   
«Система мониторинга событий информационной безопасности»
ТЕХНИЧЕСКИЕ
ТРЕБОВАНИЯ
МОСКВА
2015
СОДЕРЖАНИЕ
1.ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ 4
2.ЦЕЛИ И ЗАДАЧИ 5
3.ОБЩИЕ СВЕДЕНИЯ 6
4.ТРЕБОВАНИЯ К решению 7
Приложение 1 16
-
ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ
Включите в глоссарий специфические термины и аббревиатуры, используемые в документе, особое внимание уделите бизнес-терминам и понятиям, принятым в Компании
№
|
Используемый термин
|
Определение
|
1
|
2
|
3
|
|
ИТ
|
Информационные технологии – совокупность процессов, методов поиска, сбора, хранения, обработки, представления и распространения информации, а так же способы осуществления таких процессов и методов на базе информационно-коммуникационных технологий и технических средств (включая средства производственной автоматизации, метрологии и контроля качества) в целях поддержки деятельности Компании.
|
|
ИБ
|
Информационная безопасность
|
|
ИС
|
Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств [Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и защите информации»].
|
|
ФТТ
|
Функциональные технические требования
|
|
ТЗ
|
Техническое задание
|
|
СБ
|
Служба безопасности
|
|
СОБЫТИЕ БЕЗОПАСНОСТИ
|
событие, зарегистрированное информационными системами или системами защиты информации, потенциально свидетельствующее о происшедшем или происходящим инциденте информационной безопасности.
|
|
ИНЦИДЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (ИЦИДЕНТ ИБ)
|
действительное или предполагаемое нарушение требований информационной безопасности.
|
|
УСТРАНЕНИЕ ПОСЛЕДСТВИЙ ВЫЯВЛЕННОГО ИНЦИДЕНТА ИБ
|
последовательность работ, заключающаяся в контроле выполнения процедуры реагирования, анализе и применении информации, получаемой в процессе реагирования на инцидент, проверке достаточности принятых мер; подготовке рекомендаций по минимизации ущерба от аналогичных инцидентов в будущем
|
|
ПАК
|
Программно-аппаратный комплекс
|
|
ЦАУК
|
Центральный аппарат управляющей компании
|
-
ЦЕЛИ И ЗАДАЧИ
|
№
|
Задачи проекта
|
Описание предпосылок и условий решения задач
|
1
|
2
|
3
|
|
Создание единой системы сбора и обработки и анализа событий безопасности, регистрируемых информационными системами и средствами защиты информации с целью оперативного выявления, расследования и реагирования на инциденты ИБ в едином информационном пространстве Компании.
Расширение технической возможности, повышение качества, и оперативности мониторинга событий, проверок информации по инцидентам ИБ от ЦА и выделенных ДО до масштабов всей Компании.
Улучшение качества и уменьшение времени сбора информации об инцидентах за счет консолидации и корреляции данных от различных территориально распределенных источников событий корреляции.
Улучшение контроля и достаточности принятых мер устранению последствий инцидентов ИБ за счет обеспечения технической возможности восстановления более полной картины инцидента.
Автоматизация формирования отчетности и получения дополнительных аналитик на основе консолидированных данных.
|
В своей работе СБ НК «Роснефть» и подразделения СБ в ДО для выявления и расследования инцидентов информационной безопасности использует информацию из разных источников – систем межсетевого экранирования, систем обнаружения/предотвращения атак, оборудования инфраструктуры, систем защиты рабочих станций, контроллеров доменов, серверов приложений, прикладных программ, специализированных систем защиты информации и т.п.
Формат и места хранения информации разрознены, время хранения не регламентировано для части систем, что существенно ограничивает возможности по категоризации и воспроизведению картины выявленных инцидентов даже в Центральном Аппарате Компании.
Существующие процедуры обработки части данных не в полной мере обеспечивают необходимый уровень безопасности хранения и доступа к информации.
|
-
ОБЩИЕ СВЕДЕНИЯ
-
ОПИСАНИЕ ТЕКУЩЕЙ СИТУАЦИИ
-
ОПИСАНИЕ СУЩЕСТВУЮЩЕГО БИЗНЕС-ПРОЦЕССА
В настоящее время Служба безопасности и подразделения СБ в ДО в своей повседневной деятельности использует множество разрозненных источников данных и информационных систем для выявления, категоризации устранения последствий инцидентов ИБ. При этом часть используемых источников информации не имеют регламентированной структуры, могут располагаться непосредственно на рабочих станциях сотрудников СБ, либо быть недоступны группам сотрудников из-за существующих ограничений инфраструктуры, все системы-источники событий имеют неунифицированные интерфейсы.
