Большинство компаний склоняются к оптимизации и автоматизации задач по управлению информационными системами, к внедрению единых центров, позволяющих производить сбор данных с различных устройств, анализировать полученную информацию, реагировать на наиболе

Большинство компаний склоняются к оптимизации и автоматизации задач по управлению информационными системами, к внедрению единых центров, позволяющих производить сбор данных с различных устройств, анализировать полученную информацию, реагировать на наиболее значимые угрозы в режиме реального времени. Дополнительным стимулом к использованию описанных инструментов может стать необходимость соблюдать законодательные требования.

Положение дел

На сегодняшний день существует множество стандартов, законов, требований и прочих нормативных документов, прямо или косвенно касающихся проблемы и необходимости осуществления мониторинга, в том числе мониторинга информационной безопасности. В большинстве случаев наиболее эффективно задача решается путем внедрения в компании специализированных систем мониторинга.

Согласно специальным требованиям и рекомендациям по технической защите информации (СТР-К), Федеральному закону №154 «Об информации, информационных технологиях и о защите информации» (статья 16, пункт 4), ФЗ № 98 «О коммерческой тайне» (статья 10), ФЗ № 152 «О персональных данных», Постановлению Правительства РФ № 781 (пункт 11), в качестве основных мер защиты информации необходимо осуществлять мониторинг и регистрацию действий пользователей, обслуживающего персонала в автоматизированной системе, на рабочих местах и серверах; контролировать несанкционированный доступ к рабочим местам и серверам. А в 12 Положения Правительства РФ №781 появляется еще одно требование — разбирательство и составление заключений по инцидентам, связанным с персональными данными.

Интересно, что даже в Доктрине информационной безопасности РФ имеется упоминание о необходимости мониторинга, пусть и довольно специфичного: «К специфическим для данных условий направлениям обеспечения информационной безопасности относятся: ... разработка эффективной системы мониторинга объектов повышенной опасности, нарушение функционирования которых может привести к возникновению чрезвычайных ситуаций, и прогнозирования чрезвычайных ситуаций».

Предъявляемые требования вполне ясны и понятны, но не полны в отношении информации, которую необходимо собирать и анализировать в соответствии с законодательством. Кроме того, в перечисленных документах нет явного указания на необходимость применения централизованной системы мониторинга. Но нельзя не отметить, что такие задачи успешно реализуются с ее применением. Более того: система мониторинга позволяет уйти от выполнения ряда каждодневных рутинных задач, полностью автоматизируя их, что снижает загрузку администраторов, сокращает время реакции на инцидент и время обнаружения распределенных атак.

Если говорить о средствах и методах контроля за порядком обращения с информацией, сбором доказательной базы и расследованием инцидентов, то система мониторинга становится просто незаменимым инструментом, поскольку может собирать информацию о произошедших событиях с разнородных устройств безопасности и средств контроля.

Стандарт Банка России

Настоящий стандарт (СТО БР ИББС 1.2.2009.) распространяется на организации банковской системы РФ и содержит положения по обеспечению информационной безопасности в организациях банковской системы. В частности, в одном из пунктов (п. 5.23) явным образом говорится о необходимости осуществления мониторинга событий и инцидентов информационной безопасности, чтобы избежать деградации и обеспечить необходимый уровень безопасности активов. В стандарте описана также модель управления информационной безопасностью в организации, состоящая из
четырех этапов (планирование, реализация, проверка, совершенствование). На одном из этапов необходимо осуществлять периодический мониторинг и контроль используемых защитных мер. Название упомянутых в стандарте этапов довольно сильно напоминает модель PDCA, представленную в ГОСТ Р 27001. Но это еще далеко не все. Например, процедуру мониторинга рекомендуется, а в ряде случаев даже требуется, осуществлять для повышения уровня безопасности при эксплуатации различных средств информационной безопасности, ведения архива инцидентов, с целью контроля за функционированием различных систем в соответствии с предусмотренными правилами. При этом для повышения эффективности мониторинга в стандарте необходимо документально определить процедуры мониторинга информационной безопасности и его результаты. Более того, необходимо регулярно пересматривать процедуры мониторинга, чтобы повысить его эффективность.

Все перечисленное указывает на необходимость создания централизованной единой системы мониторинга, способной автоматизировать сбор, анализ и хранение информации о событиях и инцидентах. В п. 9.2. говорится: «Основными целями мониторинга и контроля защитных мер в организации БС РФ являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные цели».

И, наконец, в разделах 10 и 12 стандарта перечислены требования по обеспечению контроля за соблюдением внутренней политики ИБ, отслеживанием всех сеансов доступа к сетевым ресурсам и данным владельцев карт. Эти задачи опять же могут быть частично решены и оптимизированы с помощью систем мониторинга.

Стандарты управления безопасностью

Основополагающими документами, регламентирующими рекомендации и требования к обеспечению мониторинга и анализу событий, являются два стандарта:

  • ГОСТ Р ИСО/МЭК 17799-2005,
  • ГОСТ Р ИСО/МЭК 27001-2006.

