ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ФСТЭК РОССИИ ПО ЗАЩИТЕ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ

Прокопайло А.А., Камбулов Д.А.

Донской государственный технический университет

ВЫПОЛНЕНИЕ ТРЕБОВАНИЙ ФСТЭК РОССИИ ПО ЗАЩИТЕ ОБЪЕКТОВ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ

Аннотация

Настоящая работа посвящена системе контроля доступа привилегированных пользователей СКДПУ, которая способна реализовать систему защиты объектов критической информационной инфраструктуры и при этом выполнить ряд требований ФСТЭК России 187-ФЗ.

Ключевые слова: СКПДУ, КИИ, ФСТЭК, 187-ФЗ, защита объектов

Keywords: System of Supervision of Supplier`s Actions of IT Servies, critical information infrastructure, FSTEC, 187 —  the federal law, object protection

Недавно в России вступил в действие закон «О безопасности критической информационной инфраструктуры» (далее — 187-ФЗ). 187-ФЗ предназначен для регулирования отношений в области обеспечения безопасности объектов информационной инфраструктуры РФ, функционирование которых критически важно для экономики государства. Закон ввел понятия объектов и субъектов критической информационной инфраструктуры (КИИ), а также обязанности организаций по обеспечению безопасности объектов КИИ.  Субъектами КИИ, на которые распространяются требования 187-ФЗ, являются государственные и коммерческие учреждения, работающие в сферах здравоохранения, науки, транспорта, связи, энергетики, в банковской сфере и иных сферах финансового рынка, топливно-энергетическом комплексе, в области атомной энергии, оборонной и т.д. Под объектами КИИ понимаются информационные системы (ИС), информационно-телекоммуникационные сети (ИТКС), автоматизированные системы управления (АСУ) субъектов КИИ. Главной целью обеспечения безопасности КИИ является устойчивое функционирование при проведении в отношении нее компьютерных атак. Таким образом, одним из главных принципов обеспечения ИБ КИИ является предотвращение компьютерных атак. 

Защита объектов КИИ

В соответствии с требованиями Приказа ФСТЭК России № 239 от 25.12.2017 «Об утверждении Требований по обеспечению безопасности значимых объектов КИИ РФ» в значимых объектах КИИ в зависимости от их категории значимости и угроз безопасности информации должны быть реализованы организационные и технические меры. В общем случае набор мер Приказа ФСТЭК России № 239 включает следующие основные подсистемы:

  1. идентификация и аутентификация (ИАФ);
  2. управление доступом (УПД);
  3. ограничение программной среды (ОПС);
  4. защита машинных носителей информации (ЗНИ);
  5. аудит безопасности (АУД);
  6. антивирусная защита (АВЗ);
  7. предотвращение вторжений (компьютерных атак) (СОВ);
  8. обеспечение целостности (ОЦЛ); обеспечение доступности (ОДТ);
  9. защита технических средств и систем (ЗТС);
  10. защита информационной (автоматизированной) системы и ее компонентов (ЗИС) и т.д.

Идентификация и аутентификация привилегированных пользователей

СКДПУ обеспечивает идентификацию и аутентификацию разработчиков и других ИТ-специалистов при доступе к серверам КИИ (мера ИАФ.1). Чтобы получить доступ к целевой системе, привилегированные пользователи проходят процесс идентификации и аутентификации на сервере СКДПУ. Пользователю в веб-браузере необходимо набрать URL: https://<имя хоста СКДПУ> или https://. После ввода появляется приглашение для ввода аутентификационных данных пользователя.

Идентификация и аутентификация внешних пользователей (мера ИАФ.5) при доступе к системам объектов КИИ в СКДПУ осуществляется аналогично, как и для штатного ИТ-персонала. Таким образом, СКДПУ создает единую точку входа для привилегированных пользователей (как внешних, так и штатных ИТ-специалистов). В процессе аутентификации администраторов в СКДПУ защита аутентификационной информации при передаче (мера ИАФ.7) обеспечивается исключением отображения для пользователя действительного значения аутентификационной информации — вводимые символы отображаются условным знаком«*».

