Куда я попал?
Цель: сохранение документов в случае их уничтожения на ПК.
Например, в результате кражи ПК, случайного или умышленного уничтожения файлов пользователем, запуска вируса-шифровальщика.
Документы определенных форматов (doc, xls и т.п.) со всех доменных ПК регулярно копируются на сервер резервных копий.
Варианты реализации:
Например, в результате кражи ПК, случайного или умышленного уничтожения файлов пользователем, запуска вируса-шифровальщика.
Документы определенных форматов (doc, xls и т.п.) со всех доменных ПК регулярно копируются на сервер резервных копий.
Варианты реализации:
- ПО для резервного копирования;
- DCAP системы защиты;
- Скрипты.
В заметке к защитной мере приведен скрипт для создания системы резервного копирования документов с пользовательских ПК, на базе Групповой политики домена + Планировщика заданий + Скриптов на vbs/bat + Robocopy
Область действия: Вся организация
Классификация
Тип
Техническая
?
Восстановительная
?
Компенсирующая
?
Реализация
Автоматически
Периодичность
Ежедневно
Ответственный
Не определено
Инструменты
Не определено
Исполнение требований
CIS Critical Security Controls v8 (The 18 CIS CSC):
11.2
11.2 Perform Automated Backups
Perform automated backups of in-scope enterprise assets. Run backups weekly, or more frequently, based on the sensitivity of the data.
Perform automated backups of in-scope enterprise assets. Run backups weekly, or more frequently, based on the sensitivity of the data.
Стандарт № GMP Annex 11: Computerised Systems (EN) от 30.11.2011 "Good Manufacturing Practice. Annex 11: Computerised Systems":
Р. 4 п. 7 п.п. 2
7.2 Regular back-ups of all relevant data should be done. Integrity and accuracy of backup data and the ability to restore the data should be checked during validation and monitored periodically.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ИУ.5
ИУ.5 Контроль выполнения операций по созданию, удалению и резервному копированию ресурсов доступа (баз данных, сетевых файловых ресурсов, виртуальных машин)
3-Н 2-Т 1-Т
3-Н 2-Т 1-Т
Приказ ФСТЭК России № 21 от 18.02.2013 "Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных":
ЗСВ.8
ЗСВ.8 Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.12.3.1
A.12.3.1 Резервное копирование информации
Мера обеспечения информационной безопасности: В соответствии с политикой резервирования следует регулярно создавать и проверять резервные копии информации, программного обеспечения и образов системы
Мера обеспечения информационной безопасности: В соответствии с политикой резервирования следует регулярно создавать и проверять резервные копии информации, программного обеспечения и образов системы
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 10.1
CSC 10.1 Ensure Regular Automated BackUps
Ensure that all system data is automatically backed up on a regular basis.
Ensure that all system data is automatically backed up on a regular basis.
Стандарт № GMP Annex 11: Computerised Systems (RU) от 30.11.2011 "Правила надлежащей производственной практики. Приложение 11: Компьютеризированные системы":
Р. 4 п. 7 п.п. 2
7.2. Следует выполнять регулярное резервное копирование всех необходимых данных. Сохранность и точность резервных копий, а также возможность восстановления данных должны быть проверены в процессе валидации и периодически контролироваться.
Приказ Минздрава № 911н от 24.12.2018 "Требования к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам":
Раздел II п. 9 п.п. г)
г) обеспечивать хранение медицинской документации в форме электронных документов, предусматривая резервное копирование медицинской документации в форме электронных документов и метаданных, восстановление медицинской документации в форме электронных документов и метаданных из резервных копий;
Приказ ФСТЭК России № 17 от 11.02.2013 "Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах":
ЗСВ.8
ЗСВ.8 Резервное копирование данных, резервирование технических средств, программного обеспечения виртуальной инфраструктуры, а также каналов связи внутри виртуальной инфраструктуры
ОДТ.4
ОДТ.4 Периодическое резервное копирование информации на резервные машинные носители информации
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
ОДТ.4
ОДТ.4 Резервное копирование информации
NIST Cybersecurity Framework (EN):
PR.IP-4
PR.IP-4: Backups of information are conducted, maintained, and tested
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
ОДТ.4
ОДТ.4 Резервное копирование информации
Связанные риски
Риск | Связи | |
---|---|---|
Потеря (уничтожение) данных из-за
возможности физической поломки в компьютере
Доступность
Отказ в обслуживании
|
1 |
Заметки
6Система резервного копирования файлов с пользовательских ПК
Скрипты размещены на сервере в сетевой папке доступной для всех пользователей на чтение.
1. Бэкап документов в контексте пользователя
В невидимом для пользователя режиме с помощью специального скрипта userRun.vbs с аргументом BackupUserFolders выполняется командный файл backupUF.cmd, который в свою очередь выполняет VBScript backupUF.vbs из той же папки.
В скрипте backupUF.vbs задаются маски файлов для бэкапа (*.doc? *.xls? *.dot? *.xlt? *.rtf *.txt), сетевая папка для бэкапов (\\BACKUPSERVER\Backups$) и прочие переменные.
