Заглянем в близкое завтра. Размышления о том, как САКУРА помогает реализовать требования нового Методического документа к приказу ФСТЭК России № 117

№ МР

Рекомендуемый процесс

Цель реализации процесса

Что может комплекс САКУРА

3.2

Контроль конфигураций информационных систем

Исключение несанкционированного изменения состава программных, программно-аппаратных средств ИС, их настроек и конфигураций, обеспечение своевременного обнаружения фактов несанкционированных изменений.

• сбор, учет и хранение, актуализация данных об объектах инвентаризации с установленной периодичностью
• контроль состава объектов инвентаризации, определение их конфигураций и контроль изменений, выявление несанкционированного изменения конфигураций
• сбор, анализ и регистрация фактов несанкционированного изменения состава объектов инвентаризации и их конфигураций
• контроль конфигураций ИС на основе данных автоматизированных систем сбора и хранения данных об объектах инвентаризации и их конфигурациях (CMDB-системы)

3.4

Управление обновлениями

Своевременная установка обновлений ПО

• контроль актуальности версий программных, программно-аппаратных средств (в части ОС)
• контроль актуальности версий ПО по данным, автоматизированной системы сбора и хранения данных об объектах инвентаризации и их конфигурациях (CMDB-системы) (в части ОС)

3.6

Обеспечение защиты информации при использовании конечных устройств

Исключение возможности НСД к ИС и конечным устройствам или воздействия на них через интерфейсы и порты, непосредственно взаимодействующие с сетью «Интернет»

• контроль на конечных устройствах мер по защите информации от НСД (в части ПО СрЗИ НСД)
• контроль на конечных устройствах мер по антивирусной защите
• мониторинг на конечных устройствах и анализ процессов и событий с целью выявления актуальных угроз
• предупреждение пользователя о произошедших на конечных устройствах событиях безопасности
• контроль и регистрация фактов доступа к ресурсам сети «Интернет» на конечных устройствах

3.8

Обеспечение защиты информации при удаленном доступе пользователей к ИС

Исключение возможности НСД к ИС и содержащейся в них информации через каналы передачи данных, интерфейсы и порты удаленно подключаемых программно-аппаратных средств

• идентификация и аутентификация удаленно подключаемых пользователей
• регистрация событий безопасности
• контроль мер по антивирусной защите
• исключение возможности удаленного доступа по протоколам telnet, rdp, http, ftp, SMB и аналогичных
• контроль удаленного доступа с применением средств, систем геопозиционирования программно-аппаратных средств, обеспечивающих определение места, из которого пользователь осуществляет удаленный доступ

3.11

Обеспечение мониторинга информационной безопасности

Выявление нарушений требований внутренних стандартов и регламентов по защите информации на основе сбора данных о событиях безопасности

• сбор данных о событиях безопасности, предусмотренных ГОСТ Р 59547-2021, в том числе (п.4.2, пп. б, в):
  • контроль установки обновлений безопасности ПО, включая ПО средств ЗИ (в части ОС)
  • контроль состава программно-технических средств, виртуального аппаратного обеспечения, ПО и средств ЗИ (инвентаризация)
  • контроль соответствия настроек ПО и средств ЗИ установленным требованиям к защите информации (политикам безопасности)
  • информирование о результатах контроля установки обновлений ПО, контроля состава программно-технических средств, ПО и средств ЗИ;
  • контроль работоспособности (неотключения) ПО и средств ЗИ
  • проверка соответствия среды функционирования требованиям, предъявленным в документации на средства ЗИ

• обработку данных о событиях безопасности и иных данных мониторинга информационной безопасности
• контроль, учет и анализ действий пользователей ИС
• выявление нарушений безопасности информации и функционирования ИС
• информирование о выявленных нарушениях безопасности информации и нарушениях функционирования ИС

3.19

Проведение периодического контроля уровня защищенности информации, содержащейся в ИС

Своевременная оценка возможностей нарушения безопасности информации и (или) нарушения функционирования ИС

• выявление несанкционированных подключений устройств к ИС
• выявление нарушений политик безопасности на подключенных к ИС устройств

Код

Мера защиты

Цель реализации

Что может комплекс САКУРА

ИАФ.1

Идентификация пользователей

Исключение доступа к ИС лиц, не являющихся пользователями ИС

• внутренние и внешние пользователи ИС однозначно идентифицируются для всех видов доступа

ИАФ.2

Идентификация устройств

Предоставление доступа к ИС и содержащейся в них информации идентифицированным устройствам (программно-аппаратным средствам)

• идентификация личных мобильных устройств пользователей ИС (при их подключении к информационной системе)
• идентификация устройств, предназначенные для удаленного доступа к ИС

ИАФ.3

Аутентификация пользователей

Исключение доступа к информационной системе пользователей, не прошедших процедуру аутентификации

• аутентификация для каждого пользователя производится при каждом запросе на его подключение к ИС и до начала информационного взаимодействия с ней
• пользователи ИС однозначно аутентифицируются для всех видов доступа

ИАФ.4

Аутентификация устройств

Предоставление доступа к ИС и содержащейся в них информации устройствам, в отношении которых проведена процедура аутентификации

• аутентификация устройства проводится после идентификации устройства и его регистрации в информационной системе
• аутентификация для устройства производится при каждом запросе на его подключение к ИС и до начала информационного взаимодействия
• запрещено подключение к ИС устройств, не прошедших процедуру аутентификации

УПД.4

Ограничение неуспешных и нерегламентированных попыток доступа в ИС

Защита ИС посредством ограничений прав доступа субъектов доступа, превысивших число неуспешных попыток доступа в ИС

