Журнал "Information Security/ Информационная безопасность" #4, 2020

Системы ГосСОПКА не заменяют собой никакие собственные системы субъ- екта КИИ, а только осу- ществляют вспомогатель- ную информационную функ- цию. И если ваша система информационной безопас- ности даст сбой, то ГосСОПКА окажет посильную помощь. StaffCop Enterprise идет по пути совмещения функ- ций SIEM и DLP, позволяя при небольших затратах получить весь необходимый функционал, соответствую- щий требованиям 187-ФЗ. l выявление и анализ уязви- мостей обслуживаемых инфор- мационных систем, а также координацию действий по устранению найденных уязви- мостей; l анализ событий, регистри- руемых компонентами обслу- живаемых информационных систем и средствами их защиты, для поиска признаков атак, направленных на эти системы; l координацию действий по реагированию на обнаруженную атаку, если же атака привела к инциденту – по ликвидации последствий этого инцидента; l расследование инцидентов и ретроспективный анализ атак, которые не удалось предотвра- тить; l информирование персонала обслуживаемых информацион- ных систем. Системы ГосСОПКА не заме- няют собой никакие собствен- ные системы субъекта КИИ, а только осуществляют вспо- могательную информационную функцию. И если ваша система информационной безопасности даст сбой, то ГосСОПКА окажет посильную помощь. Эта концепция сформирова- на и отражена в нормативных документах о безопасности КИИ. Государство подчеркива- ет, что вы сами должны обес- печивать безопасность. Систе- ма ГосСОПКА оценивает целе- вую систему, производя инвен- таризацию, выявляя уязвимо- сти, и производит анализ угроз, учитывая опыт обработки дру- гих информационных систем, а также предоставляет сцена- рии для разных типов угроз. Любой опыт системы по реа- лизации сценариев защиты используется в дальнейшем, помогая менять сценарии и способствовать развитию системы. Итак, безопасность инфор- мационной структуры – это область ответственности субъ- екта КИИ. В обработке данных и событий информационной безопасности может помочь государство. SIEM не решает проблемы, но осуществляет вспомогательную функцию, кроме того, требует определен- ной инфраструктуры, над кото- рой она надстраивается. Оста- лось восполнить одно недостаю- щее звено, чтобы с нуля построить систему, соответ- ствующую 187-ФЗ, и при этом уложиться в сроки, касающиеся мероприятий с КИИ. StaffCop – на стыке SIEM и DLP Если раньше общей концеп- цией производства ПО было наращивание функционала про- дукта, то сейчас акцент смеща- ется в сторону одного из двух типов: l решения, работающие "из коробки"; l решения, объединяющие в себе разные системы. Время интеграции – это такой же важный фактор, как и функ- циональность. Для соответствия функцио- нала приказу ФСТЭК России № 239 "Об утверждении Требо- ваний по обеспечению безопас- ности значимых объектов кри- тической информационной инфраструктуры Российской Федерации" в StaffCop Enterprise имеются следующие возмож- ности: l контроль ввода-вывода информации на машинные носи- тели информации – сеть, USB, CD, запись/удаление/печать и т.д.; l контроль подключения электронных носителей информации – применительно ко всей системе/конкретному сегменту/компьютеру/пользова- телю, список запрещенных/спи- сок разрешенных/разрешение только на чтение; l контроль и анализ сетевого трафика – вся работа пользо- вателей в сети: время, прове- денное на сайтах, список посе- щенных сайтов, заполнение веб-форм и т.д., а также воз- можность настройки белого списка сайтов и блокировка доступа к нежелательным; l контроль файлов – контроль любых операций с файлами, включая передачу через сеть; l инвентаризационные функ- ции – контроль конфигурации аппаратной части и программ- ной; l детектор аномалий – анали- тический инструмент, который позволяет составить модель поведения сотрудника во время рабочего процесса и реагирую- щий на отклонения в поведе- нии. StaffCop Enterprise идет по пути совмещения функций SIEM и DLP, позволяя при небольших затратах получить весь необхо- димый функционал, соответ- ствующий требованиям 187-ФЗ. Уменьшение затрат достигается за счет того, что заказчику не требуется приобретать сторон- ние лицензии, он покупает толь- ко сам комплекс: все, что нужно, уже включено в комплект поставки. Учитывая, что многие орга- низации подключаются к систе- мам ГосСОПКА, в StaffCop Enterprise реализована функция формирования специального протокола, который можно передавать в другие SIEM, в частности в ГосСОПКА. Тот набор данных, которые собира- ет и анализирует Staffcop Enter- prise, дополняет общий срез ИБ и подходит для построения защиты КИИ – подтверждением этого и является сертификат ФСТЭК № 4234 от 15 апреля 2020 г. Заключение Государство готово помочь предприятиям частного сектора любого масштаба в анализе событий ИБ с помощью ГИС ГосСОПКА. Поэтому необходи- мо сосредоточиться на выборе наиболее оптимального реше- ния, позволяющего интегриро- ваться с ГосСОПКА. StaffСop Enterprise полностью соответ- ствует требованиям федераль- ного закона и включает в себя необходимый функционал, покрывающий потребности любой организации. Само использование программного комплекса не требует особых знаний, и любой сотрудник, как показывает практика, способен быстро научиться с ним обра- щаться. Документация на про- граммный комплекс находится в открытом доступе, что позво- ляет ознакомиться с возможно- стями продукта до его непо- средственного тестирования. В условиях мировой неста- бильности Staffcop Enterprise является одним из лучших решений по обеспечению ИБ, сочетая в себе малое время развертывания, многофункцио- нальность, технологичность и низкую стоимость. l • 15 КИИ www.itsec.ru Наши исследования показывают, что по времени развертывания StaffCop Enterprise является одним из быстрейших решений на рынке. Все, что требуется, – развернуть с образа серверную часть, установить агенты на выбранные рабочие станции и настроить антивирус. Причем установить агенты вы можете удаленно, импортировав, например, адреса хостов в установщик, чтобы ускорить процесс, либо проведя сканирование сети и считав данные из домена. Ваше мнение и вопросы присылайте по адресу is@groteck.ru