Далее определяется набор пользовательских папок, из которых будет выполняться резервное копирование файлов по маске, а также выполняются необходимые системные настройки. Например, отключается уведомление "Автоматическое скачивание файлов", которое по умолчанию появляется во всплывающем окне при копировании файлов с облачных дисков. Каждый блок определения папок в скрипте backupUF.vbs сопровожден комментариями и подробно разбираться не будет.
Также в папке с скриптом в каталоге \settings для конкретного пользователя и компьютера может быть определен нестандартный набор пользовательских папок, отключены папки облачных дисков, добавлены дополнительные файловые маски для всех, или определенных пользовательских папок.
Для этой цели создается конфиг файл с персональными настройками вида ПОЛЬЗОВАТЕЛЬ\КОМПЬЮТЕР.cfg, например \\SCRIPTSERVER\BackupUserFolders\settings\a_ivanov\IVANOV-PC.cfg (применится к пользователю a_ivanov на компьютере IVANOV-PC).
Когда определен финальный список папок, производится удаление пересекающихся путей. Т.е. если одна папка C:\Documents, а вторая C:\Documents\folder2, то второй путь будет удален из списка, т.к. является подкаталогом первого. Таким образом, остается уникальный набор неповторяющихся и непересекающихся путей.
После этого начинается непосредственно процесс резервного копирования при помощи утилиты Robocopy.exe. Папка назначения определяется как \\BACKUPSERVER\Backups$\имя_пользователя\имя_компьютера, например \\BACKUPSERVER\Backups$\a_ivanov\IVANOV-PC. Внутри создается набор пользовательских папок с сохранением внутренней структуры, например C-Documents, Desktop, GoogleDrive, MyDocuments, OneDrive, YandexDisk и т.д.
Ключами Robocopy.exe определяются параметры для возобновления копирования по сети, интервал задержки в миллисекундах между передачей блоков данных и пр.
Полный набор ключей: /s /purge /ipg:100 /z /np /ndl /r:5 /w:5 /copy:DT /nodcopy
Последний ключ (/nodcopy) отсутствует в Windows 7 и предварительно выполняется проверка, имеет ли Robocopy данный ключ. Если нет, то он не применяется.
Ключ /purge удаляет из бэкапа файлы, которые удалены в папке источника. Т.е. старые файлы не хранятся в бэкапе, но могут быть извлечены из теневой копии бэкапа, которая выполняется раз в сутки и доступно примерно 14 последних теневых копий.
После бэкапа в папке %ProgramData%\scripts\BackupUserFolders создается файл вида XD_имя_пользователя.txt, в котором перечисляется список пользовательских папок для исключение из второй части резервного копирования, а именно в контексте системы (см. далее).
2. Бэкап документов в контексте компьютера (системы)
Папка назначения: \\BACKUPSERVER\BackupsPC$\имя_компьютера, в ней создаются папки локальных дисков (C, D и т.д.), в которых создаются папки с компьютера-источника с сохранением внутренней структуры.
Также в папке скриптов \\SCRIPTSERVER\scripts\BackupLocalFolders находится файл exclude.txt, где определяется список компьютеров для исключения из данной части резервного копирования.
В скрипте backupLF.cmd задаются маски файлов для бэкапа (*.doc? *.xls? *.dot? *.xlt? *.rtf), маски исключения файлов из бэкапа. Затем выполняется проверка контекста запуска скрипта. Если его запустили в контексте пользователя, а не системы, выполнение скрипта завершается.
Также выполняется проверка наличия файлов вида XD_*.txt в папке %ProgramData%\scripts\BackupUserFolders, что означает успешное выполнение первой части бэкапа в контексте пользователя. Если таких файлов нет, работа скрипта завершается.
Затем создается список папок для исключения из бэкапа: это все пользовательские папки, плюс системные "%ProgramData%" "%ProgramFiles%" "%PUBLIC:\Public=%" "%SystemRoot%" "$Recycle.Bin" "RECYCLER" "System Volume Information" "Documents and Settings" "$WINDOWS.~BT" и при наличии "%ProgramFiles(x86)%".
Также в дальнейшем для каждого локального диска будут исключены папки "%%d:\Program Files" "%%d:\Program Files (x86)" "%%d:\ProgramData" "%%d:\Windows" "%%d:\Windows.old", где %%d - буква локального диска.
После итогового определения списков исключений файлов и папок, утилитой wmic.exe logicaldisk where "drivetype=3" get name /format:value определяется список только локальных дисков.
Для резервного копирования каждого из локальных дисков используется описанная выше утилита Robocopy.exe со следующим набором ключей: /s /purge /ipg:100 /z /np /xj /ndl /r:5 /w:5 /copy:DT /a-:SH /nodcopy
Если в результате папка назначения не будет содержать ни одного файла, но может содержать при этом любое количество пустых подпапок, она рекурсивно удаляется.