Staffcop Enterprise ФСТЭК

ЗНИ.2  Управление доступом к машинным носителям информации

Использование съемных носителей информации может быть запрещено для всей сети, разрешено для всей сети, разрешено только в режиме чтения, разрешено для некоторых пользователей / компьютеров. Также может быть запрещено использовать все съёмные носители, кроме запрещенных, и разрешено использовать все, кроме запрещенных.

ЗНИ.6  Контроль ввода (вывода) информации на машинные носители информации

Система позволяет контролировать сохранение / уничтожение информации на съёмных носителях

ЗНИ.7  Контроль подключения машинных носителей информации

Система позволяет оповещать сотрудников службы безопасности каждый раз при подключении съемных носителей информации

РСБ.5  Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

Система позволяет собрать полную информацию по инцидентам информационной безопасности и поставить в известность специалистов службы безопасности о наступлении события безопасности.

РСБ.8  Обеспечение возможности просмотра и анализа информации о действиях отдельных пользователей в информационной системе

С помощью системы StaffCop возможны просмотр и детальный анализ всех действий пользователей в системе и формирование отчетов, удобных для анализа и содержащих всю существенную информацию.

АНЗ.4  Контроль состава технических средств, программного обеспечения и средств защиты информации

Функции «Инвентаризация  программного обеспечения» и «Инвентаризация оборудования» позволяют контролировать наличие программ и оборудования на том или ином компьютере, замену / демонтаж оборудования, установку / удаление программ, в том числе средств защиты информации.

ЗИС.12  Исключение возможности отрицания пользователем факта отправки информации другому пользователю

ЗИС.13  Исключение возможности отрицания пользователем факта получения информации от другого пользователя

Система фиксирует все факты отправки / получения информации по любым каналам, доступным компьютеру, планшету и другим устройствам, на которые могут быть установлены системы MS Office и Linux. В системе указано время отправки, ПК, пользователь, канал отправки, также сохраняются теневые копии отправленных файлов и информация, содержащаяся в теле письма. Также фикситуются тексты сообщений в месенджерах. Эти данные имеют юридическую силу, при условии оповещения пользователей

1. пользователи (сотрудники) должны быть оповещены о том, что работодатель имеет право использовать систему мониторинга;
2. в компании должен быть введен режим коммерческой / служебной тайны;
3. сотрудники должны быть оповещены о том, что оборудование, принадлежащее работодателю, может быть использовано только для служебных целей;
4. должны быть выполнены все требования 152-ФЗ.

ЗИС.16  Выявление, анализ и блокирование в информационной системе скрытых каналов передачи информации в обход реализованных мер защиты информации или внутри разрешенных сетевых протоколов

В системе фиксируется любая передача информации по любому каналу. Если передача информации осуществляется в обход политик безопасности, может быть настроен алерт.

ЗНИ.2  Управление доступом к машинным носителям информации

Администратор информационной системы может прекратить доступ того или иного пользователя в информационную систему предприятия  или к определенному рабочему месту, в том числе удаленному. Съемные носители информации могут быть запрещены во всей системе; разрешены во всей системе; разрешены только для чтения; запрещены все, кроме разрешенных; разрешены все, кроме запрещенных; запрещены для всех рабочих мест, кроме некоторых. 

ЗНИ.6  Контроль ввода (вывода) информации на машинные носители информации

Функция «Файловый контроль» позволяет фиксировать сохранение файлов на съемные носители информации и  в ПЗУ, открытие файлов, сохраненных на съемных носителях и в ПЗУ, а также сохраняет теневые копии сохраненных и открытых документов.

ЗНИ.7  Контроль подключения машинных носителей информации

В системе фиксируется включение и отключение локальных рабочих станций и съемных носителей информации.

РСБ.5  Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них

Система формирует отчеты о событиях информационной безопасности, которые находятся в оперативном доступе и в архиве. Временные интервалы оперативного и архивного хранения настраиваются. От объема хранимой информации зависит потребность в материальных носителях информации.

УКФ.2  Управление изменениями конфигурации информационной системы и системы защиты персональных данных

Система позволяет вносить изменения в конфигурацию как системы в целом, так и в конфигурации отдельных рабочих мест и групп рабочих мест, в том числе удаленных.

