Журнал "Information Security/ Информационная безопасность" #1, 2018

Мы бы никогда не заду- мались о том, каким должен быть "правильный" журнал, ограничиваясь стандартным выполнением требований к регистрации событий в своих продуктах. Однако решение пришло в ходе обсуждения на одном из семинаров с администрато- рами безопасности инфор- мации наших защищенных флешек "Секрет". Оказывается, флешка с управляемым доступом, раз- личающая не только людей, но и компьютеры – это как раз то, что нужно, чтобы упростить жизнь в части организационных мер по работе с журналами и в то же время не снизить, а, наоборот, повысить их защищенность, а значит, и доказательность. Журналы нужны для того, чтобы, "если что", вос- становить, как было дело. Для того чтобы это пред- назначение реализовыва- лось без оговорок, журнал должен: l быть доступным для изучения в случае необходи- мости; l быть недоступным для изменения для кого угодно с какими угодно целями. Что может быть не так, за счет чего журналы могут оказаться недоступными для изучения или измененными? Журналов много, и это файлы. Большого объема, в большом количестве. Они занимают очень много места, и память, отведенную под жур- налы, – будь то память СВТ или память СЗИ – время от времени освобождают. Все без исклю- чения. При этом журналы обыч- но архивируют, записывают на какой-то носитель и куда-то уби- рают. В какой-то шкаф. И там они, конечно, штабелируются. Это первая причина, по которой журнал может оказаться недо- ступен в нужный момент. Вторая причина – это повреж- дение файла журнала. С этим сталкивались большинство администраторов систем и боль- шинство служб технической под- держки. Файл журнала может быть поврежден и из-за ошибок того устройства или приложения, которое регистрирует событие, но чаще случается так, что он повредился при хранении. Журнал может стать недоступ- ным из-за того, что кто-то его специально повредил. А может оставаться доступным, но "улуч- шенным". И необязательно дей- ствовал злоумышленник. Воз- можно, администратор просто "убрал лишнее", чтобы не засо- ряло. Ну или, конечно, чтобы что-то скрыть. Так или иначе, если нет возможности доказать, что журнал не изменен, то использовать его при "разборе полетов", конечно, можно, но!.. Не будем забывать, что жур- налы – это не просто файлы, это еще и разные файлы , не только создаваемые, но и читае- мые (или, иначе, обрабатывае- мые) разными средствами , и выработать надо механизм для работы сразу со всеми. Значит, логично перенести фокус с защиты файла на защи- ту его носителя. Итак, нам потребуется носи- тель: l удобный в хранении; l совместимый со всеми или с большинством СВТ; l не требующий от пользова- теля специальных навыков; l способный обеспечить неизменность своего содер- жимого после того, как оно на него попало. До сих пор этому набору тре- бований в наибольшей степени соответствовал неперезаписы- ваемый компакт-диск (CD-R). Однако недостатки этого "инструмента" не стоит даже перечислять, они очевидны. При этом жизнь подсказывает еще ряд функциональных тре- бований. Важно различение СВТ, чтобы журналы из разных систем не путались, иначе неудобно. Важна ролевая структура, отвечающая задачам органи- зации, – например, чтобы читать журналы мог только аудитор, а тот, кто настраивает носитель (администратор), и тот, кто записывает на него журналы (пользователь), – не могли. При этом аудитор не должен иметь возможности влиять на настрой- ки или сам дописывать журна- лы. Или, по логике организа- ционно-штатной структуры предприятия, он должен иметь возможность влиять на настрой- ки, а может быть, наоборот не должен даже их видеть. Все это может быть задумано в каж- дой организации весьма инди- видуально, и идеальное сред- ство ведения журнала событий должно не ставить эксплуати- рующую организацию перед выбором из 2–3 стандартных ролей, а позволять создавать роли с теми комплектами прав и функций, которые нужны для реализации политики безопас- ности организации. Получается USB-накопитель Add Only, т.е. "только добавление", неперезаписываемый, чтобы дан- ные нельзя было ни удалить, ни модифицировать умышленно или по ошибке, с управляемым доступом к памяти. Все эти выкладки мы и поло- жили в основу "Программно- аппаратного журнала" – неперезаписываемого хранилища на базе слу- жебных носителей семейства "Секрет". С тех компьютеров, которые в данном кон- кретном устройстве ука- заны как разрешенные, на ПАЖ копируются журналы событий из указанных при настройке источников (например, журналы Аккорда-АМДЗ или журналы из такой-то папки). Если ПАЖ слу- чайно или специально подклю- чить к другому СВТ – флешка не примонтируется. При этом у ПАЖ есть собст- венный независимый журнал событий, в который записы- ваются все действия с ним, включая все случаи подключе- ний к различным СВТ (даже неуспешные), изменения настроек безопасности, ролей, списка разрешенных СТВ. Роли пользователей ПАЖ создаются администратором путем формирования наборов прав на чтение целевых журна- лов или журналов ПАЖ, про- смотра или изменения настроек безопасности, просмотра или изменения списка разрешенных компьютеров. Средства аудита и монито- ринга – в том числе и исключи- тельно событий несанкциони- рованного доступа – это, как правило, сложные аналитиче- ские системы. Они крайне важны. Однако на практике не менее важны простые инстру- менты, позволяющие значи- тельно снизить сложность орга- низационных мер и освободить человеко-время для более эффективного использования тех данных, что позволяют агре- гировать сложные аналитиче- ские системы. l • 37 ЗАЩИТА СЕТЕЙ www.itsec.ru Неперезаписываемый журнал событий: лайфхак для аудитора дним из важнейших направлений обеспечения системы менеджмента информационной безопасности организации является ее аудит. А значит, должны обеспечиваться сбор и хранение в течение определенного периода времени журна- лов, в которых регистрируются действия пользователей, нештатные ситуации и события ИБ. О Светлана Конявская, кандидат филологических наук, преподаватель кафедры “Защита информации” МФТИ (Физтех), зам. генерального директора ЗАО “ОКБ САПР” АДРЕСА И ТЕЛЕФОНЫ ЗАО "ОКБ САПР" см. стр. 48 NM