Билет 25 1. Ақпарат қауіпсіздігінің негізгі программалық-техникалық шаралары: хаттамалау Хаттамалау дегеніміз-ақпараттық жүйеде болып жатқан оқиғалар туралы ақпарат жинау және жинақтау. Әрбір қызметтің ықтимал оқиғалар жиынтығы бар, бірақ кез-келген жағдайда оларды сыртқы (басқа қызметтердің әрекеттерінен туындаған), ішкі (қызметтің әрекеттерінен туындаған) және клиенттерге (пайдаланушылар мен әкімшілердің әрекеттерінен туындаған) бөлуге болады.
Операциялық жүйелерге қатысты аталған мәселелерге ақылға қонымды көзқарас "қызғылт сары кітапта" ұсынылады, онда келесі оқиғалар көрсетілген:
• кіру (сәтті немесе жоқ);
• жүйеден шығу;
• қашықтағы жүйеге жүгіну;
• файл операциялары (ашу, жабу, атын өзгерту, жою) ;
• артықшылықтардың немесе қауіпсіздіктің өзге де атрибуттарының ауысуы (қол жеткізу режимі, пайдаланушының сенімділігі деңгейі және т.б.).
Хаттамалауға тән ерекшелігі-басқа қауіпсіздік құралдарына тәуелділік. Сәйкестендіру және аутентификация пайдаланушылардың есеп беруінің бастапқы нүктесі ретінде қызмет етеді, қол жеткізуді логикалық басқару тіркеу ақпаратының құпиялылығы мен тұтастығын қорғайды. Қорғау үшін криптографиялық әдістер де тартылуы мүмкін.
2, Ақпараттық қауіпсіздікті бақылау және басқару жүйелері – SIEM SIEM (Security information and event management, "оқиғалар мен қауіпсіздік туралы ақпаратты басқару") — қауіпсіздік оқиғалары туралы ақпаратты жинауға және талдауға арналған бағдарламалық өнімдер класы.
SIEM-бұл SEM (Security Event Management, "қауіпсіздік оқиғаларын басқару") және SIM (Security Information Management, "қауіпсіздік ақпаратын басқару") сыныптарын біріктіру. SEM шешімдері нақты уақыттағы қауіпсіздік оқиғаларын бақылау үшін қолданылады. SIM жүйелері, өз кезегінде, ұйымның әртүрлі Инфрақұрылым объектілерінен деректерді ұзақ мерзімді сақтауға және талдауға жауап береді. SIEM шешімдері осы екі тапсырманы да орындайды.
SIEM-жүйелерінің міндеттеріне мыналар кіреді:
Нақты уақытта желілік құрылғылар мен қолданбалардан келетін Дабылдарды бақылаңыз.
Алынған деректерді өңдеу және олардың арасындағы қатынастарды табу.
Бақыланатын жүйелердің қалыпты мінез-құлқынан ауытқуларды анықтау.
Анықталған инциденттер туралы операторларға хабарлау.
Классикалық мағынада SIEM жүйелері тек деректерді жинайды және өңдейді, сонымен қатар операторға мүмкін қауіп туралы хабарлайды. Күдікті процестерді бұғаттау, файлдарды карантинге орналастыру және басқа да әрекет ету шаралары олардың міндеттеріне кірмейді. Алайда, соңғы уақытта SIEM термині көбінесе деректерді жинау және өңдеу жүйелерін де, алынған ақпаратқа жауап беруге және белсенді әрекет етуге мүмкіндік беретін жүйелерді де біріктіреді.
SIEM шешімдерін қолдану
SIEM көмегімен АҚ-мамандары кибершабуылдар мен қауіпсіздік саясатының бұзылуын ерте кезеңдерде анықтап, олардан болатын залалды азайта алады. Сондай-ақ, SIEM шешімдері ақпараттық жүйелердің қауіпсіздігін және кәсіпорын үшін өзекті тәуекелдерді бағалауға көмектеседі. Сонымен қатар, SIEM жүйелерінен алынған мәліметтер оқиғаларды тергеу кезінде және есеп беру үшін қолданылады.
SIEM шешімдері қауіпсіздік оқиғалары туралы деректерді төрт жолмен жинай алады: арнайы қосымшалардың көмегімен (бұл әдіс жиі қолданылады), тікелей Журнал файлдарынан, тікелей желілік құрылғылардан немесе SNMP, Netflow немесе IPFIX сияқты ағынды протоколдар арқылы.
SIEM шешімдері үшін ақпарат көзі ретінде мыналар болуы мүмкін: