Если у вас возникли вопросы, или появилось предложение, напишите нам
ПАЖ
Многие из нас помнят, какое событие в школе становилось самым грандиозным ЧП (для некоторых именно в связи с этой ситуацией и становилось известно значение букв ЧП!): когда кто-то что-то переписал в ЖУРНАЛЕ. Журнал - это святое, помним мы с детства, там нельзя ничего подправлять, даже если очень нужно. Как было бы просто удержаться от соблазна, если бы журналы были неперезаписываемыми.
Есть такие журналы!
Для мониторинга информационной безопасности должны обеспечиваться сбор и хранение журналов событий. В «ОКБ САПР» создали для этого специальное устройство «ПАЖ» («Программно-аппаратный журнал») — средство ведения неперезаписываемого журнала событий, удобное в использовании и удовлетворяющее требованиям к защищенности такого рода информации.
Каким был бы «правильный» журнал?
Мы бы никогда не задумались об этом, ограничиваясь стандартным выполнением требований к регистрации событий в своих продуктах. Однако решение пришло в ходе обсуждения с администраторами безопасности информации наших защищенных флешек Секрет.
Оказывается, флешка с управляемым доступом, различающая не только людей, но и компьютеры — это как раз то, что нужно, чтобы упростить жизнь в части организационных мер по работе с журналами и в то же время не снизить, а наоборот повысить их защищенность, а значит, и доказательность.
По сути дела, для чего нужны журналы (кроме выполнения требований регуляторов — об этом читайте в разделе «Почему нельзя хранить журналы иначе»).
Журналы нужны для того, чтобы «если что» восстановить, как было дело.
Это довольно очевидно.
Для того чтобы это предназначение реализовывалось без оговорок, журнал должен:
Быть доступным для изучения в случае необходимости,
Быть недоступным для изменения для кого-угодно с какими-угодно целями.
Что может быть не так, за счет чего журналы могут оказаться недоступными для изучения или измененными?
- Журналов много, и это файлы. Большого объема, в большом количестве. Они занимают очень много места, и память, отведенную под журналы — будь то память СВТ или память СЗИ — время от времени освобождают. Все без исключения. При этом их обычно архивируют, записывают на какой-то носитель и куда-то убирают. В какой-то шкаф. И там они, конечно, штабилируются. Это первая причина, по которой журнал может оказаться не доступен в нужный момент.
- Вторая причина — это повреждение файла журнала. С этим сталкивались большинство администраторов систем и большинство служб технической поддержки. Конечно, файл журнала может быть поврежден и из-за ошибок того устройства или приложения, которое регистрирует событие. Но чаще, объективно, случается так, что он повредился при хранении. Эта причина затруднений смежна с проблемой изменения журнала.
- Журнал может стать недоступным из-за того, что кто-то его специально повредил. А может оставаться доступным, но «улучшенным». И необязательно действовал злоумышленник. Возможно, администратор просто «убрал лишнее», чтобы не засоряло. Ну или, конечно, чтобы что-то скрыть. Так или иначе, если нет возможности доказать, что журнал не изменен, то использовать его при «разборе полетов», конечно, можно, но.
И чтобы не было «но», нужно каким-то способом обеспечить доказанную целостность информации.
Однако, согласитесь, что подписание журналов ЭП (или защита с помощью кодов аутентификации (КА)) — решение не то что бы нереализуемое, но немного странное.
Тем более, оно никак не предотвратит порчу журнала, а еще в меньше степени поможет его просмотреть в случае необходимости.
Не будем забывать, что все журналы — это не просто файлы, это еще и разные файлы, и выработать надо механизм для работы сразу со всеми.
Значит, логично перенести фокус с защиты файла на защиту его носителя.
Итак, нам потребуется носитель:
- удобный в хранении,
- совместимый со всеми или с большинством СВТ
- не требующий от пользователя специальных навыков
- способный обеспечить неизменность своего содержимого после того, как оно на него попало.
Получается неперезаписываемый (add only) USB-накопитель, чтобы данные нельзя было ни удалить, ни модифицировать умышленно или по ошибке.
При этом жизнь подсказывает еще ряд функциональных требований — различение СВТ — чтобы журналы не путались, иначе неудобно.
Различение пользователей, например, чтобы читать журналы мог только специальный аудитор, а тот, кто настраивает носитель (администратор) и тот, кто записывает на него журналы (пользователь) — не могли.
Все эти выкладки мы и положили в основу «Программно-аппаратного журнала» — неперезаписываемого хранилища на базе служебных носителей семейства «Секрет».
ПАЖ детально описан в разделе «Технические подробности».
Обратная связь
Отправьте нам сообщение или закажите обратный звонок.