2.2. Основные функциональные возможности объекта оценки
В данном подразделе представлено краткое описание функциональных возможностей ОО.
Системы обнаружения вторжений, соответствующие настоящему ПЗ, должны обеспечивать:
возможность сбора информации о сетевом трафике;
возможность выполнения анализа собранных данных СОВ о сетевом трафике в режиме, близком к реальному масштабу времени, и по результатам анализа фиксировать информацию о дате и времени, результате анализа, идентификаторе источника данных, протоколе, используемом для проведения вторжения;
возможность выполнения анализа собранных данных с целью обнаружения вторжений с использованием сигнатурного и эвристических методов;
возможность выполнения анализа собранных данных с целью обнаружения вторжений с использованием эвристических методов, основанных на методах выявления аномалий сетевого трафика на заданном уровне эвристического анализа;
возможность обнаружения вторжений на основе анализа служебной информации протоколов сетевого уровня базовой эталонной модели взаимосвязи открытых систем;
возможность фиксации факта обнаружения вторжений или нарушений безопасности в журналах аудита;
уведомление администратора СОВ об обнаруженных вторжениях по отношению к контролируемым узлам ИС и нарушениях безопасности с помощью отображения соответствующего сообщения на консоли управления;
возможность автоматизированного обновления базы решающих правил;
возможность тестирования (самотестирования) функций безопасности СОВ (контроль целостности исполняемого кода СОВ);
возможность со стороны уполномоченных администраторов (ролей) управлять режимом выполнения функций безопасности СОВ;
возможность со стороны уполномоченных администраторов (ролей) управлять данными СОВ;
поддержка определенных ролей для СОВ и их ассоциации с конкретными администраторами СОВ и пользователями ИС;
возможность администрирования СОВ;
возможность генерации записей аудита для событий, потенциально подвергаемых аудиту;
возможность ассоциации каждого события аудита с идентификатором субъекта, его инициировавшего;
возможность предоставлять возможность читать информацию из записей аудита;
ограничение доступа к чтению записей аудита;
поиск, сортировка, упорядочение данных аудита.
В общем виде архитектура СОВ включает следующие компоненты:
датчики (сенсоры) СОВ, предназначенные для сбора необходимой информации о функционировании ИС;
анализаторы СОВ, выполняющие анализ данных, собранных датчиками, с целью обнаружения вторжений;
хранилище, обеспечивающее хранение информации о событиях, зафиксированных вторжениях, а также сигнатуры вторжений и другую информацию базы решающих правил, на основании которой принимается решение о наличии вторжения;
консоль управления компонентами СОВ, позволяющая администратору безопасности конфигурировать СОВ, наблюдать за состоянием защищаемой ИС и СОВ, просматривать выявленные анализатором инциденты.
Основными компонентами СОВ являются датчик(и) и анализатор(ы) СОВ. Датчики собирают информацию о сетевом трафике, поступающем в ИС (сегменты ИС), осуществляют первичный анализ и направляют эту информацию (данные) анализатору. Анализатор выполняет анализ собранных данных, уведомляют администраторов СОВ об обнаруженных вторжениях, выполняют другие действия по реагированию, генерируют отчеты на основе собранной информации (данных).
Датчики уровня сети могут устанавливаться в разрыв канала связи контролируемого сегмента ИС; путем подключения к портам сетевого оборудования ИС, а также быть интегрированными в межсетевые экраны или в коммуникационное оборудование ИС.
Анализатор должен обладать следующими функциональными возможностями:
обрабатывать данные с целью выявления вторжений;
реагировать на выявленные вторжения. Реагирование может включать создание отчетов, отображение сообщения на консоли управления и иные возможности по реагированию.
Решение об обнаружении вторжения СОВ принимает в соответствии с результатами анализа информации, собираемой сенсорами СОВ, с применением базы решающих правил СОВ.
Администрирование ОО может выполняться удаленным или локальным способами. Локальное администрирование осуществляется непосредственно с того узла, где установлен компонент СОВ, а удаленное - посредством команд, посылаемых по каналам связи.
Кроме того, все компоненты СОВ должны обладать следующими функциональными возможностями:
осуществлять защиту (совместно с механизмами среды функционирования) собственной программной и информационной части от вмешательства;
допускать настройку своих параметров со стороны администратора безопасности;
вести журнал аудита (в том числе осуществлять регистрацию попыток изменения конфигурации, а также попыток доступа к компонентам и данным).
Типовая схема применения в ИС СОВ уровня сети представлена на рисунке 2.1.
Рисунок 2.1 - Типовая схема применения в ИС СОВ уровня сети
Функционирование ОО подчинено политике безопасности ОО, отраженной в функциональных требованиях безопасности ОО.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей