Решение

В решение для безопасности объектов критической информационной инфраструктуры (КИИ) мы объединили продукты Positive Technologies, которые позволяют выполнить основные законодательные требования по защите значимых объектов КИИ, предотвращать и выявлять атаки и автоматизировать взаимодействие с ГосСОПКА.


Подходит распределенным инфраструктурам

Решение позволяет выстраивать иерархическую систему безопасности для централизованного мониторинга и управления ИБ.

Состав решения и покрываемые требования

1. MaxPatrol 8

MaxPatrol 8 — система контроля защищенности и соответствия стандартам ИБ всей IТ-инфраструктуры. MaxPatrol 8 проводит непрерывный технический аудит безопасности и позволяет отслеживать динамику состояния защищенности.

Покрываемые требования:

Приказ ФСТЭК России от 25.12.2017 № 239, меры защиты:

  • АУД.1. Инвентаризация информационных ресурсов. Продукт идентифицирует активные сетевые узлы объектов КИИ и инвентаризирует аппаратное и программное обеспечения ОКИИ. Инвентаризация запускается по расписанию.
  • АУД.2. Анализ уязвимостей и их устранение. Продукт автоматизирует процесс управления уязвимостями АСУ, ИС и ИТС.
  • АУД.7. Мониторинг безопасности. Продукт контролирует работоспособность ПО и СЗИ и соответствия их параметров параметрам в эксплуатационной документации.
  • АУД.10. Проведение внутренних аудитов. Продукт контролирует внутренние параметры ПО на соответствие требованиям отраслевых и международных стандартов. Этот контроль используется в ходе внутренних аудитов АСУ, ИС и ИТС.
  • АУД.11. Проведение внешних аудитов. MaxPatrol 8 сканирует IT-инфраструктуру в режиме черного ящика.
  • ПЛН.2. Контроль выполнения мероприятий по обеспечению защиты информации. Продукт формирует дифференциальные отчеты по результатам сканирований объектов КИИ для отслеживания устранения уязвимостей.

Приказ ФСТЭК России от 25.12.2017 № 235:

  • Пункт 10. Структурное подразделение по безопасности, специалисты по безопасности должны выявлять уязвимости в значимых объектах КИИ.
  • Пункт 18. Сертифицированные средства защиты информации применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.

2. MaxPatrol SIEM

MaxPatrol SIEM — система мониторинга событий ИБ и выявления инцидентов. В систему регулярно передаются практические знания экспертов Positive Technologies о новых видах атак и способах их выявления, что позволяет детектировать самые актуальные угрозы.

Покрываемые требования:

Приказ ФСТЭК России от 25.12.2017 № 239, меры защиты:

  • АУД.1. Инвентаризация информационных ресурсов. Система собирает и обрабатывает данные обо всех элементах IT-инфраструктуры — активах. На основе данных строится и постоянно обновляется топология сети.
  • АУД.2. Анализ уязвимостей и их устранение. MaxPatrol SIEM выявляет уязвимости из базы данных CVE. Для обнаруженных уязвимостей в автоматическом режиме проводится оценка степени риска на основе правил CVSS.
  • АУД.4. Регистрация событий безопасности.
  • АУД.5. Контроль и анализ сетевого трафика.
  • АУД.6. Защита информации о событиях безопасности.
  • АУД.7. Мониторинг безопасности.
  • ИНЦ.1. Выявление компьютерных инцидентов.
  • ИНЦ.2. Информирование о компьютерных инцидентах.
  • ИНЦ.3. Анализ компьютерных инцидентов.
  • ИНЦ.4. Устранение последствий компьютерных инцидентов.
  • ИНЦ.5. Принятие мер по предотвращению повторного возникновения компьютерных инцидентов.
  • ИНЦ.6. Хранение и защита информации о компьютерных инцидентах.
  • УКФ.4. Контроль действий по внесению изменений.
  • ПЛН.2. Контроль выполнения мероприятий по обеспечению защиты информации.
  • ДНС.6. Анализ возникших нештатных ситуаций и принятие мер по недопущению их повторного возникновения.

Приказ ФСТЭК России от 25.12.2017 № 235:

  • Пункт 18. Сертифицированные средства защиты информации применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.

3. PT Network Attack Discovery

PT Network Attack Discovery — система глубокого анализа сетевого трафика для выявления и расследования атак. Обнаруживает атаки в реальном времени и в ретроспективе.

Покрываемые требования:

Приказ ФСТЭК России от 25.12.2017 № 239, меры защиты:

  • АУД.5. Контроль и анализ сетевого трафика.
  • СОВ.1.  Обнаружение и предотвращение компьютерных атак.
  • СОВ.2.  Обновление базы решающих правил.