-
ОПИСАНИЕ НЕДОСТАТКОВ СУЩЕСТВУЮЩЕГО ПРОЦЕССА мониторинга
Разнообразие форматов, структуры и источников используемой информации, множественность пользовательских интерфейсов, различия в механизмах безопасности разных приложений порождают следующие проблемы:
Увеличиваются сроки выявления и устранения последствий инцидентов ИБ.
В связи с увеличением масштабов Компании, существует и имеет тенденцию к увеличению риск принятия неверного решения при категоризации и, как следствие, выборе наиболее эффективного перечня мер для устранения последствий инцидентов ИБ из-за отсутствия своевременного доступа исполнителей к необходимой информации, т.к. часть данных расположена на локальных машинах сотрудников, для которых не обеспечивается непрерывное функционирование.
Увеличиваются сроки принятия решения – из-за необходимости сбора информации из разных источников, ее агрегирования и обработки. В вопросах, связанных с безопасностью, такие временные ограничения могут оказаться критическими.
Высокий риск потери данных, пропуска существенных событий с возможными финансовыми и репутационными последствиями для Компании.
Высокие трудозатраты на формирование отчетности о результатах работы СБ, необходимость вовлечения в работы большого числа сотрудников СБ подразделении СБ в ДО.
-
ТРЕБОВАНИЯ К решению
-
ОБЩИЕ ТРЕБОВАНИЯ к функционалу
Унифицированный механизм сбора, хранения и обработки в режиме реального времени событий ИБ и ИТ.
Обеспечение долгосрочного хранения полученных событий, данных, метаданных в рамках заявленного периода хранения данных с возможность ретроспективного анализа ранее произошедших событий и инцидентов.
Выявление и отслеживание критичных инцидентов ИБ и ИТ, воспроизведение картины ранее произошедших инцидентов с возможностью предоставления материалов для детального расследования.
Обеспечивать генерацию отчетов по любым доступным наборам параметров за доступные периоды времени, как в автоматическом, так и в ручном режиме.
Система полномочий доступа субъектов к объектам на основе ролевой модели.
-
Функция сбора событий от следующих источников:
Операционные системы, оборудование и ПО, передающие информацию о событиях в форматах syslog, eventlog, текстовые файлы в различных кодировках.
Системы межсетевого экранирования и защиты от сетевых атак Check Point, в том числе комплексы управления на базе Check Point Endpoint Security с серверной частью версии 7.6.x.x и E80.x.
Системы защиты от сетевых атак IBM ISS с различными консолями управления распределенными по регионам.
-
Сетевое оборудование Cisco:
Catalyst,
ISR,
ASA/PIX/FWSM,
IPS,
WISM,
ISE.
Узлы фильтрации веб трафика на базе McAfee Web Gateway.
Системы антивирусной защиты, в том числе на базе Kaspersky Total Security, DrWeb Enterprise Security Suite.
Контроллеры доменов на базе Microsoft Windows Server 2003/2008/2012.
Почтовые серверы Microsoft Exchange Server 2003 SP2/2007.
Серверы централизованного управления на базе Microsoft SMS/SCCM.
Прочие серверы Microsoft Windows Server 2003/2008.
Система управления политиками решений McAfee – McAfee ePolicy Orchestrator.
Система контроля доступа к периферийным устройствам на базе Lumension Device Control.
Система защиты АРМ на АЗС на базе McAfee Solid Core.
Системы контроля и управления доступом на объекты на основе решений СШС и ELSYS.
Функция импорта данных о событиях от любых источников за уже прошедшие периоды в рамках заявленного периода хранения данных.
Возможность добавления в виде источников событий систем собственной разработки.
-
Общие требования к архитектуре
-
Система должна иметь модульную, масштабируемую архитектуру, и быть построена на базе программно-аппаратных комплексов (далее – ПАК), обеспечивающих:
сбор данных с возможностью полного восстановления событий ИБ, а так же информационной и телекоммуникационной инфраструктуры;
долговременное хранение событий и данных с возможностью резервного копирования и архивирования данных;
возможность восстановления настроек системы и данных на заданный момент времени за счет создания, резервного копирования, архивирования и восстановления конфигурационных файлов и данных, входящих в ПАК;
автоматический и ручной анализ и корреляцию собранных событий, данных и метаданных, поиск и фильтрацию информации по любым, доступным в системе параметрам;
предоставление аналитических инструментов, включающих графический пользовательский интерфейс, настраиваемые консоли управления и отображения информации, модуль отчетности;
функционал создания уведомлений и вывода их на рабочую консоль, при наступлении определённых условий (например, обнаружение активности определенного вида и т.д.);
централизованное управление компонентами системы с использованием единой консоли;
отсутствие внутренних ограничений на линейное масштабирование системы по количеству источников, скорости захвата событий и времени их хранения;
Для обеспечения необходимой производительности решение должно физически и логически разделять функции сбора событий, нормализации данных, анализа собранной информации.
