Секрет

ПАЖ

Многие из нас помнят, какое событие в школе становилось самым грандиозным ЧП (для некоторых именно в связи с этой ситуацией и становилось известно значение букв ЧП!): когда кто-то что-то переписал в ЖУРНАЛЕ. Журнал - это святое, помним мы с детства, там нельзя ничего подправлять, даже если очень нужно. Как было бы просто удержаться от соблазна, если бы журналы были неперезаписываемыми.
Есть такие журналы!


Для мониторинга информационной безопасности должны обеспечиваться сбор и хранение журналов событий. В «ОКБ САПР» создали для этого специальное устройство «ПАЖ» («Программно-аппаратный журнал») — средство ведения неперезаписываемого журнала событий, удобное в использовании и удовлетворяющее требованиям к защищенности такого рода информации.

Каким был бы «правильный» журнал?

Мы бы никогда не задумались об этом, ограничиваясь стандартным выполнением требований к регистрации событий в своих продуктах. Однако решение пришло в ходе обсуждения с администраторами безопасности информации наших защищенных флешек Секрет.

Оказывается, флешка с управляемым доступом, различающая не только людей, но и компьютеры — это как раз то, что нужно, чтобы упростить жизнь в части организационных мер по работе с журналами и в то же время не снизить, а наоборот повысить их защищенность, а значит, и доказательность.

По сути дела, для чего нужны журналы (кроме выполнения требований регуляторов — об этом читайте в разделе «Почему нельзя хранить журналы иначе»).

Журналы нужны для того, чтобы «если что» восстановить, как было дело.

Это довольно очевидно.

Для того чтобы это предназначение реализовывалось без оговорок, журнал должен:

  1. Быть доступным для изучения в случае необходимости,
  2. Быть недоступным для изменения для кого-угодно с какими-угодно целями.

Что может быть не так, за счет чего журналы могут оказаться недоступными для изучения или измененными?

  • Журналов много, и это файлы. Большого объема, в большом количестве. Они занимают очень много места, и память, отведенную под журналы — будь то память СВТ или память СЗИ — время от времени освобождают. Все без исключения. При этом их обычно архивируют, записывают на какой-то носитель и куда-то убирают. В какой-то шкаф. И там они, конечно, штабилируются. Это первая причина, по которой журнал может оказаться не доступен в нужный момент.
  • Вторая причина — это повреждение файла журнала. С этим сталкивались большинство администраторов систем и большинство служб технической поддержки. Конечно, файл журнала может быть поврежден и из-за ошибок того устройства или приложения, которое регистрирует событие. Но чаще, объективно, случается так, что он повредился при хранении. Эта причина затруднений смежна с проблемой изменения журнала.
  • Журнал может стать недоступным из-за того, что кто-то его специально повредил. А может оставаться доступным, но «улучшенным». И необязательно действовал злоумышленник. Возможно, администратор просто «убрал лишнее», чтобы не засоряло. Ну или, конечно, чтобы что-то скрыть. Так или иначе, если нет возможности доказать, что журнал не изменен, то использовать его при «разборе полетов», конечно, можно, но.

И чтобы не было «но», нужно каким-то способом обеспечить доказанную целостность информации.

Однако, согласитесь, что подписание журналов ЭП (или защита с помощью кодов аутентификации (КА)) — решение не то что бы нереализуемое, но немного странное.

Тем более, оно никак не предотвратит порчу журнала, а еще в меньше степени поможет его просмотреть в случае необходимости.

Не будем забывать, что все журналы — это не просто файлы, это еще и разные файлы, и выработать надо механизм для работы сразу со всеми.

Значит, логично перенести фокус с защиты файла на защиту его носителя.

Итак, нам потребуется носитель:

  • удобный в хранении,
  • совместимый со всеми или с большинством СВТ
  • не требующий от пользователя специальных навыков
  • способный обеспечить неизменность своего содержимого после того, как оно на него попало.

Получается неперезаписываемый (add only) USB-накопитель, чтобы данные нельзя было ни удалить, ни модифицировать умышленно или по ошибке.

При этом жизнь подсказывает еще ряд функциональных требований — различение СВТ — чтобы журналы не путались, иначе неудобно.

Различение пользователей, например, чтобы читать журналы мог только специальный аудитор, а тот, кто настраивает носитель (администратор) и тот, кто записывает на него журналы (пользователь) — не могли.

Все эти выкладки мы и положили в основу «Программно-аппаратного журнала» — неперезаписываемого хранилища на базе служебных носителей семейства «Секрет».

ПАЖ детально описан в разделе «Технические подробности».