Выполняем ЖЦ.23: как оптимально регистрировать изменение настроек АС
Национальный стандарт Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» предназначен для кредитных организаций, некредитных финансовых организаций и субъектов национальной платежной системы. За его выполнением следит Банк России, проводя ежегодные аудиты.
В тексте документа ГОСТ Р 57580.1-2017 приведены способы реализации мер защиты информации на этапах жизненного цикла (ЖЦ) автоматизированной системы, охватывающие создание, ввод в эксплуатацию, сопровождение и снятие с эксплуатации. В таблице 55 можно найти базовый состав мер защиты информации на этапе «Эксплуатация (сопровождение) АС», куда и вошел пункт ЖЦ.23 «Регистрация операций по изменению параметров настроек технических мер системы защиты информации АС».
На практике (прецеденты 2023 и 2024 г.) в кредитных организациях требуется ведение журнала легенды изменения конфигурации с фиксацией событий доступа к конфигурационным файлам и ключам с указанием:
• точного времени изменения;
• контрольной суммы объекта до и после изменения;
• информации о пользователе, выполнившим изменение;
• данных, достаточных для вердикта о легитимности целей и способа внесения изменения.Получить такие данные можно только методами динамического мониторинга событий доступа к объектам, когда в системе фиксируются изменения в конфигурационных файлах в режиме реального времени и последующим хранением легенды изменений.
Решение SoftContol Change Monitoring оптимально подходит для выполнения ЖЦ.23, так как позволяет получать полные данные о событиях изменения наблюдаемых файлов, реестра и политик (кто, как, когда и что в файле/ключе изменил). Решение компании SafenSoft представляет собой динамический мониторинг файлов и реестра с возможностью сравнения атрибутов и контента файлов и ключей на разные точки таймлайн и ведения легенды отклонения состояний файлов и реестра от эталонных состояний.
Другими словами, SoftContol Change Monitoring позволяет вести журнал регистраций операций по изменению настроек различных систем, в том числе системы защиты информации, о чем и идет речь в ЖЦ.23.
Важной частью решения является создание и хранение теневых копий файлов для предоставления возможности сравнения не только атрибутов файлов, но и их содержания, с подсветкой того, что изменилось (добавление, изменение и удаление текста).
В фокусе SoftControl Change Monitoring могут быть следующие сущности:
• файлы
• реестр
• прямые пути
• маски
• макросы
• правила и исключения
• индивидуальные настройки
• групповые настройки
• составные настройки (сумма именованных наборов настроек)
• импорт и экспорт настроек
• бандлы настроек по PCI DSS (Windows, Linux)
• бандлы настроек по ГОСТ Р 57580.1-2017
Архитектура решения подразумевает установку клиентского модуля на стороне хоста, который будет отслеживать изменения и транслировать информацию на сервер. Серверная часть отвечает за управление настройками, сбор событий, управление пользователями, ведение легенды точки отсчета (baseline).
SoftControl Change Monitoring является удобным инструментом для отслеживания изменений в парке устройств любого масштаба и позволяет выполнить требования регуляторов по соответствию стандарту ГОСТ Р 57580.1-2017 в части ЖЦ.23, а также PCI DSS.