Аудит безопасности

Журналы подключений, которые ведет СКДПУ, делают более удобным аудит работы администраторов или, в случае необходимости, расследование инцидентов, приведших к какому-либо ущербу, начиная от утечки информации и заканчивая выходом из строя объектов КИИ. Все действия, события и сеансы в СКДПУ регистрируются в реальном времени (АУД.4). В отличие от журналов событий на конечных устройствах, которые могут быть скорректированы или уничтожены сотрудниками, журнал событий СКДПУ им недоступен. Таким образом, в СКДПУ обеспечивается защита данных аудита (мера АУД.6). Детальное протоколирование событий на целевых системах, в случае необходимости, позволяет расследовать инциденты ИБ. Кроме того, система журналирования СКДПУ позволяет избавиться от необходимости анализировать журналы со многих устройств, что, естественно, очень утомительно. Для ретроспективного анализа действий предусмотрена функция создания отчетов. Существует возможность построения графиков, просмотр статистики активности, а также автоматического создания отчетов В части анализа действий пользователей (АУД.9) и для проведения внутренних аудитов (АУД.10) сеансы доступа пользователей можно изучить в журнале СКДПУ. В аудит по RDP-соединений попадают: полная видеозапись сеанса, снимки экрана, сделанные через определенные промежутки времени, и полная расшифровка данных, введенных с клавиатуры и отображаемых на экране (применяется технология OCR — оптическое распознавание текста). При работе с SSH-терминалом в журнале аудита сохраняется полный лог. При веб-доступе записываются GET- и POST-запросы с указанием URL-адресов страниц и переданных параметров. В меню «Истории соединений» можно ознакомиться с историей всех прошлых подключений к целевым системам, посмотреть видеозаписи привилегированных сессий.

Для каждого из соединений отображается следующая информация: имя пользователя и исходный IP-адрес для подключения (например, name@ipsource); целевой объект (в виде account@target:service); целевой хост/IP; протокол; время начала соединения; время окончания соединения; длительность соединения; результат. В подразделе «История запросов» можно ознакомиться со всеми запросами пользователей на доступ к защищаемым системам.

В подразделе «Статистика соединений» можно построить графики статистики по подключениям за определенный период времени.  

В разделе «Аудит» администратор безопасности может ознакомиться с перечнем текущих соединений и в режиме реального времени осуществлять мониторинг привилегированных сессий (мера АУД.7 «Мониторинг безопасности»). Также у администратора СКДПУ существует возможность разорвать сессию.

СКДПУ также регистрирует также внутренние системные события.

С помощью этих механизмов можно контролировать действия администраторов, видеть, какие операции на обслуживаемых серверах производили коллеги и подчиненные. Кроме того, в случае инцидента не составит труда быстро определить причину и виновных,  а также оценить степень серьезности проблемы.

Анализ компьютерных инцидентов

СКДПУ позволяет администраторам безопасности осуществлять мониторинг подключений как в реальном времени, так и ретроспективно для анализа сбоев или инцидентов ИБ (мера ИНЦ.3).

СКДПУ доступна возможность записи сессий в формате Flash Video для последующего их просмотра и анализа. Все записанные сеансы можно хранить как в СКДПУ (мера ИНЦ.6), так и выгружать их на любое доступное внешнее устройство хранения данных. Такой подход к контролю подключений позволяет предотвратить утечку данных или злонамеренные действия. Это позволяет провести детальное расследование какого-либо инцидента, связанного с действиями штатных администраторов и подрядчиков ИТ-услуг на объекте КИИ.

Запрет прямого удаленного доступа к техническим средствам объекта КИИ

В соответствии с п. 31 Приказа ФСТЭК России № 239 в значимом объекте не допускаются наличие удаленного доступа непосредственно (напрямую) к программным и программно-аппаратным средствам, в том числе средствам защиты информации, для обновления или управления со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры. СКДПУ обеспечивает изоляцию систем ИТ-среды объектов КИИ. СКДПУ функционирует в виде прокси-сервера, что позволяет изолировать системы от прямого доступа. Прямой доступ остается закрытым авторизацией, при этом доступ через СКДПУ осуществляется напрямую, если привилегированный пользователь прошел авторизацию на сервере СКДПУ. Технология единого входа (SSO), реализованная в рамках СКДПУ, позволяет гибко и в то же время эффективно подходить к задачам контроля за действиями привилегированных пользователей. Если субъекту КИИ нет нужды знать о том, кто конкретно из администраторов поставщика услуг производит действия, можно для каждой из аутсорсинговых компаний создать единый аккаунт для входа. Это вполне логично, если за качество поставляемой услуги и возможный ущерб со стороны поставщика ИТ-услуги отвечает юридическое лицо в целом. Удаленным администраторам не передаются напрямую реквизиты доступа к каждому техническому средству объекта КИИ. При смене поставщика достаточно изменить параметры старой учетной записи, предоставленной предыдущему аутсорсеру, и открыть к ней доступ новому поставщику — изменять параметры учетных записей для каждого объекта необходимости нет.

Литература

  1. Федеральный закон от 26 июля 2017 г. N 187-ФЗ. [Электронный ресурс] – Режим доступа: https://clck.ru/GdbWu
  2. Что такое «критическая информационная инфраструктура»? [Электронный ресурс] — Режим доступа: http://gossopka.ru/faq/
  3. Система СКДПУ [Электронный ресурс] — Режим доступа: http://it-bastion.com/production/скдпу/
  4. Система контроля действий поставщиков ит-услуг ЦВЛК.3260 [Электронный ресурс] — Режим доступа: https://clck.ru/GdbWX