Журнал "Information Security/ Информационная безопасность" #5, 2020

3. Формирование общей базы шабло- нов (прототипов конфигураций рабочих мест пользователей). 4. Назначение шаблонов подконтроль- ным объектам. 5. Проведение опроса на ПКО (скани- рования конфигурации СВТ в соответ- ствии с назначенным шаблоном) и фор- мирование его паспорта ПО. Эти действия соответствуют этапам планирования и внедрения SecCM. В результате подготовки системы в базе данных "Паспорт ПО" форми- руются записи об эталонном состоянии конфигурации СВТ с установленным Клиентом. В ходе дальнейшей работы выполняется сканирование подконтроль- ных объектов по заданному для СВТ расписанию или по запросу управляю- щего персонала "Паспорт ПО". В ходе сканирования Клиент определяет кон- фигурацию СВТ и отправляет информа- цию на Сервер, который автоматически сверяет полученные данные о текущем состоянии ПКО с эталонным и инфор- мирует управляющий персонал "Паспорт ПО" о выявленных нарушениях. Для каждого ПКО в случае обнаружения нарушений должен быть выполнен ана- лиз возникших изменений, в результате которого возможно обновление паспорта ПО в случае санкционированных моди- фикаций или же принятие мер по устра- нению причин возникших несоответ- ствий, разбор инцидента безопасности. Данные операции являются третьим эта- пом реализации SecCM. Информация обо всех действиях по формированию как проектов паспортов ПО, так и самих паспортов ПО сохраняется в журнале событий "Паспорт ПО". Анализ сообщений из журнала событий позволяет производить выявление изменений в уже утвержденных паспортах, реализовав тем самым этап мониторинга SecCM. SecCM и "Паспорт ПО" Рассмотрев основные функции "Пас- порт ПО" и сопоставив этапы его приме- нения с этапами реализации концепции SecCM, выполним сравнение основных процессов и объектов, на которые опи- рается стандарт SecCM, и процессов и объектов, которыми оперирует про- граммный модуль. Результат представ- лен в таблице. Стоит отметить, что "Паспорт ПО", который, как мы увидели, реализует управление конфигурациями, ориенти- рованное на безопасность, является наложенным средством, целесообраз- ность применения которого, при наличии аналогичной встроенной функциональ- ности, время от времени все еще вызы- вает дискуссии. Использование большого числа ком- пьютеров под управлением ОС Windows почти всегда сопровождается их объ- единением с использованием службы каталогов Active Directory (AD) в единый домен. Эта служба позволяет управлять различными объектами (рабочими компьютерами, серверами, принтерами, пользователями и т.д.) из единой точки (контролле- ра домена), а также полу- чать сведения о состоя- нии объектов и об их изменениях, то есть выполнять мониторинг конфигураций. Хотя использование встроенных в AD техно- логий и позволяет осу- ществлять контроль изме- нений рабочих мест, при- менение данной службы каталогов порождает "проблему суперпользова- теля", то есть сосредоточения макси- мальных привилегий в рамках одной роли, в данном случае – в рамках роли администратора домена. Обладая пол- ными правами, он может вносить любые изменения, что делает бессмысленным возложение на него же еще и обязан- ностей по контролю этих изменений. Применение же нало- женного средства контро- ля изменений позволяет избежать "проблемы суперпользователя", смешения прав и обязанностей системного администра- тора и администратора ИБ, поэтому, несмотря на частичное дублирование встроенной функциональности, именно наложенное средство является необхо- димым компонентом защищенной информационной системы. l • 47 ТЕХНОЛОГИИ www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ "ОКБ САПР" см. стр. 60 NM Реклама NIST.SP.800-128 "Паспорт ПО" Управление конфигурацией, Configura- tion Management (CM) – набор действий, направленных на создание и поддержание целостности продуктов и систем посредством контроля процессов создания, изменения и мониторинга конфигураций этих продуктов и систем Набор действий по формированию базы шаблонов (типовых конфигураций СВТ), назначению их рабочим местам пользователей, формированию паспортов ПО, проведению сканирования рабочих мест и сравнению текущей конфигурации СВТ (проекта паспорта) с эталонной (паспорт ПО) Элемент конфигурации, Configuration Item (CI) – идентифицируемая часть системы (например, аппаратное обеспечение, программное обеспечение, встроенное ПО, документация или их комбинация), которая является дискретной целью процесса управления конфигурацией Подконтрольный объект (ПКО) – СВТ с установленным на него Клиентом "Паспорт ПО", однозначно идентифицируется именем ПКО. Обеспечение контроля целостности конфигурации ПКО является целью применения "Паспорт ПО" Базовая конфигурация, Baseline Configu- ration – набор спецификаций для системы или элемента конфигураций в системе, который был рассмотрен и согласован в определенный момент времени и который может быть изменен только через процедуры контроля изменений Паспорт ПО – заверенный проект паспорта ПО, содержащий информацию о конфигурации СВТ. Процесс заверения проекта заключается в его подписи пользователем "Паспорт ПО". Формирование нового паспорта ПО для СВТ возможно лишь в результате формирования нового проекта паспорта ПО, его сопоставления с действующим паспортом, а также подписи данного проекта План управления конфигурацией, Con- figuration Management Plan (CM Plan) – полное описание ролей, обязанностей, политики и процедуры, применяемых при управлении конфигурацией продуктов и системы "Паспорт ПО" является инструментом контроля целостности состояния программной среды, регламент же его применения для мониторинга конфигураций рабочих мест пользователей информационной системы может быть рассмотрен как план управления конфигурацией Таблица. Соответствие между основными процессами и объектами