Сценарии применения. Аттестация объектов информатизации

Наверх

Аудит безопасности

RedCheck может служить незаменимым инструментом при проведении аудита безопасности, реализуя комплексный подход к проведению проверок и исключая потребность в других решениях или услугах сторонних организаций.

RedCheck предоставляет полную картину защищенности, включая информацию об анализе рисков, оценке текущего уровня защищенности, соответствию нормативным требованиям и других аспектах информационной безопасности. По итогам аудита администратор получает критически важные сведения о слабых местах в различных сегментах IT-инфраструктуры предприятия.

Ниже приведены функциональные проверки RedCheck, необходимые для проведения аудита безопасности:

Подходы к реализации

Сканирование на наличие уязвимостей
Анализ конфигурации системы, в том числе и на соответствие стандартов ИБ
Инвентаризация ресурсов
Контроль целостности конфигурации и файлов
Комплексный подход

Типы заданий RedCheck

Аудит уязвимостей
Аудит конфигураций
Аудит СУБД
Инвентаризация
Контроль целостности
Сочетание заданий различных типов и анализ отчётов

Контроль конфигураций и оценка соответствия политикам безопасности

RedCheck позволяет автоматизировать процесс контроля за параметрами безопасности и осуществлять оценку соответствия информационных систем, ее отдельных компонентов или узлов стандартам, политикам безопасности и другим признанным практикам. В базовую комплектацию RedCheck включено более 100 конфигураций, разработанных на основе Регулятора, ГОСТ, рекомендаций производителей, а также требований международных стандартов и рекомендаций, такими как БДУ ФСТЭК России, НКЦКИ, бюллетени производителей и ряд других международных экспертных справочников, а также большое количество конфигураций вендоров.

Поддержка открытого протокола SCAP позволяет загружать в сканер собственные конфигурации. RedCheck предоставляет полную картину состояния уровня защищенности IT-инфраструктуры и позволяет не только проводить оценку соответствия, но и давать конкретные рекомендации по настройке параметров системы.

Перечень конфигурации

Анализ защищенности и покрытия инфраструктуры предприятия

Мониторинг защищенности является одним из важнейших показателей эффективности функционирования информационных систем, наряду с такими показателями как отказоустойчивость и производительность. Необходимо выполнять контроль покрытия сканированных хостов и проводить анализ защищенности инфраструктуры. Физические возможности человека не способны удержать весь объем информации о параметрах систем и ее состоянии. Поэтому RedCheck может стать незаменимым помощником в администрировании и обеспечении защищенности Вашей корпоративной сети на протяжении всего ее жизненного цикла.

Мероприятия	Реализация в RedCheck

Непрерывный анализ уязвимостей и их устранение	Выполнение заданий "аудит уязвимостей" Устранение уязвимостей с помощью описаний и рекомендаций Анализ уязвимостей с помощью объединения результатов проверок, отчетов и динамики неустраненных уязвимостей Контроль покрытия сканирования хостов и устранения уязвимостей, путем оценки уровня соответствия правилам конфигурации Повторный аудит и построение интегральных и диференциальных отчетов
Контроль безопасных конфигураций ОС и прикладного ПО	Выполнение заданий "аудит конфигураций" Построение дифференциальных отчетов Анализ результатов соответствия конфигурациям с помощью модуля Аналитики
Своевременная установка обновлений безопасности	Выполнение заданий "аудит обновлений" по расписанию Построение дифференциальных отчетов
Ограничение и контроль за сетевыми портами	Выполнение заданий "сканирование портов" Построение диференциальных отчетов
Идентификация неразрешенных устройств и ПО	Выполнение заданий инвентаризации по расписанию Построение дифференциальных отчетов
Реагирование на инциденты	Отчеты по всем типам заданий

Частью аттестации объектов информатизации являются испытания на соответствие требованиям защиты информации (ГОСТ РО 0043-004), включающие:

Испытания подсистемы управления доступом;
Проверка подсистемы идентификации и аутентификации субъектов доступа;
Проверка подсистемы идентификации объектов доступа;
Проверка подсистемы управления потоками информации;
Испытания подсистемы регистрации и учета и др.

Аттестация объектов информатизации

RedCheck позволяет быстро и объективно проверить корректность настроек параметров безопасности, провести аудит обновлений и уязвимостей, осуществить фиксацию и последующий контроль целостности средств защиты и конфигурационных файлов (веток реестра).

Наименования требования	Описания работ	Интерпретация требования в RedСheck

Испытания подсистемы управления доступом. Проверка подсистемы идентификации и аутентификации субъектов доступа	Проверка наличия и надежности подсистемы аутентификация (возможность компрометации пароля методом его подбора)	Выполнение заданий типа "подбор пароля"
	Проверка времени действия пароля Проверка длины пароля	Выполнение задания типа "аудит конфигураций" в части парольных политик
Проверка подсистемы идентификации объектов доступа	Проверка идентификации аппаратурных объектов доступа	Анализ доступных ПК и серверов с помощью операции импорт хостов с использованием встроенного сканера сети Выполнение заданий типа "инвентаризация" в части "hardware" Проверка считается успешной, если не выявлены неизвестные (несанкционированные) объекты доступа
Проверка обеспечения целостности (неизменности) программной среды	Проводится экспертиза программного, обеспечения АС на отсутствие: средств модификации объектного кода программ; средств разработки и отладки программ; программ, использование которых не требует трансляции с языков высокого уровня.	Выполнения задания типа "инвентаризации" в части ПО Анализ отчетов на предмет неразрешенного ПО

