Настоящий ПЗ определяет требования безопасности для систем обнаружения вторжений уровня узла (объекта оценки), предназначенных для использования в информационных системах, функционирующих на базе вычислительных сетей.
Объект оценки представляет собой элемент системы защиты информации информационных систем, функционирующих на базе вычислительных сетей, и применяется совместно с другими средствами защиты информации от несанкционированного доступа к информации в информационных системах.
Объект оценки должен обеспечивать обнаружение и (или) блокирование следующих основных угроз безопасности информации, относящихся к вторжениям (атакам):
преднамеренный несанкционированный доступ или специальные воздействия на информацию (носители информации) со стороны внешних нарушителей, действующих из информационно-телекоммуникационных сетей, в том числе сетей международного информационного обмена;
преднамеренный несанкционированный доступ или специальные воздействия на информацию (носители информации) со стороны внутренних нарушителей, обладающих правами и полномочиями на доступ к информации в информационной системе.
Основными компонентами системы обнаружения вторжений (СОВ) являются датчики (сенсоры) и анализаторы.
Датчики СОВ уровня узла представляют собой программные модули, устанавливаемые на защищаемые узлы информационной системы (ИС) и предназначенные для сбора информации о событиях, возникающих на этих узлах.
Анализаторы выполняют анализ собранной датчиками информации, генерируют отчеты по результатам анализа и управляют процессами реагирования на выявленные вторжения.
Решение об обнаружении вторжения СОВ принимают в соответствии с результатами анализа информации, собираемой датчиками СОВ, с применением базы решающих правил СОВ.
В системе обнаружения вторжений должны быть реализованы следующие функции безопасности системы обнаружения вторжений:
разграничение доступа к управлению системой обнаружения вторжений;
управление работой системы обнаружения вторжений;
управление параметрами системы обнаружения вторжений;
управление установкой обновлений (актуализации) базы решающих правил системы обнаружения вторжений;
анализ данных системы обнаружения вторжений;
аудит безопасности системы обнаружения вторжений;
сбор данных о событиях и активности в контролируемой информационной системе;
реагирование системы обнаружения вторжений.
В среде, в которой СОВ функционирует, должны быть реализованы следующие функции безопасности среды:
обеспечение доверенного маршрута;
обеспечение доверенного канала;
обеспечение условий безопасного функционирования;
управление атрибутами безопасности.
Функции безопасности системы обнаружения вторжений должны обладать составом функциональных возможностей, обеспечивающих реализацию этих функций.
В ПЗ изложены следующие виды требований безопасности, предъявляемые к СОВ:
функциональные требования безопасности;
требования доверия к безопасности.
Функциональные требования безопасности СОВ, изложенные в ПЗ, включают:
требования по осуществлению сбора данных СОВ;
требования к анализу данных СОВ;
требования к реагированию СОВ;
требования к средствам обновления базы решающих правил СОВ;
требования по управлению режимами выполнения функций безопасности (работой СОВ);
требования по управлению данными функций безопасности (данными СОВ);
требования по управлению ролями субъектов;
требования к средствам администрирования СОВ;
требования к аудиту функционирования СОВ.
Функциональные требования безопасности для СОВ выражены на основе компонентов требований из ГОСТ Р ИСО/МЭК 15408-2, при этом часть требований сформулирована в явном виде в стиле компонентов из ГОСТ Р ИСО/МЭК 15408-2.
Состав функциональных требований безопасности (ФТБ), включенных в настоящий ПЗ, обеспечивает следующие функциональные возможности СОВ:
возможность собирать информацию о сетевом трафике, проходящем через контролируемые узлы ИС, о событиях, регистрируемых в журналах аудита операционной системы (ОС), прикладного ПО; о вызове функций, об обращении к ресурсам;
возможность выполнять анализ собранных данных СОВ о сетевом трафике в режиме, близком к реальному масштабу времени, и по результатам анализа фиксировать информацию о дате и времени, результате анализа, идентификаторе источника данных, протоколе, используемом для проведения вторжения;
возможность обнаруживать вторжения по отношению к контролируемым узлам ИС в режиме, близком к реальному масштабу времени, на уровне отдельных узлов;
возможность выполнять анализ собранных данных с целью обнаружения компьютерных вторжений с использованием сигнатурного и эвристических методов;
возможность выполнять анализ собранных данных с целью обнаружения вторжений с использованием эвристических методов, основанных на методах выявления аномалий сетевого трафика и аномалий в действиях пользователя ИС, на заданном уровне эвристического анализа;
возможность фиксации факта обнаружения вторжений или нарушений безопасности в журналах аудита; уведомить администратора СОВ об обнаруженных вторжениях и нарушениях безопасности с помощью отображения соответствующего сообщения на консоли управления;
возможность обнаружения вторжений на основе анализа служебной информации протоколов сетевого уровня базовой эталонной модели взаимосвязи открытых систем;
возможность автоматизированного обновления базы решающих правил;
наличие интерфейса администрирования;
возможность уполномоченным администраторам (ролям) управлять режимом выполнения функций безопасности СОВ;
возможность уполномоченным администраторам (ролям) управлять данными (данными СОВ), используемыми функциями безопасности СОВ;
поддержка определенных ролей для СОВ и их ассоциацию с конкретными администраторами СОВ и пользователями ИС;
возможность управления данными функций безопасности СОВ (данными СОВ) в части установления и контроля ограничений на эти данные;
возможность тестирования (самотестирования) функций безопасности СОВ;
возможность генерации записей аудита для событий, потенциально подвергаемых аудиту;
возможность предоставлять возможность читать информацию из записей аудита;
ассоциация каждого события аудита с идентификатором субъекта, его инициировавшего;
ограничение доступа к чтению записей аудита;
поиск, сортировка, упорядочение данных аудита.
Требования доверия к безопасности СОВ, изложенные в ПЗ, охватывают следующие основные вопросы:
обновление базы решающих правил.
Требования доверия к безопасности СОВ сформированы на основе компонентов требований из ГОСТ Р ИСО/МЭК 15408-3, часть требований сформулированы в явном виде в стиле компонентов из ГОСТ Р ИСО/МЭК 15408-3.
Требования доверия к безопасности СОВ образуют оценочный уровень доверия 3 (ОУД3), усиленный компонентами ADV_IMP.2 "Реализация ФБО", ADV_LLD.1 "Описательный проект нижнего уровня", ALC_FLR.1 "Базовое устранение недостатков", ALC_TAT.1 "Полностью определенные инструментальные средства разработки", AVA_VLA.3 "Умеренно стойкий" и расширенный компонентами ALC_UPI_EXT.1 "Процедуры обновления базы решающих правил" и AMA_SIA_EXT.3 "Экспертиза анализа влияния обновлений базы решающих правил на безопасность ОО".
В целях обеспечения условий для безопасного функционирования СОВ в настоящем ПЗ определены цели и требования для среды функционирования СОВ.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей