Если у вас возникли вопросы, или появилось предложение, напишите нам

ПАК ЦЕНТР-Т
ПАК ЦЕНТР-Т

СУЦУ

Я знаю, в чем проблема, перейти к решению.

Давно не загадка, как защитить корпоративные компьютеры от несанкционированного доступа (НСД). В общем случае нужно установить на каждый компьютер необходимый набор средств защиты информации (СЗИ) от НСД. Наделить специального сотрудника правами Администратора ИБ, и пусть он настраивает и выполняет проверку настроек СЗИ от НСД, а также корректирует базу данных пользователей в соответствии с установленным режимом работы организации и так далее.

Однако, такая схема представляется рабочей только в том случае, если в организации имеется скромное количество компьютеров, что, к слову, случается сегодня довольно редко. В крупных же корпорациях с наличием десятков или сотен компьютеров защита от НСД, основанная на том, что Администратор ИБ бегает от одного компьютера к другому по многоэтажному зданию, является не лучшим решением, а в какой-то степени и неблагоразумным.

Использовать любимые системными администраторами возможности удаленного управления компьютерами в защищенных системах как правило невозможно, так как с точки зрения подсистемы защиты информации это ни что иное, как backdoor.

Иными словами, необходимость средств централизованного удаленного управления средствами защиты информации сегодня в полной мере осознана.

При выборе средства для управления защитой информации ОКБ САПР рекомендует принять во внимание несколько важных моментов.

Во-первых, управлять необходимо всей компьютерной системой, а не отдельными компьютерами, пусть и из одной точки. То есть управлять собственно компьютерами должна некая специализированная управляющая подсистема (УП), способная централизованно:

  • оперировать учетными записями сотрудников организации;
  • управлять СЗИ от НСД, установленными на компьютерах организации;
  • управлять парком съемных устройств, которые используют сотрудники;
  • осуществлять мониторинг событий информационной безопасности.

Такая УП должна собирать воедино все события информационной безопасности (ИБ) со всех компьютеров.

Во-вторых, целесообразно разделять роли управляющего персонала такой системы – как минимум, системное администрирование (контроль работоспособности СЗИ, заведение пользователей и прочие операции) и администрирование безопасности информации (назначение и контроль прав, контроль настроек СЗИ и прочее). В реальных системах может быть целесообразно разделение администраторов и операторов, наличие аудитора и, конечно, администратора нештатного режима. Из этого следует архитектурное требование – все эти люди не должны толкаться за одним компьютером. Однако, управляющая часть должна быть единой, иначе велик риск рассинхронизации. Значит, к единой управляющей части системы должен осуществляться защищенный удаленный доступ с нескольких разных АРМ управляющего персонала.

В-третьих, в компьютерных системах, включающих несколько локальных сетей с сотнями компьютеров, для анализа и сбора статистики по событиям информационной безопасности (например, фактам получения доступа сотрудников к тем или иным ресурсам компьютера, фактам входа в систему, времени действия сотрудника, попыткам несанкционированного доступа к ресурсам компьютера и т.д.) разумно наличие системы агрегации данных, которая может выполнять анализ массива данных и структурировать неким образом полученные результаты.

Для решения данной проблемы можно, например, прибегнуть к помощи технологии Business Intelligence (BI). Технологии BI позволяют проводить анализ большого количества данных, представлять для конечных пользователей (например, для руководителей подразделений) данные в сжатом виде, представлять результаты анализа в графическом виде, что является удобным и позволяет в короткие сроки получать критически важную информацию.

Такая система для управления «Аккордами» – есть. Это СУЦУ СЗИ от НСД.

 

Описание СУЦУ СЗИ от НСД

СУЦУ СЗИ от НСД – система удаленного централизованного управления средствами защиты информации от несанкционированного доступа «Аккорд».

СУЦУ обеспечивает централизованный сбор и хранение информации о зарегистрированных событиях доступа к ПКО и возможность централизованного управления средствами защиты информации от несанкционированного доступа «Аккорд», установленных на ПКО.

СУЦУ информирует персонал о попытках несанкционированного доступа и предоставляет единую точку контроля доступа к периферийным устройствам и контроля использования отчуждаемых машинных носителей.

СУЦУ обеспечивает централизованный мониторинг событий информационной безопасности, централизованно управляет подконтрольными объектами (компьютерами сотрудников) и средствами защиты информации от несанкционированного доступа «Аккорд», которые также разработаны компанией ОКБ САПР.

СУЦУ поддерживает ролевую инфраструктуру (6 ролей!), каждая отдельная роль обладает специфическим набором возможностей (функций), нехарактерных для других ролей. СУЦУ обеспечивает управление ролями и учетными записями персонала.

Разумеется, если такое разделение обязанностей не предусмотрено штатным составом организации, на несколько ролей может быть назначен один и тот же сотрудник, однако это решение должно быть продуманным и описанным.

СУЦУ обеспечивает возможность интеграции с продуктами типа Business Intelligence – в частности, с Tivoli, есть положительный опыт интеграции с продуктом  Contour BI. Такая интеграция позволяет быстро создавать отчеты для анализа конечными пользователями (руководителями организаций или подразделений, администраторами ИБ и т.д.), выполнять анализ данных журналов событий средств защиты «Аккорд» совместно с анализом журналов работы других систем, одновременно функционирующих в компьютерной системе, например, системы контроля доступа, антивирусной защиты или какого-либо прикладного программного обеспечения. По запросу может быть выполнена интеграция с целевым BI.

В СУЦУ также имеется возможность интеграции с системой контроля и управления доступом СКУД. Об этом можно прочитать в разделе Средства интеграции с системой видеомониторинга и контроля доступа.

 

Основные элементы СУЦУ СЗИ от НСД

К основным элементам СУЦУ СЗИ от НСД относятся:

  • сервер централизованного управления (сервер централизованного управления представляет собой сервер терминального доступа, с помощью которого персонал СУЦУ может работать с ПО СУЦУ);
  • агенты СУЦУ на подконтрольных объектах (рабочих станциях и серверах, на которых установлены и функционируют СЗИ от НСД).

1.jpg

 

Требования к оборудованию

На сервере централизованного управления должно быть установлено:

  • контроллер «Аккорд-АМДЗ»;
  • ПАК СЗИ от НСД «Аккорд-Win64» TSE версии 5.0.9.45 или новее;
  • операционная система – Windows Server 2008 R2 или новее;
  • NET Framework версии 4.5 или новее;
  • ПО подсистемы ASM (серверная часть);
  • серверная часть RabbitMQ.

На подконтрольных объектах должно быть установлено:

  • контроллер «Аккорд-АМДЗ»;
  • ПАК СЗИ от НСД «Аккорд-Win32» версии 4.0.9.45 или новее, или ПАК СЗИ от НСД «Аккорд-Win64» версии 5.0.9.45 или новее в зависимости от разрядности установленной операционной системы;
  • операционная система Windows 7 и новее;
  • NET Framework версии 4.5 или новее;
  • ПО подсистемы ASM (клиентская часть);
  • библиотека клиентской части RabbitMQ.

 

Функциональность СУЦУ СЗИ от НСД

Для обеспечения мониторинга событий информационной безопасности и управления средствами защиты информации от несанкционированного доступа в ASM предусмотрены следующие вкладки: Пользователи, Роли, Идентификаторы, Компьютеры, Технологические участки, Учетные записи, USB-устройства, пользовательский интерфейс которых подчиняется единому принципу:

  • кнопка <Добавить> предназначена для добавления той или иной сущности;
  • кнопка <Удалить> предназначена для удаления той или иной сущности;
  • кнопка <Редактировать> предназначена для редактирования той или иной сущности;
  • с помощью кнопки <Импорт> можно импортировать настройки с компьютеров Системы в ASM.
  • с помощью кнопки <Экспорт> можно экспортировать настройки из ASM на компьютеры системы;
  • с помощью кнопки <Поиск> можно выполнить поиск той или иной сущности.

2.png

 

Состав ролей СУЦУ СЗИ от НСД:

  • Администратор СУЦУ СЗИ от НСД: обеспечивает общее функционирование КТС и ПО СУЦУ СЗИ от НСД;
  • Администратор ИБ СУЦУ СЗИ от НСД: обеспечивает информационную безопасность в части защиты от несанкционированного доступа к ресурсам, включая контроль доступа к коммуникационным портам, рабочих станций и серверов подконтрольных объектов;
  • Оператор СУЦУ СЗИ от НСД: обеспечивает мониторинг за функционированием системно-технической части СУЦУ СЗИ от НСД;
  • Оператор ИБ СУЦУ СЗИ от НСД: обеспечивает мониторинг состояния информационной безопасности в части защиты от несанкционированного доступа средствами СУЦУ СЗИ от НСД и контроль событий ИБ, запротоколированных на подконтрольных объектах;
  • Администратор ИБ средств защиты информации от несанкционированного доступа (АИБ технологического участка): обеспечивает информационную безопасность, в рамках полномочий, делегированных Администратором ИБ СУЦУ;
  • Администратор нештатного режима функционирования СУЦУ СЗИ от НСД: обеспечивает восстановление функционирования СУЦУ СЗИ от НСД и подконтрольных объектов;
  • Контролер СУЦУ СЗИ от НСД: осуществляет мониторинг настроек ПАК СЗИ от НСД «Аккорд» и правил разграничения доступа в штатном режиме функционирования.