В стандарте ГОСТ Р ИСО/МЭК 17799-2005 в числе практических мероприятий по управлению информационной безопасностью, присутствует «...информирование об инцидентах, связанных с информационной безопасностью (6.3.1)». Помимо этого, в разделе 6.3. «Реагирование на инциденты нарушения информационной безопасности и сбои» говорится о важности и необходимости своевременно реагировать на инциденты и нарушения информационной безопасности, собирать свидетельства и доказательства «как можно быстрее после обнаружения инцидента». В целом хочется отметить, что в этих взаимодополняющих стандартах, описывающих процесс создания системы управления ИБ, обеспечение мониторинга ИБ рассматривается как жизненно необходимый компонент для построения подобных систем. Процесс обеспечения мониторинга рассмотрен в конкретных деталях, описывающих порядок регистрации событий, порядок реагирования на инциденты, перечень информации, которую требуется собирать, и т.д.

Также указывается на необходимость сбора и защиты журналов аудита и аналогичных свидетельств. Это объясняется в первую очередь возможностью использовать собранные данные для решения и анализа внутренних проблем, в качестве доказательства нарушений условий контракта, нарушения требований законодательства или в случае гражданских либо уголовных судебных разбирательств, касающихся, например, защиты персональных данных и других проблем.

Пожалуй, одним из самых содержательных, имеющих отношение к мониторингу, является пункт 9.7. «Мониторинг доступа и использования системы». Целью здесь является своевременное обнаружение неавторизованных действий. Здесь же описывается важность регистрации событий для дальнейшего расследования фактов несанкционированного доступа. Так же, как и в стандарте Банка России, в этих документах говорится о важности использовать системы мониторинга для повышения эффективности остальных средств защиты.

В соответствии с п. 9.7.2.2. результаты мониторинга следует регулярно анализировать, но как сказано в п. 9.7.2.3, «системные журналы аудита часто содержат информацию, значительный объем которой не представляет интереса с точки зрения мониторинга безопасности». Поэтому при выборе ядра системы мониторинга целесообразно обратить внимание на быстроту и качество определения угроз, внимательнее присмотреться к решениям с наименьшим числом ложных срабатываний. Стоит также отметить, что одним из мероприятий по успешному созданию систем мониторинга является синхронизация часов (п. 9.7.3), поскольку в противном случае собран-
ная доказательная база может не иметь юридической силы.

И, наконец, последним разделом ГОСТ Р ИСО/МЭК 17799-2005 является п. 12.1.17 «Сбор доказательств». В этом пункте описываются правила использования и сбора доказательств с целью обеспечения уверенности в том, что информационные системы и система мониторинга соответствуют всем юридическим требованиям и правилам в отношении допустимых свидетельств.

Стандарт ГОСТ Р ИСО/МЭК 27001-2006 посвящен требованиям, устанавливаемым к системам менеджмента информационной безопасности (СМИБ), и основывается на процессном подходе для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения СМИБ организации. В данном стандарте мониторинг рассматривается как вспомогательный, но неотъемлемый инструмент по повышению эффективности системы менеджмента информационной безопасности, осуществляемый путем регулярного анализа результативности СМИБ. В стандарте устанавливается также перечень действий, которые должны выполнять организации при проведении мониторинга и анализа СМИБ. Что касается требований, предъявляемых к системе мониторинга, то они в большинстве случаев повторяют описанные в стандарте 17799. Но, как уже упоминалось, стандарты 27001 и 17799 дополняют друг друга, хотя имеется несколько «перекрывающих» требований по части обеспечения мониторинга. Данное обстоятельство в первую очередь объясняется тем, что ГОСТ Р ИСО/МЭК 17799 содержит перечень рекомендаций, а ГОСТ Р ИСО/МЭК 27001 — перечень требований, основывающихся на данных рекомендациях.

Бесспорно, централизованные системы мониторинга являются незаменимым инструментом по сбору доказательств при ведении уголовных, административных и гражданских дел, однако не стоит забывать, что сама по себе собираемая информация о событиях и инцидентах (логи) никакой доказательной силы не имеет. Доказательствами по делу служат «производные» от логов материалы:

  • протокол осмотра;
  • заключение эксперта;
  • заключение специалиста;
  • показания свидетелей, понятых, эксперта и специалиста касательно осмотра и интерпретации логов.

Из доказательств должны следовать корректность и неизменность логов на всех этапах их жизненного цикла — от генерации до интерпретации, а именно:

  • Корректность фиксации событий и генерации записей генерирующей программой.
  • Неизменность при передаче записей от генерирующей программы к логирующей программе.
  • Корректность обработки записей логирующей программой.
  • Неизменность при хранении логов до момента.
  •  Корректность процедуры изъятия; неизменность при хранении после изъятия, до осмотра или передачи на экспертизу.
  • Корректность интерпретации.

Можно сказать, что ряд отечественных нормативных документов, регламентирующих мониторинг и анализ сбора событий и информации об инцидентах, устанавливает требования к обеспечению мониторинга событий, хотя осуществление мониторинга является настойчивой рекомендацией. Но в большинстве рекомендаций используются такие слова, как «должно», «необходимо» и т.д. Это свидетельствует о том, что рекомендательный характер — лишь временное явление.

Александр Фоминенков — ведущий консультант по информационной безопасности компании «АйТи». Информационные технологии»; AFominenkov@it.ru