7.2.1.4. Базовый состав мер по регистрации событий защиты информации и контролю использования предоставленных прав логического доступа

УЗП.22 Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего привилегированными правами логического доступа, позволявшими осуществить деструктивное воздействие, приводящие к нарушению выполнения бизнес-процессов или технологических процессов финансовой организации

УЗП.23 Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала и пользователей, обладающих правами логического доступа, в том числе в АС, позволяющими осуществить операции (транзакции), приводящие к финансовым последствиям для финансовой организации, клиентов и контрагентов

УЗП.24 Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению логическим доступом

УЗП.25 Регистрация событий зашиты информации, связанных с действиями по управлению учетными записями и правами субъектов логического доступа

УЗП.26 Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению техническими мерами, реализующими многофакторную аутентификацию

УЗП.27 Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по изменению параметров настроек средств и систем защиты информации. параметров настроек АС. связанных с защитой информации

УЗП.28 Регистрация событий защиты информации, связанных с действиями, и контроль действий эксплуатационного персонала, обладающего правами по управлению криптографическими ключами

1. Определить правила, на основе которых действия персонала могут классифицироваться как позволяющие осуществить деструктивное воздействие, приводящие к финансовым последствиям. Это может быть использование специфических ключевых слов, внесение изменений в определенные документы, использование специфических программ и приложений и т.п. Правила могут быть определены на основе данных полученных в результате аудита информационной безопасности.
2. Определить круг лиц, обладающих правами по управлению логическим доступом, техническими мерами, реализующими многофакторную идентификацию, правами по изменению параметров настроек средств и систем защиты информации, по управлению криптографическими ключами на основе должностных инструкций.
3. Установить программу-агент системы мониторинга действий персонала на рабочие места указанных сотрудников.
4. Настроить на этих рабочих местах соответствующие правила регистрации событий защиты информации. Настройка осуществляется в разделе «Фильтры и политики».

7.2.2.2. Базовый состав мер по идентификации и аутентификации субъектов логического доступа

РД.13 Обеспечение возможности выполнения субъектом логического доступа – работником финансовой организации процедуры принудительного прерывания сессии логического доступа и (или) приостановки осуществления логического доступа (с прекращением отображения на мониторе АРМ информации. доступ к которой получен в рамках сессии осуществления логического доступа)

В системе StaffCop Enterprise реализована функция удаленного администрирования, которая позволяет перехват управления на рабочем месте сотрудника как в локальной сети, так и на удаленном рабочем месте по веб-интерфейсу. При поступлении сигнала системы о событии сотрудник службы безопасности может подключиться к рабочему месту через функцию «Удаленное управление» и в случае необходимости прекратить логический доступ к защищаемой информации.

7.2.2.5. Базовый состав мер по регистрации событий защиты информации, связанных с идентификацией, аутентификацией и авторизацией при осуществлении логического доступа

РД.40 Регистрация осуществления субъектами логического доступа идентификации и аутентификации

РД.41 Регистрация авторизации, завершения и (или) прерывания (приостановки) осуществления эксплуатационным персоналом и пользователями логического доступа, в том числе в АС

В системе StaffCop по умолчанию регистрируется начало и окончание работы пользователями, активное и неактивное время. Активностью считаются нажатие клавиш или движения мышкой. Если пользователь в течение определенного интервала времени не производит движений мышкой, это считается простоем. По умолчанию установлен временной интервал 10 минут, но его можно настраивать. Также в системе регистрируется заполнение пользователями веб-форм, то есть регистрация на онлайн-ресурсах. 

7.2.4.2 Базовый состав мер по организации учета и контроля состава ресурсов и объектов доступа

ИУ.1  Учет созданных, используемых и (или) эксплуатируемых ресурсов доступа

ИУ.2   Учет используемых и (или) эксплуатируемых объектов доступа

ИУ.3  Учет эксплуатируемых общедоступных объектов доступа (в том числе банкоматов, платежных терминалов)

ИУ.4   Контроль фактического состава созданных, используемых и (или) эксплуатируемых ресурсов доступа (баз данных, сетевых файловых ресурсов, виртуальных машин) и их корректного размещения в сегментах вычислительных сетей финансовой организации

ИУ.6   Контроль фактического состава эксплуатируемых объектов доступа и их корректного размещения е сегментах вычислительных сетей финансовой организации

Система StaffCop собирает данные об устройствах и установленном программном обеспечении на компьютерах сотрудников, в том числе удаленных. Если на банкоматах и платежных терминалах установлена операционная система Windows или Linux, то на них может быть установлен агент StaffCop, который будет, в том числе, проводить инвентаризацию оборудования и программного обеспечения. Отчет инвентаризации оборудования содержит информацию обо всех устройствах, обнаруженных на рабочих станциях в формате: пк, производитель, тип устройства, HWID, дата наличия. Чтобы эта функция работала корректно, нужно включить опцию «Реестр оборудования» в конфигурации агентов. Отчет инвентаризации программного обеспечения выводит в табличном виде данные по приложениям: пк, продукт, поставщик, версия и дата наличия. Периодически агент сверят список приложений, которые установлены в контролируемой системе, чтобы можно было определять моменты установки нового ПО и передавать эту информацию в особый тип события – «Установка ПО».

