СЗПДн. Проектирование. Регистрация событий ИБ

В рамках создания и эксплуатации любой СЗПДн необходимо регистрировать, собирать, просматривать, анализировать события ИБ и реагировать на выявленные нарушения.

Чтобы ничего не упустить, вспомним требования из НД регуляторов:
Приказ ФСТЭК Р №21:
“8.5. Меры по регистрации событий безопасности должны обеспечивать сбор, запись, хранение и защиту информации о событиях безопасности в информационной системе, а также возможность просмотра и анализа информации о таких событиях и реагирование на них.
Приложение.
V. Регистрация событий безопасности (РСБ)
РСБ.1 Определение   событий   безопасности,   подлежащих регистрации, и сроков их хранения
РСБ.2 Определение  состава  и  содержания  информации  о событиях безопасности, подлежащих регистрации
РСБ.3 Сбор, запись  и  хранение  информации  о  событиях безопасности  в   течение   установленного   времени хранения
РСБ.5 Мониторинг    (просмотр,    анализ)    результатов регистрации событий безопасности и  реагирование  на них
РСБ.7 Защита информации о событиях безопасности
XI. Защита среды виртуализации (ЗСВ)
ЗСВ.3 Регистрация  событий  безопасности  в  виртуальной инфраструктуре”
Приказ ФСБ Р №378:
“20. Для выполнения требования, указанного в пункте 19 настоящего документа, необходимо:
б) обеспечение информационной системы автоматизированными средствами, регистрирующими запросы пользователей информационной системы на получение персональных данных, а также факты предоставления персональных данных по этим запросам в электронном журнале сообщений;
23. Для выполнения требования, указанного в подпункте "а" пункта 22 настоящего документа, необходимо:
а) обеспечение информационной системы автоматизированными средствами, позволяющими автоматически регистрировать в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
б) отражение в электронном журнале безопасности полномочий сотрудников оператора персональных данных по доступу к персональным данным, содержащимся в информационной системе. Указанные полномочия должны соответствовать должностным обязанностям сотрудников оператора;
в) назначение оператором лица, ответственного за периодический контроль ведения электронного журнала безопасности и соответствия отраженных в нем полномочий сотрудников оператора их должностным обязанностям (не реже 1 раза в месяц).”

Как минимум вам необходимо иметь план регистрации, сбору и анализу событий ИБ. Если же вы заказываете проектирование СЗПДн или разработку ОРД или ЭД, то необходимо требовать наличия в них разделов связанных с регистрацией событий ИБ.

Для типовой СЗПДн план регистрации событий будет примерно следующий (для типового оператора с центральным офисом в 500 чел. и двумя удаленными офисами в 100 чел. и типовым набором СЗИ в рамках СЗПДн)



Для примера расчетов использовались условные предположения о том, что в среднем пользователь раз в 10 минут обращается к новому ресурсу, 2 раза в день запускает (пробуждает) ОС, 8 раз входит в ОС (после блокирования сессии), активный пользователь ИСПДн раз в минуту обращается к ПДн, 10 раз в день печатает документ, удаленный пользователь 2 раза в день подключается по VPN и т.п. предположения основанные на опыте.  Данные цифры необходимо будет заменить на актуальные для вашей компании.

Если вы планируете хранить события ИБ на разных серверах, то необходимо ещё добавить столбец с указанием сервера и места хранения событий для каждого источника. Для упрощения, я предполагаю, что события будут собираться на один условный сервер.

Когда мы переходим к реализации плана по регистрации, сбору и анализу событий ИБ, мы можем столкнуться со следующими сложностями / проблемами:
·        Нам необходимо собирать события ИБ разными способами (Syslog, SNMP, SDEE, копирование файлов, SQL запросы) с большого количества источников (даже с учетом максимальной централизации – от 15 источников).
·        Нам необходимо просматривать и  анализировать порядка 155 000 событий в день.
·        Нам нужно хранить в оперативном доступе порядка 10 000 000 событий и периодически проводить в них поиск в рамках обработки инцидента
·        Все компоненты участвующие в регистрации, сборе и анализе событий ИБ реализуют меры ИБ и соответственно должны быть сертифицированы (либо пройти оценку соответствия)

По первым 3 проблемам – надо грамотно планировать трудовые ресурсы на регистрацию, сбор и анализ событий ИБ и пытаться максимально автоматизировать данные процессы (например, SIEM).


По последней проблеме напишу детально в следующей заметке.


Комментарии

Unknown написал(а)…
Сергей, спасибо за аналитический труд.

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3