-
Решение должно включать компоненты, выполняющие следующие задачи:
Обработка журналов.
Корреляция событий в том числе от различных источников по уровням критичности событий.
Анализ данных.
Система должна поставляться в комплекте с рекомендованными производителем подписками на обновления программных компонентов, модулей и сигнатур в течение трех лет.
-
Требования к обработке журналов и событий
-
Комплекты ПАК сбора журналов и событий ИБ и ИТ систем должны:
иметь исполнения для обработки различных потоков событий до 10000 событий/с;
обеспечивать хранение, оперативное извлечение, анализ и обработку всех полученных метаданных в течение не менее 1 года;
обеспечивать техническую возможность архивного хранения с возможностью извлечения анализа и обработки метаданных в течение не менее 3 лет;
-
Требования к аппаратному обеспечению
Подключение к внешнему СХД по Fibre Channel для хранения накопленной информации.
Стоечное исполнение компонент для монтажа в 19 дюймовые серверные шкафы.
Все оборудование должно поставляться с гарантией и поддержкой производителя сроком не менее трех лет.
-
Минимальные требования к сбора журналов и событий ИБ и ИТ:
наличие не менее 4 интерфейсов портов 1Gbs Ethernet;
наличие RAID контролера для резервирования дисковой подсистемы;
наличие блоков питания с горячим резервом.
-
Требования к доступности и производительности
Требования к доступности системы (суммарное допустимое время простоя)
|
Режим работы 24х7 с суммарным допустимым временем простоя не более 24 часов в месяц
|
Максимальное время восстановления после сбоя
|
10 часов
|
Нагрузка
|
Одновременная работа с событиями и информацией в системе до 20 пользователей ЦАУК.
|
Время реакции на запрос
|
Максимальное время реакции на запрос не более:
5 минут для оперативных данных
20 минут для метаданных до 1 года
1 час для архивных данных
|
Другие требования к надежности
|
Время перерыва в обслуживании в случае отказа оборудования не должно превышать 20 минут
|
-
Требования к безопасности
Система должна удовлетворять всем требованиям регламентирующих документов ОАО «НК «Роснефть» по информационной безопасности для возможности обработки информации максимальной категории конфиденциальности – ограниченного доступа.
Информационная система должна обеспечивать защиту от несанкционированного доступа (НСД) на уровне не ниже установленного требованиями, предъявляемыми к классу защищенности 1Г по классификации действующего руководящего документа Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» 1992 г.
-
Для выполнения предъявляемых к системе требований по защите информации в ней должны применяться сертифицированные по требованиям безопасности информации технические средства защиты информации. Порядок сертификации определяется законодательством Российской Федерации, Постановлениями Правительства РФ, нормативными документами ФСТЭК. При этом сертификат ФСТЭК должен содержать следующую информацию:
О соответствии требованиям руководящего документа «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) – по 4 уровню контроля.
О соответствии требованиям руководящего документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) – по 5 классу защищенности.
Информационная система не требует проведения обязательных государственных аттестационных испытаний по требованиям безопасности информации.
-
Требования к автоматизации
№
|
Описание шага процесса или бизнес-задачи
|
Требования к поведению системы
|
Предполагаемые действия пользователя и результат
|
1
|
2
|
3
|
4
|
1
|
Процесс обеспечения безопасности в части выявления, категоризации и устранения последствий инцидентов информационной безопасности
|
Обеспечить сбор, хранение обработку данных, необходимых для выявления, категоризации и выработки мер по устранению последствий инцидентов информационной безопасности.
|
Сотрудник должен иметь возможность получения информации, необходимой для выявления, категоризации и выработки мер по устранению последствий инцидента ИБ, а так же оценки достаточности принятых мер, через единый интерфейс системы.
|
Обеспечить формирование отчета из системы.
|
Сотрудник, ответственный за формирования отчётности, должен иметь возможность доступа к необходимой функциональности в любое время со своего рабочего места. Должна быть предусмотрена возможность генерации отчетов по расписанию и их отправка по электронной почте.
|
-
Требования к подключению источников данных
-
Система должна позволять подключать источники событий ИБ, справочников, списков фильтрации, не накладывая лицензионных ограничений на их количество.