ИУ.5   Контроль выполнения операций по созданию, удалению и резервному копированию ресурсов доступа (баз данных, сетевых файловых ресурсов, виртуальных машин)

Система контролирует все операции с любыми объектами (в том числе базами данных, сетевыми папками, виртуальными машинами) в рамках функции «Файловый контроль».

7.2.4.3 Базовый состав мер по регистрации событий защиты информации, связанных с операциями по изменению состава ресурсов и объектов доступа

ИУ.7   Регистрация событий защиты информации, связанных с созданием, копированием, в том числе резервным, и (или) удалением ресурсов доступа (баз данных, сетевых файловых ресурсов, виртуальных машин)

ИУ.8   Регистрация событий защиты информации, связанных с подключением (регистрацией) объектов доступа в вычислительных сетях финансовой организации

Система контролирует все операции с любыми объектами (в том числе базами данных, сетевыми папками, виртуальными машинами) в рамках функции «Файловый контроль».

7.3.2.2 Базовый состав мер по мониторингу и контролю содержимого сетевого трафика

ВСА.11   Реализация контроля, предусмотренного мерами ВСА.1 — ВСА.9 настоящей таблицы, путем сканирования и анализа сетевого трафика между группами сегментов вычислительных сетей финансовой организации, входящих в разные контуры безопасности

ВСА.12  Реализация контроля, предусмотренного мерами ВСА.1 — ВСА.9 настоящей таблицы, путем сканирования и анализа сетевого трафика в пределах сегмента контура безопасности

ВСА.13   Реализация контроля, предусмотренного мерами ВСА.1 — ВСА.9 настоящей таблицы, путем сканирования и анализа сетевого графика между вычислительными сетями финансовой организации и сетью Интернет

В системе StaffCop реализован полный контроль сетевой активности (версия для Windows) через рабочий компьютер. Регистрируется посещение сетевых ресурсов, время нахождения на них, через определенный промежуток времени записываются скриншоты. Возможно более частое снятие скриншотов на сайтах из особого списка. Сохраняются теневые копии всех отправленных и полученных файлов, а также файлов, сохраненных на внешних хранилищах.

7.3.2.3 Базовый состав мер по регистрации событий защиты информации, связанных с результатами мониторинга и контроля содержимого сетевого трафика

ВСА.14   Регистрация фактов выявления аномальной сетевой активности в рамках контроля, предусмотренного мерами ВСА.1 — ВСА.8 таблицы 16

Функция «Детектор аномалий» позволяет регистрировать факты сетевой активности, отличающейся от стандартного сетевого поведения пользователя.

7.4.4 Базовый состав мер по контролю состава и целостности ПО информационной инфраструктуры

ЦЗИ.21   Исключение возможности установки и (или) запуска неразрешенного для использования ПО АРМ пользователей и эксплуатационного персонала

ЦЗИ.23   Контроль состава ПО АРМ пользователей и эксплуатационного персонала, запускаемого при загрузке операционной системы

Функция «Инвентаризация ПО» позволяет узнавать о фактах установки и / или запуска неразрешенного для использования ПО. Программа с заданной периодичностью проводит автоматическую инвентаризацию ПО на рабочих станциях – сличение состава с заданным списком, и в случае отклонения событие отображается на АРМ администратора.

7.4.5 Базовый состав мер по регистрации событий защиты информации, связанных с результатами контроля целостности и защищенности информационной инфраструктуры

ЦЗИ.28.  Регистрация установки, обновления и (или) удаления ПО АС. ПО средств и систем защиты информации, системного ПО на серверном и сетевом оборудовании

ЦЗИ.29   Регистрация установки, обновления и (или) удаления прикладного ПО. ПО АС. ПО средств и систем защиты информации, системного ПО на АРМ пользователей и эксплуатационного персонала

ЦЗИ.30   Регистрация запуска программных сервисов

Функция «Инвентаризация ПО» позволяет узнавать о фактах установки и / или запуска неразрешенного для использования ПО. Программа с заданной периодичностью проводит автоматическую инвентаризацию ПО на рабочих станциях – сличение состава с заданным списком, и в случае отклонения событие отображается на АРМ администратора.

Система регистрирует начало и окончание работы каждого сотрудника с тем или иным программным сервисом. Может быть настроен алерт на запуск определенных приложений.

