Секрет

Почему нельзя хранить журналы иначе

Многие из нас помнят, какое событие в школе становилось самым грандиозным ЧП (для некоторых именно в связи с этой ситуацией и становилось известно значение букв ЧП!): когда кто-то что-то переписал в ЖУРНАЛЕ. Журнал - это святое, помним мы с детства, там нельзя ничего подправлять, даже если очень нужно. Как было бы просто удержаться от соблазна, если бы журналы были неперезаписываемыми.
Есть такие журналы!


Одним из важнейших направлений обеспечения системы менеджмента информационной безопасности организации является её мониторинг [1]. Для осуществления такого мониторинга должны обеспечиваться сбор и хранение в течение определённого периода времени журналов, в которых регистрируются действия пользователей, нештатные ситуации и события ИБ (далее – журналы СЗИ).

С целью изучения лучшего опыта в области управления журналами нами были рассмотрены следующие стандарты и документы:

  • ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности» [2];
  • положение Банка России № 316-П «Об обеспечении информационной безопасности автоматизированных систем Банка России, предназначенных для обработки, хранения и (или) передачи информации ограниченного доступа» [3];
  • методический документ ФСТЭК России «Меры защиты информации в государственных информационных системах» [4];
  • рекомендации в области стандартизации Банка России РС БР ИББС-2.5-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности» [5].

В стандарте ISO/IEC 27002 [2] предъявляются следующие требования к хранению журналов:

  • информация, содержащаяся в журналах аудита, должна быть защищена от несанкционированного доступа и несанкционированного изменения;
  • необходимо применять меры по обеспечению конфиденциальности данных, хранящихся в журнале.

Нормативные документы Банка России [3] требуют архивировать содержащуюся в журналах информацию перед их очисткой. При этом архивы журналов могут уничтожаться только администратором информационной безопасности и не ранее чем через три года с момента появления последней записи в данной архивной копии.

Методический документ ФСТЭК России «Меры защиты информации в государственных информационных системах» [4] задаёт срок хранения информации о зарегистрированных событиях безопасности (не менее трех месяцев).

При этом объём памяти для хранения информации о событиях безопасности определяется с учетом следующего:

  • типов событий безопасности, подлежащих регистрации;
  • составом и содержанием информации о событиях безопасности, подлежащих регистрации;
  • прогнозируемой частоты возникновения подлежащих регистрации событий безопасности;
  • срока хранения информации о зарегистрированных событиях безопасности.

Для повышения уровня безопасности в информационной системе документ [3] требует хранить журналы в изолированном хранилище, физически отделенном от технических средств, входящих в состав информационной системы.

Документ [5] в качестве события ИБ на физическом уровне информационной инфраструктуры, помимо прочего, определяет: осуществление действий с носителями информации, в том числе вынос носителей информации за пределы территории объектов организации.

Кроме того, документ [5] предписывает осуществлять хранение собранной информации о событиях ИБ безопасным образом на носителях «только для чтения».

На основе требований, приведённых в рассмотренных документах, были сформированы требования к средству архивации журналов СЗИ:

  • дописывание событий в существующие архивы журналов;
  • невозможность удалить содержимое архивной копии журнала до истечения срока хранения;
  • доступность архивных копий журнала для просмотра только уполномоченными субъектами;
  • большой размер дискового пространства, достаточный для хранения архивных копий журналов;
  • изолированность хранилища от технических средств, входящих в состав информационной системы;
  • контроль целостности содержимого архива;
  • простая интеграция с системами защиты информации;
  • возможность использования хранилища только на компонентах контролируемой информационной системы;
  • обеспечение невозможности работы со средством архивации журнала за пределами информационной системы организации;
  • регистрация в собственном журнале устройства всех случаев подключений к СВТ (как успешных, так и неуспешных);
  • хранение собранной информации о событиях ИБ безопасным образом на носителях «только для чтения».

Разумным видится такой сценарий работы этого средства архивирования:

  • настройка устройства уполномоченным лицом (какие журналы работы СЗИ необходимо архивировать, установка лиц, имеющих прав на просмотр и экспорт журналов, установка сроков хранения журналов);
  • сотрудник организации, имеющий право на экспорт журналов, подключает средство архивации к компоненту информационной системы, откуда автоматически выгружаются журналы работы СЗИ. При этом в устройстве сохраняется дата и время последнего зарегистрированного события для каждого СЗИ, вычисляется сумма контроля целостности для каждого журнала работы СЗИ;
  • сотрудник организации, имеющий право на просмотр журналов, проверяет работу СЗИ за истекший период;
  • по истечении установленного времени хранения журнал работы СЗИ в устройстве автоматически очищается.

Очевидно, что для выполнения этих требований не подходит никакое иное средство архивирования, кроме USB-устройства ПАК «Программно-аппаратный журнал» (ПАЖ).