Должен быть доступен функционал оперативного создания правил поиска, фильтров, правил корреляции, способов представления наборов данных и отчетов.
Система должна предоставлять возможность подключать любые новые источники событий, структура данных которых описывается формализованным языком.
На начальном этапе должна быть возможность подключения событий от перечисленных в пункте 4.1.6 систем.
Система должна позволять обрабатывать события с произвольной структурой текстовых данных, формат которых может быть четко описан.
-
Связь с существующим окружением и интеграция
Минимальный перечень связи с источниками информации о событиях, которые могут использоваться для выявления, диагностики и устранения последствий инцидентов ИБ и ИТ:
№
|
Описание существующего окружения
|
Описание предполагаемой связи
|
1
|
2
|
3
|
1
|
RSA enVision v4.1.0
|
Доступ ко всей информации, хранящейся в системе, управление системой, использование данных системы при генерации отчетов.
Внутренний интерфейс.
|
2
|
McAfee Web Gateway
|
syslog, импорт файлов событий
|
3
|
Сетевое оборудование Cisco: CatOS, IOS, ASA, PIX
|
syslog
|
4
|
Microsoft Windows Server 2003/2008
|
eventlog
|
5
|
Серверы Microsoft Exchange Server 2003/2010
|
eventlog
|
6
|
Серверы Microsoft SMS/SCCM
|
eventlog
|
7
|
Узлы доступа сотрудников Компании в Интернет (УФИТ)
|
syslog, импорт файлов событий
|
8
|
Системы межсетевого экранирования и защиты от сетевых атак Check Point
|
Check Point
|
9
|
Система управления Check Point Endpoint Security (ПКЗИ)
|
Check Point
|
10
|
Серверы SAP
|
СУБД, syslog
|
11
|
McAfee ePO
|
СУБД, syslog, ODBC
|
12
|
СКУД
|
СУБД, syslog
|
-
Требования к переносу (миграции) данных
При наличии, данные подключаемых систем должны быть перенесены из резервных копий за период не менее 30 календарных дней, предшествующих дате ввода системы в промышленную эксплуатацию.
Подключение RSA enVision v4.1.0 должно быть осуществлено таким образом, чтобы обеспечивать доступ ко всей сохраненной в системе информации за весь доступный период хранения данных.
-
Требования к ПРОИЗВОДСТВУ
-
Исключительное/неисключительное/авторское право пользования лицензиями ПО Системы принадлежит одному или нескольким из следующих лиц (правообладателей) на территории всего мира и на весь срок действия исключительного права:
Российской Федерации;
Субъекту Российской Федерации;
Муниципальному образованию;
Российской некоммерческой организации, высший орган управления которой формируется прямо и (или) косвенно Российской Федерацией, субъектами Российской Федерации, муниципальными образованиями и (или) гражданами Российской Федерации и которая не признается контролируемой иностранным лицом российской организацией;
Российской коммерческой организации, в которой суммарная доля участия Российской Федерации, субъектов Российской Федерации, муниципальных образований, некоммерческих организаций и граждан Российской Федерации составляет более 50 процентов и которая не признается контролируемой иностранным лицом российской организацией;
Гражданину Российской Федерации.
Лицензии на право пользования ПО ЦСУПД доступны в свободной продаже (экземпляры ПО, права использования ПО имеются в свободной реализации);
Общая сумма выплат по лицензионным и иным договорам, предусматривающим предоставление прав на результаты интеллектуальной деятельности и средства индивидуализации, выполнение работ, оказание услуг, использованных для разработки, адаптации и модификации ПО, в пользу иностранных лиц, контролируемых ими российских организаций, агентов, представителей иностранных лиц и контролируемых ими российских организаций составляет менее тридцати процентов от выручки правообладателя (правообладателей) ПО от реализации ПО (включая предоставление прав пользования) за календарный год.
