Обеспечение контроля целостности данных

1. Уровень операционной системы (хостовый уровень) - могут использоваться наложенные или встроенные в операционную систему средства защиты информации, обеспечивающие функционал контроля целостности данных, например:
   • СЗИ от НСД «Аккорд-АМДЗ» 
   • Secret Net Studio 
   • Dallas Lock 
   • CL DATAPK
2.  Уровень сетевого оборудования - могут использоваться встроенные функции операционной системы сетевого устройства. 
3. Уровень систем управления базами данных (СУБД) - может проводиться аудит DDL-команд и использование встроенных утилит.
   • Microsoft SQL Server:
     • Включите аудит спецификации TDDL (Transact-SQL Data Definition Language) для отслеживания команд CREATE, ALTER, DROP.
     • Используйте команду DBCC CHECKDB для регулярной проверки логической и физической целостности всей базы данных.
   • PostgreSQL:
     • Настройте расширение pgaudit для детального протоколирования всех операций DDL/DML.
     • Утилита pg_dump может использоваться для создания текстового дампа структуры БД. Регулярное сравнение нового дампа с эталонным позволяет выявить несанкционированные изменения.
4.  Уровень прикладного программного обеспечения - могут использоваться наложенные или встроенные в операционную систему средства защиты информации, обеспечивающие функционал контроля целостности исполняемых файлов приложения, его библиотек и конфигурационных файлов. Допускается использовать механизмы цифровой подписи.

• Объект контроля: В политике вы определяете, что именно нужно контролировать. Это могут быть:
  • Исполняемые файлы (*.exe, *.dll, *.sys).
  • Системные файлы ОС.
  • Файлы конфигурации приложений и самой системы.
  • Ключи реестра Windows.
  • Загрузочные секторы дисков.
• Область контроля: Указываются каталоги, за которыми будет вестись наблюдение (например, %SystemRoot%, C:\Program Files\, каталоги с базами данных). Можно использовать маски файлов для более точной настройки.
• Алгоритм хеширования: Для вычисления контрольных сумм можно выбрать один или несколько алгоритмов (например, ГОСТ Р 34.11-2012, SHA-256). Использование нескольких алгоритмов повышает надежность проверки.

1. Установка агента: На целевую рабочую станцию или сервер устанавливается агент Secret Net Studio.
2. Инициализация: После установки и применения политики агент сканирует указанные области и вычисляет контрольные суммы (хеши) для всех найденных объектов.
3. Создание снимка (Snapshot): Полученные значения сохраняются в виде эталонной базы данных. Именно с этой базой система будет сравнивать текущее состояние файлов при каждой последующей проверке.

Важно: Эталонную базу следует создавать только после того, как операционная система и все необходимое ПО установлены, настроены и находятся в заведомо "чистом" состоянии.

• Периодический контроль: Проверки запускаются по расписанию (например, раз в сутки). Этот режим создает меньшую нагрузку на систему.
• Контроль в реальном времени: Агент отслеживает попытки изменения контролируемых файлов непосредственно в момент обращения к ним. Если процесс пытается изменить файл, входящий в область контроля, SNS блокирует эту операцию. Это наиболее строгий режим, обеспечивающий немедленное реагирование.
• Реакция на нарушение:
  • Протоколирование: Любое несовпадение контрольной суммы (изменение файла) фиксируется в журнале событий Secret Net Studio. Запись содержит информацию о том, какой файл был изменен, кем, когда и каким было старое/новое значение хеша.
  • Оповещение: Система может отправить уведомление администратору безопасности.
  • Блокировка: В зависимости от настроек, SNS может заблокировать учетную запись пользователя или процесс, который произвел несанкционированное изменение.

1. Администратор санкционирует изменения.
2. После проведения всех изменений он инициирует процедуру обновления эталонной базы данных на данном компьютере.
3. Агент заново сканирует контролируемые объекты и перезаписывает старые хеш-суммы новыми, которые теперь становятся эталоном.

• Используемое СЗИ добавить в Модуль активов в реестр средств защиты информации;
• Указать используемое СЗИ в качестве инструмента к мере.