №781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

7.Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

8.Постановление Правительства Российской Федерации от 06.07.08 №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

9.Приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 №55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных».

10.Приказ Федеральной службы по техническому и экспортному контролю от 05.02.2010 № 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных».

Защита информации от несанкционированного доступа согласно требованиям ФСТЭК России

В феврале 2013 года ФСТЭК России выпустил два приказа (№ 17 и № 21), регулирующих защиту персональных данных в ИСПДн и защиту информации в государственных (и муниципальных) информационных системах (ГИС). В 2014 году список аналогичных документов дополнил приказ ФСТЭК России от 14.03.2014 № 31, в котором сформулированы требования к защите информации в автоматизированных системах управления технологическими процессами (АСУ ТП). В данных приказах приводится перечень базовых мер защиты, которые регулятор требует выполнять с помощью сертифицированных средств защиты информации (СЗИ).

Большинство указанных мер выполняются классическими средствами защиты информации от несанкционированного доступа (СЗИ от НСД). Далее мы рассмотрим, как реализовать набор мер, обязательных для применения в системах 1-го класса (уровня защищенности), с помощью механизмов защиты, реализованных в СЗИ от НСД Secret Net 7.

Идентификация и аутентификация субъектов доступа и объектов доступа

Secret Net заменяет стандартный механизм операционной системы по авторизации пользователей и позволяет проводить аутентификацию как по паролю, так и с использованием аппаратных средств усиленной аутентификации и стандартных сертификатов. Возможно и комбинирование способов аутентификации для достижения двухфакторной (многофакторной) аутентификации. Парольная информация защищена от перехвата как при локальном вводе (маскировка вводимых символов путем замены на «*»), так и при сетевой передаче.

Аутентификация устройств относится к сетевым мерам и реализуется средствами защиты других классов (например, с помощью АПКШ «Континент» или МЭ TrustAccess).

Управление идентификаторами и средствами аутентификации реализовано в Secret Net в программе управления пользователями и в расширениях стандартных оснасток управления Windows, настройки устанавливаются с помощью механизма политик. Гибкие настройки политик аутентификации позволяют настроить режимы аутентификации, задать условия блокировки учетных записей и сеансов пользователей, требования к стойкости парольной информации и другие параметры.

Управление доступом субъектов доступа к объектам доступа

Управление учетными записями в Secret Net осуществляется так же, как и управление аутентификационными данными — в программе управления и расширении оснасток Windows. Пользователи и администраторы в системе разделены с помощью ролей и полномочий.

В Secret Net реализованы собственные механизмы мандатного и дискреционного управления доступа к файлам, директориям и устройствам. Правила разграничения доступа к объектам файловой системы настраиваются в расширениях стандартных механизмов управления Windows, а для настройки доступа к устройствам используется механизм политик.

Доверенная загрузка может выполняться средствами модуля защиты диска, входящего в состав Secret Net, или с помощью аппаратного решения ПАК «Соболь», который интегрируется в Secret Net по управлению и аудиту. Интеграция с ПАК «Соболь» в централизованном режиме управления Secret Net позволяет контролировать доверенную загрузку централизованно, из программы управления Secret Net.

Управление сетевыми потоками, контроль удаленного и беспроводного доступа осуществляются средствами сетевой защиты и выходят за рамки функциональности СЗИ от НСД, но Secret Net способен разрешать или запрещать работу сетевых интерфейсов в зависимости от их типа и, в некоторых случаях, реализовывать данные меры.

Ограничение программной среды

Базовые меры по ограничению программной среды реализуются с помощью механизма замкнутой программной среды Secret Net. Данный механизм позволяет настроить список разрешенных к запуску приложений и модулей, все остальные исполняемые файлы и их компоненты пользователи запустить не смогут. Дополнительно возможна настройка контроля целостности исполняемых файлов, гарантирующих неизменность разрешенных к запуску программ. Если исполняемый файл обладает доверенной электронной цифровой подписью издателя, может быть настроено автоматическое обновление контрольной суммы при установке обновлений, что позволяет проводить плановую установку обновлений программного обеспечения без необходимости перенастройки ЗПС и ручного перерасчета контрольных сумм.

Защита машинных носителей персональных данных

Учет и управление доступом к машинным носителям выполняется в механизмах контроля устройств СЗИ Secret Net. Администратор с помощью политик безопасности может управлять устройствами как на уровне классов и моделей, так и на уровне отдельных устройств. Secret Net контролирует устройства USB, PCMCIA, IEEE1394, внешние диски, SD-карты, сетевые интерфейсы и другие типы устройств. В контроле устройств поддерживается полномочное (мандатное) управление доступом, позволяющее разграничить доступ к оборудованию в зависимости от текущего уровня доступа пользователя.

В состав Secret Net входит модуль гарантированного уничтожения удаляемой информации. При обычной работе данные удаляемых файлов остаются на жестких дисках. Сектора, в которых они хранились, лишь помечаются как свободные области и могут быть перезаписаны позднее, при новых операциях записи на диск. При включении модуля Secret Net удаляемые файлы автоматически затираются с помощью случайной информации и не могут быть в дальнейшем восстановлены. Для обеспечения дополнительных гарантий поддерживается несколько циклов затирания.

Регистрация событий безопасности

Secret Net генерирует события безопасности для всех аспектов защиты, все данные аудита сохраняются на компьютере и доступны для просмотра в локальных журналах. При централизованном режиме работы локальные журналы со всех компьютеров собираются в общую базу данных и доступны к изучению в общей программе управления.

Для регистрации событий используется системный таймер, внутренние системные часы информационной системы. Все журналы защищены от несанкционированного доступа и изменений.

Поддерживаются механизмы квитирования событий НСД в централизованном режиме, для каждого события можно отметить их обработку. При просмотре событий поддерживаются различные способы фильтрации данных.

Обеспечение целостности информационной системы и персональных данных

Контроль целостности в Secret Net выполняется для настраиваемых администратором списков файлов, директорий и данных реестра Windows. Поддерживаются различные действия при обнаружении изменения в контрольной сумме — от выдачи уведомления до блокировки рабочей станции. Можно контролировать целостность как системных файлов операционной системы, так и любых других файлов — приложений, данных, документов и так далее.

Восстановление Secret Net в случае повреждения служебных файлов может быть выполнено через программу установки. Поддерживается экспорт и импорт конфигурации для возможности резервного копирования настроек СЗИ.

Заключение

СЗИ Secret Net позволяет реализовать широкий набор обязательных базовых мер по защите информации в ИСПДн, ГИС и АСУ ТП. Однако классическое СЗИ от НСД не реализует меры, относящиеся к антивирусной защите, обнаружению вторжений, сетевой защите, защите технических средств, резервному копированию и защите виртуализации. Для выполнения этих мер существуют другие классы средств и организационные мероприятия, которые в совокупности позволяют обеспечить высокий уровень защиты в соответствии с требованиями регуляторов.

Автор — менеджер по продукту компании «Код Безопасности».

СПЕЦПРОЕКТ КОМПАНИИ «КОД БЕЗОПАСНОСТИ»