7.6.2 Базовый состав мер по блокированию неразрешенных к использованию и контролю разрешенных к использованию потенциальных каналов утечки информации (в части контроля)

ПУИ.1   Блокирование неразрешенной и контроль (анализ) разрешенной передачи информации конфиденциального характера на внешние адреса электронной почты

ПУИ.2   Блокирование неразрешенной и контроль (анализ) разрешенной передачи информации конфиденциального характера в сеть Интернет с использованием информационной инфраструктуры финансовой организации

ПУИ.4   Блокирование неразрешенного и контроль (анализ) разрешенного копирования информации конфиденциального характера на переносные (отчуждаемые) носители информации

Блокирование почты, съемных носителей. Файловый контроль,  перехват операций чтения, изменения, записи, удаления и пр., теневое копирование. Контроль печати: имеется модуль перехвата документов, отправленных на принтер.

7.6.3 Базовый состав мер по контролю (анализу) информации, передаваемой по разрешенным к использованию потенциальным каналам утечки информации

ПУИ.5   Контентный анализ передаваемой информации по протоколам исходящего
почтового обмена

ПУИ.11   Контентный анализ информации, передаваемой в сеть Интернет с использованием информационной инфраструктуры финансовой организации

Доступны следующие варианты поиска в тексте и вложенных файлах входящих и исходящих сообщений: по словам, по нескольким словам, по сочетанию слов, по точным фразам, по регулярным выражениям.

ПУИ.6   Ведение единого архива электронных сообщений с архивным доступом на
срок не менее б мес. и оперативным доступом не срок не менее 1 мес

ПУИ.7   Ведение единого архива электронных сообщений с архивным доступом не
срок не менее одного года и оперативным доступом на срок не менее 3 мес.

Имеется единый архив электронных сообщений. Длительность архивного и оперативного доступа настраивается.

ПУИ.19   Блокирование возможности использования незарегистрированных (неразрешенных к использованию) переносных (отчуждаемых) носителей информации в информационной инфраструктуре финансовой организации

Возможно блокирование всех устройств, кроме зарегистрированных, либо разрешение к использованию всех устройств, кроме запрещенных. Блокировки могут распространяться на всю сеть, на сегменты сети, на отдельные компьютеры.

7.6.5 Базовый состав мер по регистрации событий защиты информации, связанных с реализацией защиты по предотвращению утечки информации

ПУИ.28   Регистрация использования разблокированных портов ввода-вывода информации СВТ

ПУИ.29   Регистрация операций, связанных с осуществлением доступа работниками финансовой организации к ресурсам сети Интернет

В системе реализован полный контроль сетевой активности с фиксацией, кто именно выходил в сеть, какими ресурсами пользовался, сколько времени, заполнял или не заполнял веб-формы и пр. Также фиксируется содержание входящих и исходящих сообщений. Осуществляются снимки экрана через настраиваемые промежутки времени. Для ресурсов, находящихся на особом контроле, устанавливается повышенная частота скриншотов.

ПУИ.30   Регистрация фактов вывода информации на печать

Имеется табель использования принтеров, где фиксируются факты вывода на печать с указанием принтеров, сотрудников и документов. Теневые копии документов сохраняются.

ПУИ.33   Регистрация фактов стирания информации с МНИ

В разделе «Файловый контроль» имеется возможность контроля удаления файлов со съемных носителей информации. Теневые копии документов сохраняются.

7.7.2.2 Базовый состав мер по обнаружению и регистрации инцидентов защиты информации

РИ.1   Регистрация информации о событиях защиты информации, потенциально связанных с инцидентами защиты информации, в том числе НСД, выявленными в рамках мониторинга и анализа событий защиты информации

В системе регистрируются все события. Если система зафиксировала несанкционированный доступ, можно найти события, связанные с ним по времени, выявить, кто из сотрудников причастен и связан коммуникациями, какими документами воспользовался злоумышленник и какие именно операции с ними производил, с сохранением теневых копий документов, и т.д.

ЗНИ.6  Контроль ввода-вывода информации на машинные носители информации

Система может контролировать как всю сеть, так и конкретные USB –порты и устройства чтения  CD. Контролируется  использование съёмных машинных носителей, запись и удаление файлов на USB-носитель или CD, печать и другие действия. Настраивается контроль USB-портов в разделе «Конфигурация – Правила мониторинга».

ЗНИ.7  Контроль подключения машинных носителей информации

Возможна блокировка всех носителей, кроме разрешенных, использование всех, кроме запрещенных, использование только для чтения, запрет использования машинных носителей по всей сети, по сегментам сети и конкретными компьютерами или пользователями.