 

Возможности СУЦУ СЗИ от НСД

Управление техническими средствами:

  • создание, редактирование и удаление технологического участка;
  • редактирование состава рабочих станций и серверов технологического участка.

Управление пользователями:

  • создание, просмотр, удаление, редактирование учетных записей персонала СУЦУ;
  • создание, просмотр, удаление, редактирование базы данных пользователей и ролей подконтрольных объектов;
  • просмотр списка пользователей подконтрольных объектов технологического участка;
  • создание, удаление, редактирование учетных записей пользователей технологического участка;
  • передача изменений пользователей на ПКО;
  • получение изменений пользователей от ПКО;
  • создание, удаление, редактирование ролей пользователей;
  • получение файлов конфигурации с выбранного подконтрольного объекта;
  • редактирование и замену файлов конфигурации выбранного подконтрольного объекта;
  • удаление пользователей подконтрольных объектов или изменение настроек их полномочий;
  • добавление новых пользователей подконтрольных объектов и назначение им полномочий;
  • синхронизация единой базы пользователей СЗИ от НСД с базами ПКО;
  • передача изменений баз пользователей подконтрольных объектов;
  • получение изменений баз пользователей от подконтрольных объектов.

Централизованный сбор и хранение информации о зарегистрированных событиях доступа к подконтрольным объектам:

  • фиксирование и хранение информации о событиях информационной безопасности на подконтрольных объектах (фиксирование фактов изменения подконтрольного программного обеспечения, подключения/отключения устройств, подключения/отключения съемных носителей, регистрация для фиксируемых событий ИБ время выполнения действий, имя компьютера и имя пользователя);
  • получение журналов подсистемы разграничения доступа с подконтрольных объектов (по централизованной и децентрализованной схемам);
  • осуществление очистки журналов регистрации;
  • информирование персонала о попытках несанкционированного доступа
  • систематизация по соответствующим каталогам с делением по датам сбора.

Интеграция с продуктом Contour BI:

  • обработка и анализ журналов работы средств защиты («Аккорд»);
  • создание отчетов для анализа конечными пользователями;
  • корреляционный анализ журналов работы «Аккорд» совместно с анализом журналов работы других систем, одновременно функционирующих в компьютерной системе.

Централизованное управление средствами защиты информации от несанкционированного доступа на подконтрольных объектах:

  • механизм контроля целостности собственного программного обеспечения и программного обеспечения подконтрольных объектов.

Интеграция с системой контроля и управления доступом (СКУД):

  • идентификация/аутентификация пользователей по радиокарте СКУД;
  • предоставление доступа к ресурсам компьютера пользователям, успешно прошедшим процедуру аутентификации, в соответствии с установленными правилами разграничения доступа;
  • предоставление доступа в помещение (и/или на территорию организации/подразделения организации) пользователям, успешно прошедшим процедуру аутентификации, в соответствии с установленными правилами разграничения доступа;
  • блокирование устройств ввода-вывода подконтрольного объекта (ПКО) при извлечении радиокарты пользователя из считывателя и разблокирование устройств ввода-вывода при помещении радиокарты в считыватель;
  • блокирование устройств ввода-вывода при отключении считывателя радиокарты СКУД;
  • контроль доступа пользователей к ресурсам ПКО на основе правил разграничения доступа, действующих в организации или подразделении организации;
  • сбора и хранения информации.

Управление списком зарегистрированных подконтрольных объектов:

  • добавление, удаление и редактирование списка подконтрольных объектов на Сервере Управления СУЦУ;
  • передача обновленной базы пользователей и ролей на подконтрольные объекты;
  • применение изменений ролей и баз пользователей, выполненных на ПКО.

Управление доступом к коммутационным портам и периферийным устройствам:

  • просмотр, настройка доступа к периферийным устройствам;
  • просмотр, настройка доступа к коммутационным портам;
  • создание, просмотр, редактирование единой базы «белых» и «черных» съемных носителей.
от базиса
к надстройке
Кнопка связи