• автоматический анализ попыток доступа в ИС
• ограничение прав доступа посредством блокирования, а также на основе совпадения технических признаков (IP-адрес, сигнатура сведений о пользовательском агенте)
• автоматическое блокирование учетных записей в случае неуспешных попыток аутентификации и иных определенных в ИС событий безопасности
• оповещение о данном событии привилегированного пользователя (администратора)
• признаки, характеризующие субъект доступа, осуществляющий неуспешные попытки доступа в ИС, передаются в систему обнаружения вторжений (компьютерных атак)

УПД.5

Предупреждение пользователя при его доступе к ИС

Информирование пользователей о реализации мер защиты информации и обязательности соблюдения установленных правил работы с информацией при доступе к ИС

• обеспечено предупреждение пользователя до момента выполнения идентификации и аутентификации в виде сообщения («окна») о том, что в ИС реализованы меры защиты информации, а также о том, что пользователем должны быть соблюдены установленные в ИС правила и ограничения на работу с информацией

РСБ.1

Определение событий безопасности и данных о них, подлежащих регистрации

Определить состав и содержание информации о событиях, связанных с возможным нарушением безопасности информации, нарушением функционирования ИС, событий безопасности

• регистрация следующих событий:
  • вход (выход), а также попытки входа субъектов доступа в ИС и загрузки (остановки) ОС
  • подключение машинных носителей информации и вывод информации на носители информации
  • запуск (завершение) программ и процессов (заданий, задач)
  • попытки удаленного доступа

• передача сведений о событиях безопасности в средства мониторинга событий ИС

РСБ.4

Требования к сбору, хранению и защите данных о событиях безопасности

Обеспечение хранения данных о событиях безопасности в течение установленного оператором времени хранения информации о событиях безопасности и защиты данных о событиях безопасности от несанкционированного доступа к ним

• сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения предусматривает:
  • возможность выбора событий безопасности, подлежащих регистрации в текущий момент времени
  • генерацию (сбор, запись) записей регистрации для событий безопасности, подлежащих регистрации
  • хранение информации о событиях безопасности в течение времени, установленного в ИС

• предоставление доступа к журналам регистрации событий безопасности уполномоченным работникам
• централизованное автоматизированное управление сбором, записью и хранением информации о событиях безопасности

РСБ.5

Реагирование на сбои при регистрации событий безопасности

Осуществление реагирования на сбои при регистрации событий безопасности

• предупреждение (сигнализация, индикация) администраторов о сбоях (аппаратных и программных ошибках, сбоях в механизмах сбора информации или переполнения объема (емкости) памяти) при регистрации событий безопасности

ЗКУ.1

Контроль доступа конечных устройств

Обеспечение идентификации и аутентификации конечных устройств и их пользователей, а также обеспечение контроля доступа пользователей к конечным устройствам

• обеспечивается идентификация и аутентификация конечных устройств в соответствии с мерами ИАФ.2 и ИАФ.4.
• обеспечиваются идентификация и аутентификация пользователей конечных устройств в соответствии с мерами ИАФ.1 и ИАФ.3.
• обеспечиваются меры по управлению доступом пользователей к конечным устройствам в соответствии с мерами УПД.1 — УПД.4
• контроль запрета на установку (инсталляцию) неразрешенного к использованию ПО
• контроль доступа пользователей к интерфейсам ввода (вывода) конечных устройств

ЗКУ.2

Контроль целостности конечных устройств

Обеспечение целостности программной среды конечного устройства

• контроль целостности ПО конечных устройств:
  • ОС
  • ПО СрЗИ
  • иное ПО, определяемое в ИС

ЗКУ.4

Мониторинг процессов и состояния конечного устройства

Выявление несанкционированных действий (аномального поведения) в действиях пользователей и выполняемых процессах конечных устройств

• мониторинг процессов и состояния конечных устройств:
  • запуск (завершение) программ и процессов (заданий, задач)
  • выполнение процессов с высоким уровнем привилегий, скрытых процессов и системных служб
  • процессы, инициированные средствами защиты информации конечных устройств
  • попытки идентификации и аутентификации пользователей конечных устройств
  • попытки удаленного доступа
  • подключение внешних устройств с использованием интерфейсов ввода-вывода
  • изменение программной конфигурации конечного устройства

• выявление аномалии в действиях пользователей и выполнении процессов конечных устройств

ЗКУ.6

Регистрация, анализ и реагирование на события безопасности на конечных устройствах

Предотвращение компьютерных инцидентов и реагирование на события безопасности на конечных устройствах

• обеспечивается регистрация событий безопасности на конечных устройствах в соответствии с мерами РСБ.1 — РСБ.5

ЗМУ.8

Определение и контроль геопозиции

Обеспечение достоверного получения, регистрации и контроля сведений о фактическом местоположении мобильных устройств, подключенных к ИС

• обеспечивается регистрация информации о местоположении мобильного устройства, с которого осуществляется доступ к ИС
• регистрируются факты невозможности определения геопозиции мобильного устройства вследствие недоступности сигналов спутников, сигналов сотовых вышек или других беспроводных точек, по информации о которых делается вывод о геопозиции мобильного устройства

ЗКС.4.

Контроль доступа к внешним ресурсам

Контроль и фильтрация исходящего сетевого трафика с целью исключения НСД к ИС через взаимодействие с внешними ИС

• контроль доступа пользователей, приложений и сетевых сервисов ИС к ресурсам внешних сетей, включая сеть «Интернет», в соответствии с заданным белым списком
• блокировка попыток доступа к ресурсам внешних сетей, включая сеть «Интернет», не содержащихся в белых списках