Доклады, выступления, видео и электронные публикации
Безопасное хранение журналов работы СЗИ
Презентация: скачать
Безопасное хранение журналов работы СЗИ
В.М.Андреев, А.Н. Давыдов
Закрытое акционерное общество «ОКБ САПР», Пенза, Россия
В статье обосновывается необходимость архивирования журналов работы СЗИ, на основании мирового опыта в области управления журналами формируются требования к средству архивирования. Описывается концепция USB-устройства «Программно-аппаратный журнал» для безопасного хранения архивов журналов, приводятся его функции и возможности использования.
Ключевые слова: регистрация событий, журнал работы СЗИ, архивирование журнала, USB-устройство с управляемым доступом.
Одним из важнейших направлений обеспечения системы менеджмента информационной безопасности организации является её мониторинг [1]. Для осуществления такого мониторинга должны обеспечиваться сбор и хранение в течение определённого периода времени журналов, в которых регистрируются действия пользователей, нештатные ситуации и события ИБ (далее – журналы СЗИ).
С целью изучения лучшего мирового опыта в области управления журналами были рассмотрены следующие стандарты и документы:
- ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности» [2];
- положение Банка России № 316-П «Об обеспечении информационной безопасности автоматизированных систем Банка России, предназначенных для обработки, хранения и (или) передачи информации ограниченного доступа» [3];
- методический документ ФСТЭК России «Меры защиты информации в государственных информационных системах» [4].
В стандарте ISO/IEC 27002 [2] предъявляются следующие требования к хранению журналов:
- информация, содержащаяся в журналах аудита, должна быть защищена от несанкционированного доступа и несанкционированного изменения;
- необходимо применять меры по обеспечению конфиденциальности данных, хранящихся в журнале.
Положение Банка России № 316 [3] требует архивировать содержащуюся в журналах информацию перед их очисткой. При этом архивы журналов могут уничтожаться только администратором информационной безопасности и не ранее чем через три года с момента появления последней записи в данной архивной копии.
Методический документ ФСТЭК России «Меры защиты информации в государственных информационных системах» [4] задаёт срок хранения информации о зарегистрированных событиях безопасности (не менее трех месяцев).
При этом объём памяти для хранения информации о событиях безопасности определяется с учетом следующего:
- типов событий безопасности, подлежащих регистрации;
- составом и содержанием информации о событиях безопасности, подлежащих регистрации;
- прогнозируемой частоты возникновения подлежащих регистрации событий безопасности;
- срока хранения информации о зарегистрированных событиях безопасности.
Для повышения уровня безопасности в информационной системе документ [3] требует хранить журналы в изолированном хранилище, физически отделенном от технических средств, входящих в состав информационной системы.
На основе требований, приведённых в рассмотренных документах, были сформированы требования к средству архивации журналов СЗИ:
- дописывание событий в существующие архивы журналов;
- невозможность удалить содержимое архивной копии журнала до истечения срока хранения;
- доступность архивных копий журнала для просмотра только уполномоченными субъектами;
- большой размер дискового пространства, достаточный для хранения архивных копий журналов;
- изолированность хранилища от технических средств, входящих в состав информационной системы;
- контроль целостности содержимого архива;
- простая интеграция с системами защиты информации;
- возможность использования хранилища только на компонентах контролируемой информационной системы.
Такое средство архивации могло бы работать по следующему сценарию:
- настройка устройства уполномоченным лицом (какие журналы работы СЗИ необходимо архивировать, установка лиц, имеющих прав на просмотр и экспорт журналов, установка сроков хранения журналов);
- сотрудник организации, имеющий право на экспорт журналов, подключает средство архивации к компоненту информационной системы, откуда автоматически выгружаются журналы работы СЗИ. При этом в устройстве сохраняется дата и время последнего зарегистрированного события для каждого СЗИ, вычисляется сумма контроля целостности для каждого журнала работы СЗИ;
- сотрудник организации, имеющий право на просмотр журналов, проверяет работу СЗИ за истекший период;
- по истечении установленного времени хранения журнал работы СЗИ в устройстве автоматически очищается.
Для выполнения сформированных требований разработано USB-устройство ПАК «Программно-аппаратный журнал» (ПАЖ).
ПАК «ПАЖ» – средство ведения неперезаписываемого журнала событий. Он состоит из аппаратного модуля «ПАЖ» (USB-флешка с управляемым доступом) и внешнего ПО (утилиты для сбора, просмотра архивируемых журналов, настройки, контроля работы ПАЖ и библиотеки записи журнала).