Приказ ФСТЭК России от 25.12.2017 № 235:

  • Пункт 18. Сертифицированные средства защиты информации применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.

4. PT MultiScanner

PT MultiScanner — многопоточная система защиты от вредоносного ПО с «песочницей».

Покрываемые требования:

Приказ ФСТЭК России от 25.12.2017 № 239, меры защиты:

  • АВЗ.2.   Антивирусная защита электронной почты и иных сервисов.
  • АВЗ.4.   Обновление базы данных признаков вредоносных компьютерных программ (вирусов).
  • АВЗ.5.   Использование средств антивирусной защиты различных производителей.
  • ЗИС.7.  Использование эмулятора среды функционирования программного обеспечения («песочница»).

Приказ ФСТЭК России от 25.12.2017 № 235:

  • Пункт 18. Сертифицированные средства защиты информации применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.

5. PT Application Firewall

PT AF — система защиты, которая обнаруживает и блокирует веб-атаки, включая атаки из списка OWASP Top 10 и классификации WASC, L7 DDoS и атаки нулевого дня.

Покрываемые требования:

Приказ ФСТЭК России от 25.12.2017 № 239, меры защиты:

  • УПД.2. Реализация политик управления доступом.
  • УПД.4. Разделение полномочий (ролей) пользователей.
  • УПД.6. Ограничение неуспешных попыток доступа в информационную (автоматизированную) систему.
  • УПД.9. Ограничение числа параллельных сеансов доступа.
  • УПД.10. Блокирование сеанса доступа пользователя при неактивности.
  • УПД.11. Управление действиями пользователей до идентификации и аутентификации.
  • УПД.12. Управление атрибутами безопасности.
  • УПД.14. Контроль доступа из внешних информационных (автоматизированных) систем.
  • АУД.2. Анализ уязвимостей и их устранение. PT AF позволяет выявлять уязвимости ПО и компонентов, неправильную конфигурацию веб-приложения в пассивном режиме анализа трафика.
  • АУД.3. Генерирование временных меток и (или) синхронизация системного времени.
  • АУД.4. Регистрация событий безопасности.
  • АУД.6. Защита информации о событиях безопасности.
  • АУД.7. Мониторинг безопасности.
  • АУД.9. Анализ действий пользователей.
  • АУД.11. Проведение внешних аудитов.
  • АВЗ.1. Реализация антивирусной защиты.
  • АВЗ.2. Антивирусная защита электронной почты и иных сервисов.
  • АВЗ.4. Обновление базы данных признаков вредоносных компьютерных программ (вирусов).
  • АВЗ.5. Использование средств антивирусной защиты различных производителей.
  • ОЦЛ.3. Ограничения по вводу информации в информационную (автоматизированную) систему.
  • ОЦЛ.4. Контроль данных, вводимых в информационную (автоматизированную) систему.
  • ОЦЛ.5. Контроль ошибочных действий пользователей по вводу и (или) передаче информации и предупреждение пользователей об ошибочных действиях.
  • ЗИС.6. Управление сетевыми потоками.
  • ЗИС.22. Управление атрибутами безопасности при взаимодействии с иными информационными (автоматизированными) системами.
  • ЗИС.26. Подтверждение происхождения источника информации.
  • ЗИС.33. Исключение доступа через общие ресурсы.
  • ЗИС.34. Защита от угроз отказа в обслуживании (DoS-, DDoS-атак).
  • ЗИС.35. Управление сетевыми соединениями.

Приказ ФСТЭК России от 25.12.2017 № 235:

  • Пункт 18. Сертифицированные средства защиты информации применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.

6. PT ISIM

PT ISIM — система непрерывного мониторинга защищенности сети АСУ ТП и обнаружения кибератак на ее компоненты.

Покрываемые требования:

Приказ ФСТЭК России от 25.12.2017 № 239, меры защиты:

  • ИАФ.2. Идентификация и аутентификация устройств.
  • АУД.1. Инвентаризация информационных ресурсов. PT ISIM позволяет проводить инвентаризацию и контролировать целостности промышленной сети.
  • АУД.4. Регистрация событий безопасности.
  • АУД.5. Контроль и анализ сетевого трафика.
  • АУД.7. Мониторинг безопасности.
  • СОВ.1.  Обнаружение и предотвращение компьютерных атак.
  • СОВ.2.  Обновление базы решающих правил.
  • ИНЦ.1. Выявление компьютерных инцидентов.
  • ИНЦ.2. Информирование о компьютерных инцидентах.
  • ИНЦ.3. Анализ компьютерных инцидентов.
  • ИНЦ.5. Принятие мер по предотвращению повторного возникновения компьютерных инцидентов.
  • УКФ.4. Контроль действий по внесению изменений.

