Соответствие требованиям безопасности
KOMRAD Enterprise SIEM разработан с учетом требований российских нормативных правовых актов в области информационной безопасности. В данном разделе представлены матрицы соответствия функциональных возможностей системы мерам защиты информации, определенным приказами ФСТЭК России.
Приказ ФСТЭК России N 17
Приказ ФСТЭК России от 11 февраля 2013 г. N 17 устанавливает требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (ГИС). Ниже приведена матрица соответствия базовых мер защиты информации для классов защищенности 1, 2 и 3 функциональным возможностям KOMRAD Enterprise SIEM.
I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
| Мера | Описание | Класс 3 | Класс 2 | Класс 1 | KOMRAD |
|---|---|---|---|---|---|
| ИАФ.1 | Идентификация и аутентификация пользователей, являющихся работниками оператора | + | + | + | |
| ИАФ.2 | Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных | + | + | ||
| ИАФ.3 | Управление идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов | + | + | + | |
| ИАФ.4 | Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации | + | + | + | |
| ИАФ.5 | Защита обратной связи при вводе аутентификационной информации | + | + | + | |
| ИАФ.6 | Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) | + | + | + |
II. Управление доступом субъектов доступа к объектам доступа (УПД)
| Мера | Описание | Класс 3 | Класс 2 | Класс 1 | KOMRAD |
|---|---|---|---|---|---|
| УПД.1 | Управление учетными записями пользователей, в том числе внешних пользователей | + | + | + | |
| УПД.2 | Реализация необходимых методов, типов и правил разграничения доступа | + | + | + | |
| УПД.3 | Управление информационными потоками между устройствами, сегментами информационной системы, а также между информационными системами | + | + | + | |
| УПД.4 | Разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование информационной системы | + | + | + | |
| УПД.5 | Назначение минимально необходимых прав и привилегий пользователям | + | + | + | |
| УПД.6 | Ограничение неуспешных попыток входа в информационную систему | + | + | + | |
| УПД.9 | Ограничение числа параллельных сеансов доступа для каждой учетной записи | + | |||
| УПД.10 | Блокирование сеанса доступа после установленного времени бездействия | + | + | + | |
| УПД.11 | Разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации | + | + | + | |
| УПД.13 | Реализация защищенного удаленного доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети | + | + | + | |
| УПД.16 | Управление взаимодействием с информационными системами сторонних организаций | + | + | + |
V. Регистрация событий безопасности (РСБ)
KOMRAD Enterprise SIEM непосредственно реализует меры данной группы в качестве основного средства мониторинга событий информационной безопасности.
| Мера | Описание | Класс 3 | Класс 2 | Класс 1 | KOMRAD |
|---|---|---|---|---|---|
| РСБ.1 | Определение событий безопасности, подлежащих регистрации, и сроков их хранения | + | + | + | |
| РСБ.2 | Определение состава и содержания информации о событиях безопасности, подлежащих регистрации | + | + | + | |
| РСБ.3 | Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения | + | + | + | + |
| РСБ.4 | Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации | + | + | + | + |
| РСБ.5 | Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них | + | + | + | + |
| РСБ.6 | Генерирование временных меток и (или) синхронизация системного времени в информационной системе | + | + | + | + |
| РСБ.7 | Защита информации о событиях безопасности | + | + | + | + |
| РСБ.8 | Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе | + |
IX. Обеспечение целостности информационной системы и информации (ОЦЛ)
| Мера | Описание | Класс 3 | Класс 2 | Класс 1 | KOMRAD |
|---|---|---|---|---|---|
| ОЦЛ.1 | Контроль целостности программного обеспечения, включая программное обеспечение средств защиты информации | + | + | ||
| ОЦЛ.3 | Обеспечение возможности восстановления программного обеспечения при возникновении нештатных ситуаций | + | + | + |
X. Обеспечение доступности информации (ОДТ)
| Мера | Описание | Класс 3 | Класс 2 | Класс 1 | KOMRAD |
|---|---|---|---|---|---|
| ОДТ.3 | Контроль безотказного функционирования технических средств, обнаружение и локализация отказов | + | + | ||
| ОДТ.4 | Периодическое резервное копирование информации на резервные машинные носители информации | + | + | ||
| ОДТ.5 | Обеспечение возможности восстановления информации с резервных копий в течение установленного временного интервала | + | + |
XIII. Защита информационной системы, ее средств и систем связи и передачи данных (ЗИС)
| Мера | Описание | Класс 3 | Класс 2 | Класс 1 | KOMRAD |
|---|---|---|---|---|---|
| ЗИС.3 | Обеспечение защиты информации от раскрытия, модификации и навязывания при передаче по каналам связи | + | + | + | |
| ЗИС.7 | Контроль использования технологий мобильного кода, регистрация событий, анализ и реагирование | + | + | + | |
| ЗИС.8 | Контроль использования технологий передачи речи, регистрация событий, анализ и реагирование | + | + | + | |
| ЗИС.12 | Исключение возможности отрицания пользователем факта отправки информации другому пользователю | + | + | + | |
| ЗИС.13 | Исключение возможности отрицания пользователем факта получения информации от другого пользователя | + | + | + |
Приказ ФСТЭК России N 239
Приказ ФСТЭК России от 25 декабря 2017 г. N 239 устанавливает требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры (КИИ) Российской Федерации. Структура мер защиты аналогична приказу N 17, однако применяется к трем категориям значимости объектов КИИ.
KOMRAD Enterprise SIEM как средство мониторинга событий информационной безопасности обеспечивает выполнение мер из групп РСБ (регистрация событий безопасности), ЗИС (защита информационной системы) и ОДТ (обеспечение доступности) в соответствии с требованиями приказа N 239.
Ключевые группы мер, реализуемые системой:
- РСБ.3 -- сбор, запись и хранение информации о событиях безопасности
- РСБ.4 -- реагирование на сбои при регистрации событий безопасности
- РСБ.5 -- мониторинг и анализ результатов регистрации событий безопасности
- РСБ.6 -- генерирование временных меток и синхронизация системного времени
- РСБ.7 -- защита информации о событиях безопасности
- РСБ.8 -- обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей
Роль KOMRAD Enterprise SIEM в системе защиты информации
KOMRAD Enterprise SIEM выступает в качестве средства обнаружения компьютерных атак (средства ГосСОПКА), обеспечивая:
- Централизованный сбор и хранение событий безопасности от различных источников
- Корреляцию событий для выявления компьютерных инцидентов
- Формирование и направление уведомлений в НКЦКИ через интеграцию с ГосСОПКА
- Визуализацию и построение аналитических отчетов
- Управление процессом реагирования на инциденты
Система поддерживает интеграцию с широким перечнем источников событий: операционные системы, средства обнаружения вторжений, межсетевые экраны, средства предотвращения утечек данных, антивирусное программное обеспечение, телекоммуникационное оборудование, прикладные сервисы и другие средства защиты информации.