Модель угроз для SIEM КОМРАД
Модель угроз безопасности информации для KOMRAD Enterprise SIEM v4.6 разработана в соответствии с требованиями нормативных правовых актов в области информационной безопасности и определяет перечень актуальных угроз, которые необходимо учитывать при эксплуатации системы.
Назначение документа
Модель угроз предназначена для:
- Определения перечня актуальных угроз безопасности информации, обрабатываемой в KOMRAD Enterprise SIEM
- Обоснования выбора организационных и технических мер защиты информации
- Разработки рекомендаций по безопасной эксплуатации системы
- Оценки рисков информационной безопасности при внедрении и эксплуатации системы
Объект защиты
KOMRAD Enterprise SIEM является средством обнаружения компьютерных атак (средством ГосСОПКА), обрабатывающим:
- События информационной безопасности от различных источников
- Сведения о компьютерных инцидентах и компьютерных атаках
- Справочную информацию об инфраструктуре контролируемых информационных ресурсов
- Индикаторы компрометации и сведения о вредоносном ПО
- Уведомления и запросы, передаваемые через техническую инфраструктуру НКЦКИ
Потенциальные нарушители
Внешние нарушители
- Лица, не имеющие санкционированного доступа к информационной системе, в которой эксплуатируется KOMRAD Enterprise SIEM
- Субъекты, осуществляющие компьютерные атаки на контролируемые информационные ресурсы
- Лица, осуществляющие попытки несанкционированного доступа через сети общего пользования
Внутренние нарушители
- Работники субъекта КИИ, обладающие легитимным доступом к KOMRAD Enterprise SIEM, но действующие за пределами предоставленных полномочий
- Лица, обладающие привилегированным доступом к компонентам системы (администраторы баз данных, системные администраторы)
Актуальные угрозы безопасности информации
Угрозы, связанные с несанкционированным доступом
| Угроза | Описание | Меры противодействия |
|---|---|---|
| Несанкционированный удаленный доступ | Получение доступа к системе лицами, не являющимися работниками субъекта КИИ | Аутентификация с использованием паролей и аппаратных средств, разграничение прав доступа, блокирование сессий |
| Подбор учетных данных | Попытки подбора паролей к учетным записям пользователей системы | Ограничение неуспешных попыток входа, хранение паролей в хешированном виде, автоматическое информирование о необходимости смены паролей |
| Повышение привилегий | Использование уязвимостей для получения прав, превышающих назначенные | Ролевая модель доступа, запись действий пользователей в электронный журнал |
Угрозы целостности информации
| Угроза | Описание | Меры противодействия |
|---|---|---|
| Модификация правил корреляции | Несанкционированное изменение правил корреляции для сокрытия компьютерных атак | Разграничение прав доступа к управлению правилами, регистрация изменений |
| Нарушение целостности ПО | Несанкционированная модификация программных компонентов системы | Контроль целостности ПО и конфигурационных файлов, самотестирование ПО |
| Модификация событий ИБ | Несанкционированное изменение или удаление зарегистрированных событий безопасности | Защита электронных журналов от редактирования и удаления |
Угрозы доступности
| Угроза | Описание | Меры противодействия |
|---|---|---|
| Отказ в обслуживании | Создание условий, при которых система не может обрабатывать события ИБ | Отказоустойчивая архитектура, резервирование компонентов |
| Утрата данных | Потеря событий ИБ или информации о компьютерных инцидентах | Резервное копирование данных и конфигурации, хранение событий не менее 6 месяцев |
| Нарушение работоспособности | Сбои, приводящие к прекращению функционирования системы | Резервирование и восстановление работоспособности, самовосстановление при критических ошибках |
Угрозы конфиденциальности
| Угроза | Описание | Меры противодействия |
|---|---|---|
| Утечка данных об инцидентах | Несанкционированная передача информации о компьютерных инцидентах | Исключение несанкционированной передачи обрабатываемой информации, защита каналов связи |
| Раскрытие инфраструктурных сведений | Получение сведений об архитектуре и объектах контролируемых информационных ресурсов | Разграничение доступа к справочной информации, защита от несанкционированного удаленного управления |
Организационные меры по снижению угроз
- Управление доступом -- определение ролей и полномочий пользователей, регулярный аудит учетных записей и прав доступа
- Обучение персонала -- проведение инструктажей и повышение осведомленности работников в области информационной безопасности
- Управление обновлениями -- своевременная установка обновлений ПО и служебных баз данных
- Резервное копирование -- регулярное создание резервных копий конфигурационных данных и баз данных
- Мониторинг -- контроль функционирования системы и анализ журналов аудита
- Реагирование на инциденты -- наличие инструкций по реагированию на компьютерные инциденты
Технические меры, реализованные в KOMRAD Enterprise SIEM
Система реализует следующие технические меры защиты, предусмотренные требованиями к средствам ГосСОПКА:
- Идентификация и аутентификация пользователей с использованием паролей и аппаратных средств
- Разграничение прав доступа к информации и функциям на основе ролевой модели
- Регистрация событий ИБ, связанных с функционированием системы
- Обновление программных компонентов и служебных баз данных без потери данных
- Резервирование и восстановление работоспособности
- Синхронизация системного времени
- Контроль целостности программного обеспечения