АУД.5  Контроль и анализ сетевого трафика

Имеется полный контроль сетевого трафика в версии для Windows. Сайты классифицируются  на три категории: продуктивные, непродуктивные,  нейтральные. Списки по категориям настраиваются. Имеется предустановленный список. Ведется статистика пребывания сотрудников на сайтах разных категорий. Регистрируются все действия сотрудников в сети: ведется статистика поисковых запросов, контролируется заполнение веб-форм, отправка и получение файлов, сохранение из в облачных хранилищах и пр.

АУД.9  Анализ действий пользователей

Функция «Детектор аномалий» позволяет отслеживать отклонения от среднестатистического количества тех или иных операций по каждому пользователю. 

ЗИС.18  Блокировка доступа к сайтам или типам сайтов, запрещенным к использованию

Для блокировки сайтов требуется подключение модулей «Веб-трафик» и «Мониторинг сети». Можно заблокировать все сайты, кроме разрешенных (белый список) или разрешить все сайты, кроме запрещенных (черный список).

ЗИС.17  Защита информации от утечек

С помощью функции «Файловый контроль»  контролируются все операции со всеми файлами. С помощью функции «Сетевой контроль» контролируется отправка файлов по любым интернет-каналам и запись на съемные носители. Возможно блокирование использования внешних почтовых серверов и съемных носителей.

УКФ.4  Документирование данных об изменениях в конфигурации

Изменения программной и аппаратной конфигурации рабочих станций контролируются с помощью функции «Инвентаризация: оборудование» и «Инвентаризация: приложения».

Изменения конфигурации программы-агента настраиваются в разделе «Конфигурация». 

П.15   2.5.6   Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры на стадиях эксплуатации и снятия с эксплуатации объектов информационной инфраструктуры обеспечивают реализацию запрета несанкционированного копирования защищаемой информации

П.24   2.6.3   При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 пункта 2.6 настоящего Положения, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию действий при осуществлении доступа своих работников к защищаемой информации

Система осуществляет полную регистрацию действий при осуществлении доступа к информации, полный файловый контроль и теневое копирование всех сохраненных изменений в файлах, подлежащих особому контролю. 

П.75   2.10.4   При эксплуатации объектов информационной инфраструктуры оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают защиту электронных сообщений от искажения, фальсификации, переадресации, несанкционированного ознакомления и (или) уничтожения, ложной авторизации

П.76  2.10.4   При эксплуатации объектов информационной инфраструктуры оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают контроль (мониторинг) соблюдения установленной технологии подготовки, обработки, передачи и хранения электронных сообщений и защищаемой информации на объектах информационной инфраструктуры

Система сохраняет все действия  персонала по обработке информации и контролирует действия пользователей в соответствии с настроенными политиками безопасности.

Инвентаризация и категорирование информации A.8.1.1 Inventory of assets

A.8.2.1 Classification of information  Категоризирование информации и инвентаризация по типам событий

Всю собираемая информация в системе классифицируется и разбивается на следующие типы событий:
Снимок экрана

Время активности

Перехваченный файл

FTP

Почта

Посещение сайтов

Внешние диски

Установка ПО

Вход/выход из системы

Видео рабочего стола

Поисковый запрос

Запись звука

Устройства

Завершение приложения

Системный лог

Беспроводное подключение

Снимок с веб-камеры

Буфер обмена

Ввод с клавиатуры

Сеть 

Запуск приложения

Операции с файлами

Данные формы 

Печать документов

Контроль обмена информацией и предотвращение утечек A.13.2 Information transfer  Мониторинг и контроль передачи информации ограниченного доступа

Информация ограниченного доступа в системеможет быть защищена функцией «Особый контроль». Все операции перемещения, сохранения файлов, в том числе на облачные хранилища информации, отправка любым почтовым сервером или в любом месенджере фиксируется, сохраняется теневая копия документа.

Контроль носителей информации  A.8.3 Media handling  Мониторинг и контроль записи информации ограниченного доступа

В разделе «Файл» доступна вся информация по документам, находящимся на особом контроле, в том числе кто открывал и где сохранял файлы ограниченного доступа.

Сбор событий и управление инцидентами  A.12.4 Logging and monitoring  A.16 Information security incident management  События, связанные с передачей информации ограниченного доступа и/или несоответствие мест хранения информации предъявляемым требованиям

В случае передачи и / или сохранения информации ограниченного доступа не в соответствии с политиками безопасности можно найти все события, связанные с этим фактом по времени и по смыслу.