Наименования требования	Описания работ	Интерпретация требования в RedСheck

Испытания подсистемы управления доступом. Проверка подсистемы идентификации и аутентификации субъектов доступа	Проверка наличия и надежности подсистемы аутентификация (возможность компрометации пароля методом его подбора)	Выполнение заданий типа "подбор пароля"
	Проверка времени действия пароля Проверка длины пароля	Выполнение задания типа "аудит конфигураций" в части парольных политик
Проверка подсистемы идентификации объектов доступа	Проверка идентификации аппаратурных объектов доступа	Анализ доступных ПК и серверов с помощью операции импорт хостов с использованием встроенного сканера сети Выполнение заданий типа "инвентаризация" в части "hardware" Проверка считается успешной, если не выявлены неизвестные (несанкционированные) объекты доступа
Проверка обеспечения целостности (неизменности) программной среды	Проводится экспертиза программного, обеспечения АС на отсутствие: средств модификации объектного кода программ; средств разработки и отладки программ; программ, использование которых не требует трансляции с языков высокого уровня.	Выполнения задания типа "инвентаризации" в части ПО Анализ отчетов на предмет неразрешенного ПО

Реализация мер защиты ГИС, ИСПДн и КИИ

Наличие сертификата ФСТЭК России позволяет RedCheck выступать в качестве ключевого элемента защиты информационных систем персональных данных (ИСПДн), государственных информационных систем (ГИС) и значимых объектов критической информационной инфраструктуры (КИИ), реализующим базовые и дополнительные мероприятия по контролю (анализу) защищенности информационных ресурсов. Сканер может использоваться в составе ИСПДн, ГИС и КИИ до 1 класса (уровня, категории) защищенности включительно.

Реализация базовых мер защиты штатным функционалом RedCheck:

Условное обозначение меры ^1-4	№ функционального требования ТУ и функция безопасности

Приказ № 17, 21 ФСТЭК России

ОПС.2 Управление установкой компонентов ПО	2.1.2.1 Инвентаризация 2.1.2.5 Аудит обновлений
АНЗ.1 Выявление, анализ уязвимостей информационной системы	2.1.2.2 Аудит уязвимостей 2.1.2.4 Аудит в режиме «Пентест» 2.1.2.8 Аудит безопасности СУБД 2.1.2.9 Аудит безопасности платформ виртуализации
АНЗ.2 Контроль установки обновлений ПО	2.1.2.5 Аудит обновлений 2.1.2.8 Аудит безопасности СУБД 2.1.2.9 Аудит безопасности платформ виртуализации
АНЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования ПО и СЗИ	2.1.2.3 Аудит конфигураций 2.1.2.8 Аудит безопасности СУБД 2.1.2.9 Аудит безопасности платформ виртуализации
АНЗ.4 Контроль состава технических средств, ПО и СЗИ	2.1.2.1 Инвентаризация
ОЦЛ.1 Контроль целостности	2.1.2.7 Фиксация и контроль целостности
ЗСВ.7 Контроль целостности виртуальной инфраструктуры	2.1.2.9 Аудит платформ виртуализации

Приказ № 239 ФСТЭК России

АУД.1 Инвентаризация информационных ресурсов	2.1.2.1 Инвентаризация
АУД.2 Анализ уязвимостей и их устранение	2.1.2.2 Аудит уязвимостей 2.1.2.4 Аудит в режиме «Пентест» 2.1.2.8 Аудит безопасности СУБД 2.1.2.9 Аудит безопасности платформ виртуализации
АУД.7 Мониторинг безопасности	2.1.2.3 Аудит конфигураций 2.1.2.8 Аудит безопасности СУБД 2.1.2.9 Аудит безопасности платформ виртуализации
АУД.10 Проведение внутренних аудитов	2.1.2.2 Аудит уязвимостей 2.1.2.3 Аудит конфигураций 2.1.2.8 Аудит безопасности СУБД 2.1.2.9 Аудит безопасности платформ виртуализации
АУД.11 Проведение внешних аудитов	2.1.2.2 Аудит уязвимостей 2.1.2.3 Аудит конфигураций 2.1.2.8 Аудит безопасности СУБД 2.1.2.9 Аудит безопасности платформ виртуализации
ОЦЛ.1 Контроль целостности ПО	2.1.2.7 Фиксация и контроль целостности
УКФ.1 Идентификация объектов управления конфигурацией	2.1.2.3 Аудит конфигураций 2.1.2.8 Аудит безопасности СУБД 2.1.2.9 Аудит безопасности платформ виртуализации
ОПО.1 Поиск, получение обновлений ПО от доверенного источника	2.1.2.5 Аудит обновлений 2.1.2.8 Аудит безопасности СУБД 2.1.2.9 Аудит безопасности платформ виртуализации
ОПО.2 Контроль целостности обновлений	2.1.2.5 Аудит обновлений 2.1.2.7 Фиксация и контроль целостности
ОПО.4 Установка обновлений	2.1.2.5 Аудит обновлений

1. Требования о защите информации не составляющей̆ государственную тайну, содержащейся в государственных информационных системах (Приказ ФСТЭК России от 11 февраля 2013 г. N 17).
2. Меры защиты информации в государственных информационных системах (Методический̆ документ ФСТЭК России от 11 февраля 2014 г).
3. Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (Приказ ФСТЭК России от 18 февраля 2013 г. N 21).
4. Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации (Приказ ФСТЭК России № 239 от 25.12.2017).