7. PT Application Inspector

PT Application Inspector — инструмент для выявления уязвимостей и ошибок в приложениях, поддерживающий процесс безопасной разработки. Необходим, если в компании используется самописное ПО или есть доступ к исходному коду веб-приложений.

Покрываемые требования:

Приказ ФСТЭК России от 25.12.2017 № 235:

  • Пункт 10. Структурное подразделение по безопасности, специалисты по безопасности должны выявлять уязвимости в значимых объектах КИИ.
  • Пункт 18. Сертифицированные средства защиты информации применяются в случаях, установленных законодательством Российской Федерации, а также в случае принятия решения субъектом критической информационной инфраструктуры.

Приказ ФСТЭК России от 25.12.2017 № 239:

  • Пункт 12.6. Анализ уязвимостей значимого объекта проводится в целях выявления недостатков (слабостей) в подсистеме безопасности значимого объекта и оценки возможности их использования для реализации угроз безопасности информации. При этом анализу подлежат уязвимости кода, конфигурации и архитектуры значимого объекта.

8. ПТ Ведомственный центр

«ПТ Ведомственный центр» — система управления инцидентами и взаимодействия с НКЦКИ в двустороннем формате.

Покрываемые требования:

Федеральный закон от 26.07.2017 № 187-ФЗ:

  • Статья 10, п. 2. Одна из основных задач системы безопасности значимого объекта КИИ — непрерывное взаимодействие с ГосСОПКА.
  • Статья 9, п. 2. Субъекты КИИ обязаны незамедлительно информировать об инцидентах ФСБ России.

Приказ ФСБ России от 24.07.2018 № 367:

  • Перечень информации, представляемой в ГосСОПКА.

Приказ ФСБ России от 24.07.2018 № 368:

  • Приложение 1, п. 6. Уведомления и запросы направляются посредством использования технической инфраструктуры НКЦКИ при наличии подключения к ней.

Приказ ФСТЭК России от 25.12.2017 № 239, меры защиты:

  • ИНЦ.2. Информирование о компьютерных инцидентах.
  • ИНЦ.6. Хранение и защита информации о компьютерных инцидентах.

Мы собрали в одном файле список требований закона № 187-ФЗ, приказов ФСБ № 367 и 368, приказов ФСТЭК № 235 и 239, которые вы можете выполнить с продуктами Positive Technologies.

Посмотреть

Выявляет целевые атаки

Решение позволяет выстроить эффективную систему выявления и предотвращения целевых атак за счет оперативного выявления признаков атак как на периметре, так и в инфраструктуре, ретроспективного анализа и постоянного расширения знаний о способах детектирования угроз, передаваемых экспертами в продукты.

Преимущества

Если вы субъект КИИ, изучите подробный план, который поможет вовремя выполнить все требования по защите объектов КИИ.

Подробнее

Упрощает расследования

Хранение сырого трафика, сбор детальной информации об IT-активах, реконструкция сессий, ретроспективный анализ и возможность детализации данных об атаках позволяют эффективно провести расследование.

Пример архитектуры решения

Пример архитектуры решения

При многоуровневой инфраструктуре продукты Positive Technologies выстраиваются в иерархию. На нижних уровнях, где нет компетентных специалистов по ИБ или недостаточен объем бюджета на ИБ, устанавливаются сенсоры для сбора и передачи информации в крупные филиалы. Специалисты по ИБ в филиалах выявляют и расследуют атаки и отправляют данные об инцидентах в головную организацию, где консолидируется информация об инцидентах во всей компании и осуществляется взаимодействие с главным центром ГосСОПКА.

Поддержка экспертами PT Expert Security Сenter

Специалисты центра безопасности PT Expert Security Center дополняют команду ИБ при недостатке экспертизы или полностью берут на себя задачи по выявлению атак на значимые объекты КИИ, реагированию на них и взаимодействию с НКЦКИ.

Вебинары

КИИ и ГосСОПКА: обзор изменений законодательства за 2019 год

Если у вас небольшая инфраструктура или на первом этапе достаточно отслеживать события на наиболее важных узлах, вам подойдет программно-аппаратный комплекс PT Platform 187. Он включает пять продуктов, которые помогают выполнить основные требования 187-ФЗ, и позволяет подключить к мониторингу 250 сетевых узлов. Со временем область мониторинга можно расширить.

Узнать больше

Получите консультацию эксперта

Нажимая кнопку «Отправить», вы даете свое конкретное, информированное и сознательное согласие на обработку и хранение ваших персональных данных и соглашаетесь с Политикой конфиденциальности.

CAPTCHA

Получите консультацию эксперта

Нажимая кнопку «Отправить», вы даете свое конкретное, информированное и сознательное согласие на обработку и хранение ваших персональных данных и соглашаетесь с Политикой конфиденциальности.

CAPTCHA