-
Требования к пользовательскому интерфейсу
Язык интерфейса
|
Допускается Англоязычный интерфейс для администраторов и операторов, система должна обеспечивать генерацию отчетов на Русском и Английском языках
|
Возможность удаленноЙ работы
|
Желательно обеспечение доступа к системе из любой точки корпоративной сети ОАО «НК «Роснефть» (при наличии возможности такого доступа у пользователя и при выполнении требований информационной безопасности, предъявляемых в качестве условий предоставления доступа к системе).
|
Требования к возможности настройки представления
|
Систем должна обеспечивать возможность адаптивного, индивидуально настраиваемого представления данных, в зависимости от задач, решаемых конкретным сотрудников
|
Другие требования
|
Механизм Drill Down
|
Экспорт
|
В формах отчетности табличного формата, реализуемых в рамках ИР, должен быть предусмотрен экспорт данных в программы MS Excel, MS Word, а также в XML или JSON для обеспечения технической передачи во внешние системы.
|
-
Требования к наличию отчётов
Минимальный перечень необходимых отчетов:
№
|
Название отчета
|
Регулярность создания
|
Наличие формата
|
1
|
2
|
3
|
|
1
|
Общий отчет по инцидентам заданного уровня критичности
|
Ежедневно
|
XML, CSV, HTML, PDF
|
2
|
Отчет по инцидентам заданного уровня критичности применительно к информационной системе
|
Ежедневно
|
XML, CSV, HTML, PDF
|
3
|
Выгрузка всех событий по определенным критериям поиска
|
По запросу
|
XML, CSV, HTML, PDF
|
4.
|
Отчет по заданному типу инцидентов
|
По запросу
|
XML, CSV, HTML, PDF
|
5.
|
Отчет по инцидентам заданного уровня критичности применительно к АРМ.
|
По запросу
|
XML, CSV, HTML, PDF
|
-
Требования к ПРОЕКТНОЙ документации
Комплект документации, необходимой для ввода информационной системы в промышленную эксплуатацию, следующий:
№
|
Название документа
|
Требования к документу
|
1
|
2
|
3
|
1
|
План работ
|
Требуется; Язык: русский
|
2
|
Техническое задание
|
Требуется; Язык: русский
|
3
|
Технический проект
|
Требуется; Язык: русский
|
4
|
Регламент предоставления доступа
|
Требуется; Язык: русский
|
5
|
Технический паспорт ИС
|
Требуется; Язык: русский
|
6
|
Руководство по обеспечению непрерывности бизнеса
|
Требуется; Язык: русский
|
7
|
Руководство пользователя
|
Требуется; Язык: русский
|
8
|
Руководство администратора
|
Требуется; Язык: русский
|
От Заказчика:
ОАО «НК «Роснефть»
|
От Исполнителя
_________________________________
|
Вице-президент - руководитель Службы безопасности ОАО «НК «Роснефть»
______________________/Н.М. Мухитов
М.П.
|
_________________ /____________/
М.П.
|
Приложение 1
Предполагаемые схемы размещения оборудования
Комплект
|
Количество
|
Описание
|
Основная характеристика
|
Характеристика системы хранения
|
Обработка журналов и событий
|
1
|
Минимальный комплект средней производительности, должен содержать 1 аппаратный модуль (декодер,концентратор, система хранения не менее 10 Тб объединены в едином комплекте), требуется модуль управления (достаточно одного на все комплекты)
|
Захват и обработка событий аудита ИБ и ИТ систем на скорости до 10000 событий/с на комплект
|
Обязательна, подключение одного внешнего модуля увеличивающего объем хранилища для оперативных данных на 22ТБ полезной емкости.
|
Агент перенаправления логов для обработки
|
1
|
Автономный программный агент сбора и перенаправления логов на одну из аппаратных систем
|
Ограничено производительностью системы развертывания и канала связи
|
Отсутствует
|
ПАК управления и отчетов
|
1
|
Модуль централизованного управления компонентами системы, базовой корреляции и генерации отчетов
|
Необходимый компонент для работы модулей категорий 1-2
|
Отсутствует
|
ПАК Корреляции
|
0
|
Компонент расширенной корреляции данных
|
Используется для поиска сложных зависимостей в данных
|
Отсутствует
|
ПАК Архивации
|
0
|
Система архивирования данных. Данные находятся в онлайн и могут быть использованы для анализа.
|
Полезная емкость 32TB.
|
Возможность подключения NAS для следующего тира хранения.
|
Предполагается, что ключевыми площадками являются Софийская, Дубининская, Донской, Датацентр «Компрессор», которые определяют основу инфраструктуры ЦАУК.
От Заказчика:
ОАО «НК «Роснефть»
|
От Исполнителя
_________________________________
|
Вице-президент - руководитель Службы безопасности ОАО «НК «Роснефть»
______________________/Н.М. Мухитов
М.П.
|
_________________ /____________/
М.П.
|
|
