Доклады, выступления, видео и электронные публикации

Безопасное хранение журналов работы СЗИ

Презентация: скачать

Безопасное хранение журналов работы СЗИ

В.М.Андреев, А.Н. Давыдов

Закрытое акционерное общество «ОКБ САПР», Пенза, Россия

В статье обосновывается необходимость архивирования журналов работы СЗИ, на основании мирового опыта в области управления журналами формируются требования к средству архивирования. Описывается концепция USB-устройства «Программно-аппаратный журнал» для безопасного хранения архивов журналов, приводятся его функции и возможности использования.

Ключевые слова: регистрация событий, журнал работы СЗИ, архивирование журнала, USB-устройство с управляемым доступом.

Одним из важнейших направлений обеспечения системы менеджмента информационной безопасности организации является её мониторинг [1]. Для осуществления такого мониторинга должны обеспечиваться сбор и хранение в течение определённого периода времени журналов, в которых регистрируются действия пользователей, нештатные ситуации и события ИБ (далее – журналы СЗИ).

С целью изучения лучшего мирового опыта в области управления журналами были рассмотрены следующие стандарты и документы:

  • ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности» [2];
  • положение Банка России № 316-П «Об обеспечении информационной безопасности автоматизированных систем Банка России, предназначенных для обработки, хранения и (или) передачи информации ограниченного доступа» [3];
  • методический документ ФСТЭК России «Меры защиты информации в государственных информационных системах» [4].

В стандарте ISO/IEC 27002 [2] предъявляются следующие требования к хранению журналов:

  • информация, содержащаяся в журналах аудита, должна быть защищена от несанкционированного доступа и несанкционированного изменения;
  • необходимо применять меры по обеспечению конфиденциальности данных, хранящихся в журнале.

Положение Банка России № 316 [3] требует архивировать содержащуюся в журналах информацию перед их очисткой. При этом архивы журналов могут уничтожаться только администратором информационной безопасности и не ранее чем через три года с момента появления последней записи в данной архивной копии.

Методический документ ФСТЭК России «Меры защиты информации в государственных информационных системах» [4] задаёт срок хранения информации о зарегистрированных событиях безопасности (не менее трех месяцев).

При этом объём памяти для хранения информации о событиях безопасности определяется с учетом следующего:

  • типов событий безопасности, подлежащих регистрации;
  • составом и содержанием информации о событиях безопасности, подлежащих регистрации;
  • прогнозируемой частоты возникновения подлежащих регистрации событий безопасности;
  • срока хранения информации о зарегистрированных событиях безопасности.

Для повышения уровня безопасности в информационной системе документ [3] требует хранить журналы в изолированном хранилище, физически отделенном от технических средств, входящих в состав информационной системы.

На основе требований, приведённых в рассмотренных документах, были сформированы требования к средству архивации журналов СЗИ:

  • дописывание событий в существующие архивы журналов;
  • невозможность удалить содержимое архивной копии журнала до истечения срока хранения;
  • доступность архивных копий журнала для просмотра только уполномоченными субъектами;
  • большой размер дискового пространства, достаточный для хранения архивных копий журналов;
  • изолированность хранилища от технических средств, входящих в состав информационной системы;
  • контроль целостности содержимого архива;
  • простая интеграция с системами защиты информации;
  • возможность использования хранилища только на компонентах контролируемой информационной системы.

Такое средство архивации могло бы работать по следующему сценарию:

  • настройка устройства уполномоченным лицом (какие журналы работы СЗИ необходимо архивировать, установка лиц, имеющих прав на просмотр и экспорт журналов, установка сроков хранения журналов);
  • сотрудник организации, имеющий право на экспорт журналов, подключает средство архивации к компоненту информационной системы, откуда автоматически выгружаются журналы работы СЗИ. При этом в устройстве сохраняется дата и время последнего зарегистрированного события для каждого СЗИ, вычисляется сумма контроля целостности для каждого журнала работы СЗИ;
  • сотрудник организации, имеющий право на просмотр журналов, проверяет работу СЗИ за истекший период;
  • по истечении установленного времени хранения журнал работы СЗИ в устройстве автоматически очищается.

Для выполнения сформированных требований разработано USB-устройство ПАК «Программно-аппаратный журнал» (ПАЖ).

ПАК «ПАЖ» – средство ведения неперезаписываемого журнала событий. Он состоит из аппаратного модуля «ПАЖ» (USB-флешка с управляемым доступом) и внешнего ПО (утилиты для сбора, просмотра архивируемых журналов, настройки, контроля работы ПАЖ и библиотеки записи журнала).

Внутренняя память аппаратного модуля разделена на три части [5]:

  • открытый диск. Всегда появляется при монтировании устройства на компьютере, доступен только для чтения. На нем находится внешнее ПО ПАЖ, которое записывается туда при изготовлении изделия или его обновлении;
  • диск архива журналов. На нем сохраняются файлы журналов, доступные для просмотра и экспорта с помощью ПО ПАЖ;
  • диск внутреннего журнала ПАЖ [6]. На нем сохраняется журнал событий самого изделия, куда записываются сообщения обо всех сервисных событиях (подключение ПАЖ к рабочей станции, успешное или ошибочное выполнение регистрации, авторизации, настройки политик и т. д.).

Существуют следующие основные права на использование устройства:

  • настройка ПАЖ;
  • контроль настроек ПАЖ;
  • чтение внутреннего журнала ПАЖ;
  • чтение внешних журналов из ПАЖ;
  • запись внешних журналов в ПАЖ.

Настройка ПАЖ включает:

  • настройку парольных политик (длина кода авторизации (КА) пользователей ПАЖ, порог блокирования после нескольких вводов неверного КА подряд);
  • настройка политик доступа (список доменов и рабочих станций, на которых разрешено использование ПАЖ);
  • настройка политик внутреннего журнала ПАЖ (блокирование ПАЖ при переполнении внутреннего журнала или затирание журнала «по кругу»);
  • установка требуемых для экспорта журналов для каждой рабочей станции.

В ПАЖ предусмотрено разделение прав на использование устройства между различными ролями. Предварительно был сформирован следующий перечень ролей:

  • администратор: осуществляет настройку ПАЖ;
  • администратор ИБ (АИБ): проверяет настройки ПАЖ, установленные администратором. Он контролирует использование устройства другими пользователями, проверяя внутренний журнал работы ПАЖ;
  • оператор: добавляет события в журналы работы СЗИ с помощью внешнего ПО. При этом журнал сохраняется в каталоге рабочей станции, на которой происходит его добавление, и имеет следующий путь «Имя Домена / Имя Рабочей станции / Имя журнала»;
  • аудитор: просматривает журналы работы СЗИ, сохраненные на диске архива журналов безопасности. Журналы работы СЗИ располагаются в каталогах, соответствующих рабочим станциям.

Для применения ПАЖ в составе ПАК поставляется библиотека записи журналов, которая позволяет сторонним разработчикам встраивать функции записи в ПАЖ в свои приложения.

ПАЖ может использоваться по двум различным сценариям:

  • архивирование журналов: в память архива ПАЖ записывается информация из журналов СЗИ. После этого происходит очистка журналов СЗИ на рабочей станции. Копирование журналов в архив ПАЖ осуществляется по расписанию или по достижению журналом СЗИ заданного объёма;
  • регистрация событий СЗИ: СЗИ осуществляют регистрацию событий, сразу помещая их в архив ПАЖ [7]. Несколько различных СЗИ могут использовать один ПАЖ. Когда свободная память архива ПАЖ заканчивается, данный ПАЖ заменяется новым, а старый сдаётся на архивное хранение.

Возможными путями развития ПАЖ являются:

  • добавление в аппаратную платформу автономных часов для контроля сроков хранения журналов и их очистки по истечении времени;
  • цифровая подпись внешних журналов.

СПИСОК ЛИТЕРАТУРЫ:

  1. ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. 2008 [Электронный ресурс]. URL: http://www.altell.ru/legislation/standards/27001-2006.pdf (дата обращения: 24.04.2015)
  2. ГОСТ Р ИСО/МЭК 27002-2012. Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности. М.: Стандартинформ, 2014. – 198 с.
  3. Положение Банка России № 316-П от 11.01.2008. Об обеспечении информационной безопасности автоматизированных систем Банка России, предназначенных для обработки, хранения и (или) передачи информации ограниченного доступа.
  4. Методический документ ФСТЭК России. Меры защиты информации в государственных информационных системах. 2014 [Электронный ресурс]. (дата обращения: 24.04.2015).
  5. Специальный съемный носитель информации. Патент на полезную модель № 94751. 27.05.2010, бюл. №15.
  6. Съемный носитель информации на основе энергонезависимой памяти с расширенным набором функций информационной безопасности. Патент на полезную модель № 130441. 20.07.2013, бюл. № 20.
  7. Конявская С. В., Кравец В. В., Батраков А. Ю. Безопасный Интернет: видимость как необходимое и достаточное. 2015 [Электронный ресурс] (дата обращения: 24.04.2015).

Авторы: Андреев В. М.; Давыдов А. Н.

Дата публикации: 01.01.2015

Библиографическая ссылка: Андреев В. М., Давыдов А. Н. Безопасное хранение журналов работы СЗИ // Комплексная защита информации. Материалы XX научно-практической конференции. Минск, 19–21 мая 2015 г. Минск: РИВШ, 2015. С. 49–52.


Метки документа:
usb   журналы событий и мониторинг   паж  

Scientia potestas est
Кнопка связи