ПАК «ПАЖ» – средство ведения неперезаписываемого журнала событий. Он состоит из аппаратного модуля «ПАЖ» (USB-флешка с управляемым доступом) и внешнего ПО (утилиты для сбора, просмотра архивируемых журналов, настройки, контроля работы ПАЖ и библиотеки записи журнала).

Внутренняя память аппаратного модуля разделена на три части [6]:

  • открытый диск. Всегда появляется при монтировании устройства на компьютере, доступен только для чтения. На нем находится внешнее ПО ПАЖ, которое записывается туда при изготовлении изделия или его обновлении;
  • диск архива журналов. На нем сохраняются файлы журналов, доступные только для просмотра и экспорта с помощью ПО ПАЖ;
  • диск внутреннего журнала ПАЖ [7]. На нем сохраняется журнал событий самого изделия, куда записываются сообщения обо всех сервисных событиях (подключение ПАЖ к рабочей станции, успешное или ошибочное выполнение регистрации, авторизации, настройки политик и т. д.).

Существуют следующие основные права на использование устройства:

  • настройка ПАЖ;
  • контроль настроек ПАЖ;
  • чтение внутреннего журнала ПАЖ;
  • чтение внешних журналов из ПАЖ;
  • запись внешних журналов в ПАЖ.

Настройка ПАЖ включает:

  • настройку парольных политик (длина кода авторизации (КА) пользователей ПАЖ, порог блокирования после нескольких вводов неверного КА подряд);
  • настройка политик доступа (список доменов и рабочих станций, на которых разрешено использование ПАЖ);
  • настройка политик внутреннего журнала ПАЖ (блокирование ПАЖ при переполнении внутреннего журнала или затирание журнала «по кругу»);
  • установка требуемых для экспорта журналов для каждой рабочей станции.

В ПАЖ предусмотрено разделение прав на использование устройства между различными ролями. Предварительно был сформирован следующий перечень ролей:

  • администратор: осуществляет настройку ПАЖ;
  • администратор ИБ (АИБ): проверяет настройки ПАЖ, установленные администратором. Он контролирует использование устройства другими пользователями, проверяя внутренний журнал работы ПАЖ;
  • оператор: добавляет события в журналы работы СЗИ с помощью внешнего ПО. При этом журнал сохраняется в каталоге рабочей станции, на которой происходит его добавление, и имеет следующий путь «Имя Домена / Имя Рабочей станции / Имя журнала»;
  • аудитор: просматривает журналы работы СЗИ, сохраненные на диске архива журналов безопасности. Журналы работы СЗИ располагаются в каталогах, соответствующих рабочим станциям.

Для применения ПАЖ в составе ПАК поставляется библиотека записи журналов, которая позволяет сторонним разработчикам встраивать функции записи в ПАЖ в свои приложения.

ПАЖ может использоваться по двум различным сценариям:

  • архивирование журналов:
    • в память архива ПАЖ записывается информация из журналов СЗИ по расписанию или по достижению журналом СЗИ заданного объёма;
    • производится очистка журналов СЗИ на рабочей станции.
  • регистрация событий СЗИ:
    • СЗИ осуществляют регистрацию событий, сразу помещая их в архив ПАЖ [8].

Несколько различных СЗИ могут использовать один ПАЖ, это настраивается администратором. Когда свободная память архива ПАЖ заканчивается, данный ПАЖ заменяется новым, а старый сдаётся на архивное хранение.

ЧТО ПОЧИТАТЬ:

  1. ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. 2008 [Электронный ресурс]. URL: http://www.altell.ru/legislation/standards/27001-2006.pdf (дата обращения: 24.04.2015)
  2. ГОСТ Р ИСО/МЭК 27002-2012. Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности. М.: Стандартинформ, 2014. – 198 с.
  3. Положение Банка России № 316-П от 11.01.2008. Об обеспечении информационной безопасности автоматизированных систем Банка России, предназначенных для обработки, хранения и (или) передачи информации ограниченного доступа.
  4. Методический документ ФСТЭК России. Меры защиты информации в государственных информационных системах. 2014 [Электронный ресурс]. URL: http://fstec.ru/component/attachments/download/675 (дата обращения: 24.04.2015).
  5. Рекомендации в области стандартизации Банка России РС БР ИББС-2.5-2014. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности. Дата введения: 2014-06-01. [Электронный ресурс]. URL: http://www.cbr.ru/credit/gubzi_docs/rs-25-14.pdf (дата обращения: 26.01.2017).
  6. Специальный съемный носитель информации. Патент на полезную модель № 94751. 27.05.2010, бюл. №15.
  7. Съемный носитель информации на основе энергонезависимой памяти с расширенным набором функций информационной безопасности. Патент на полезную модель № 130441. 20.07.2013, бюл. № 20.
  8. Конявская С. В., Кравец В. В., Батраков А. Ю. Безопасный Интернет: видимость как необходимое и достаточное.