Внутренняя память аппаратного модуля разделена на три части [5]:
- открытый диск. Всегда появляется при монтировании устройства на компьютере, доступен только для чтения. На нем находится внешнее ПО ПАЖ, которое записывается туда при изготовлении изделия или его обновлении;
- диск архива журналов. На нем сохраняются файлы журналов, доступные для просмотра и экспорта с помощью ПО ПАЖ;
- диск внутреннего журнала ПАЖ [6]. На нем сохраняется журнал событий самого изделия, куда записываются сообщения обо всех сервисных событиях (подключение ПАЖ к рабочей станции, успешное или ошибочное выполнение регистрации, авторизации, настройки политик и т. д.).
Существуют следующие основные права на использование устройства:
- настройка ПАЖ;
- контроль настроек ПАЖ;
- чтение внутреннего журнала ПАЖ;
- чтение внешних журналов из ПАЖ;
- запись внешних журналов в ПАЖ.
Настройка ПАЖ включает:
- настройку парольных политик (длина кода авторизации (КА) пользователей ПАЖ, порог блокирования после нескольких вводов неверного КА подряд);
- настройка политик доступа (список доменов и рабочих станций, на которых разрешено использование ПАЖ);
- настройка политик внутреннего журнала ПАЖ (блокирование ПАЖ при переполнении внутреннего журнала или затирание журнала «по кругу»);
- установка требуемых для экспорта журналов для каждой рабочей станции.
В ПАЖ предусмотрено разделение прав на использование устройства между различными ролями. Предварительно был сформирован следующий перечень ролей:
- администратор: осуществляет настройку ПАЖ;
- администратор ИБ (АИБ): проверяет настройки ПАЖ, установленные администратором. Он контролирует использование устройства другими пользователями, проверяя внутренний журнал работы ПАЖ;
- оператор: добавляет события в журналы работы СЗИ с помощью внешнего ПО. При этом журнал сохраняется в каталоге рабочей станции, на которой происходит его добавление, и имеет следующий путь «Имя Домена / Имя Рабочей станции / Имя журнала»;
- аудитор: просматривает журналы работы СЗИ, сохраненные на диске архива журналов безопасности. Журналы работы СЗИ располагаются в каталогах, соответствующих рабочим станциям.
Для применения ПАЖ в составе ПАК поставляется библиотека записи журналов, которая позволяет сторонним разработчикам встраивать функции записи в ПАЖ в свои приложения.
ПАЖ может использоваться по двум различным сценариям:
- архивирование журналов: в память архива ПАЖ записывается информация из журналов СЗИ. После этого происходит очистка журналов СЗИ на рабочей станции. Копирование журналов в архив ПАЖ осуществляется по расписанию или по достижению журналом СЗИ заданного объёма;
- регистрация событий СЗИ: СЗИ осуществляют регистрацию событий, сразу помещая их в архив ПАЖ [7]. Несколько различных СЗИ могут использовать один ПАЖ. Когда свободная память архива ПАЖ заканчивается, данный ПАЖ заменяется новым, а старый сдаётся на архивное хранение.
Возможными путями развития ПАЖ являются:
- добавление в аппаратную платформу автономных часов для контроля сроков хранения журналов и их очистки по истечении времени;
- цифровая подпись внешних журналов.
СПИСОК ЛИТЕРАТУРЫ:
- ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. 2008 [Электронный ресурс]. URL: http://www.altell.ru/legislation/standards/27001-2006.pdf (дата обращения: 24.04.2015)
- ГОСТ Р ИСО/МЭК 27002-2012. Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности. М.: Стандартинформ, 2014. – 198 с.
- Положение Банка России № 316-П от 11.01.2008. Об обеспечении информационной безопасности автоматизированных систем Банка России, предназначенных для обработки, хранения и (или) передачи информации ограниченного доступа.
- Методический документ ФСТЭК России. Меры защиты информации в государственных информационных системах. 2014 [Электронный ресурс]. (дата обращения: 24.04.2015).
- Специальный съемный носитель информации. Патент на полезную модель № 94751. 27.05.2010, бюл. №15.
- Съемный носитель информации на основе энергонезависимой памяти с расширенным набором функций информационной безопасности. Патент на полезную модель № 130441. 20.07.2013, бюл. № 20.
- Конявская С. В., Кравец В. В., Батраков А. Ю. Безопасный Интернет: видимость как необходимое и достаточное. 2015 [Электронный ресурс] (дата обращения: 24.04.2015).
Авторы: Андреев В. М.; Давыдов А. Н.
Дата публикации: 01.01.2015
Библиографическая ссылка: Андреев В. М., Давыдов А. Н. Безопасное хранение журналов работы СЗИ // Комплексная защита информации. Материалы XX научно-практической конференции. Минск, 19–21 мая 2015 г. Минск: РИВШ, 2015. С. 49–52.
Метки документа:
usb
журналы событий и мониторинг
паж
Обратная связь
Отправьте нам сообщение или закажите обратный звонок.