Система регистрации, анализа и мониторинга событий информационной безопасности

Наименование: Система регистрации, анализа и мониторинга событий информационной безопасности (Система РАМС ИБ)

Обозначение: ДВИК.4010100-01

Внедрение:: МИД России, СВР России, ФМБА России

Система регистрации, анализа и мониторинга событий информационной безопасности (Система РАМС ИБ) представляет собой многоуровневую информационно-аналитическую систему, используемую для обеспечения постоянной защищенности автоматизированных информационных систем (АИС) как небольших организаций, так и распределенных систем федерального масштаба. Отличительной особенностью Системы РАМС ИБ является возможность контроля изолированных АРМ и локальных сетей, не включённых в корпоративные информационные системы.

Под событиями информационной безопасности (СИБ) в АИС подразумеваются любые непредвиденные или нежелательные события, которые нарушают (или могут нарушить) требования информационной безопасности, а именно:

  • несанкционированное уничтожение и изменение информации;
  • несанкционированное блокирование средств, обеспечивающих доступ к информации;
  • создание нештатных режимов работы программных (программно-аппаратных) средств за счет преднамеренных изменений служебных данных и настроек;
  • несанкционированное копирование и распространение информации.

Система РАМС ИБ способна регистрировать следующие СИБ:

  • несоблюдение требований (политик) по обеспечению ИБ при работе пользователей в АИС;
  • несанкционированное использование вычислительных ресурсов АИС;
  • нарушение правил доступа к объектам операционных систем (папки и файлы файловой системы, ключи реестра, запуск процессов, попытки записи информации на незарегистрированные флеш-диски и т.п.);
  • обнаружение компьютерных атак (КА) на вычислительные ресурсы АИС методами сигнатурного и поведенческого анализа, включая КА следующих типов: «отказ в обслуживании» (DoS), «распределённый отказ в обслуживании» (DDoS), «активность бот-сетей»;
  • перегрузка вычислительных ресурсов АИС, приводящая к невозможности функционирования заданных сервисов.

Источниками информации в Системе РАМС ИБ являются:

  • аппаратно-программные комплексы обнаружения компьютерных атак «Аргус»;
  • хостовые агенты мониторинга параметров объектов операционной системы Microsoft Windows, которые устанавливаются на хостах - АРМах (в том числе изолированных от сети) и серверах, требующих мониторинга;
  • анализаторы текстовых журналов аудита и сообщений BSD syslog, обеспечивающие получение и анализ информации из указанных источников по настраиваемым алгоритмам анализа.

Основные функции и особенности хостового агента:

  • удаленное получение и обновление политик информационной безопасности, контролируемых агентом;
  • контроль / принуждение к исполнению установленной политики информационной безопасности;
  • шифрование трафика;
  • синхронизация времени агента с временем управляющего сервера;
  • надежное скрытие всех элементов агента (файлов, используемых ключей системного реестра, сетевых соединений, процесса);
  • возможность запуска приложений по расписанию;
  • удалённая визуализация и управление состоянием модулей агента (загрузка, выгрузка, запуск, останов, смена текущей активной версии модуля);
  • передача/получение сообщений через альтернативные маршруты (альтернативные транспортные серверы);
  • возможность немедленной реакции на заданные СИБ;
  • функционирование под управлением ОС Windows 32 и 64 разряда: XP/2003 Server/ Vista/ 7/2008 Server / 8/ 8.1/2012 Server.

Встроенная в Систему РАМС ИБ аналитическая отчётная система является удобным инструментом администраторов безопасности для эффективного расследования инциндентов ИБ, а также для предоставления статистики событий в АИС по различным параметрам: ID анализатора, IP адрес источника сообщения, IP адрес приемника, порт источника, порт приемника, протокол, важность / критичность сообщения, сработавшая сигнатура, произошедшее СИБ, временной интервал и др. В случае необходимости, возможно использование внешних систем мониторинга, например HP ArcSight.

Схема взаимодействия компонентов Системы РАМС ИБ на логическом уровне:

Схема взаимодействия компонентов Системы РАМС ИБ на физическом уровне:

Возможности управления

Система РАМС ИБ имеет возможность управления:

  • Модулями реакции хостовых агентов, которые могут:
    • прекращать выполнение заданных процессов в операционной системе (ОС);
    • прерывать текущую сессию пользователя ОС, блокировать учётную запись пользователя;
    • устанавливать фильтры, блокирующие:
      • доступ к объектам файловой системы и системного реестра;
      • сетевые взаимодействия;
      • запуск процессов;
      • подключение USB-устройств к компьютеру.
  • Внешними межсетевыми экранами посредством установки фильтров, блокирующих сетевые взаимодействия.

Использование системы РАМС ИБ эффективно:

  • при разработке и применении технических мер защиты информации в ИСПДн, предоставляющих информационные услуги удаленным пользователям, в частности в рамках построения порталов госуслуг;
  • при разработке и применении технических мер защиты информации в территориально распределенных системах, в том числе имеющих изолированные АРМы и сегменты.

Загрузить PDF >>>

© 2002-2015 Центр Специальной Системотехники |