Обзор X-Config 1.7, российской системы управления безопасностью конфигураций

X-Config 1.7 предназначена для приведения параметров системных и прикладных программ в соответствие принятым на предприятии стандартам по безопасности, а также для выявления несанкционированных изменений (контроль целостности) и точной оценки того, как имеющаяся конфигурация оборудования и ПО влияет на защищённость всей инфраструктуры, обрабатываемой информации и бизнес-процессов. На основе стандартов безопасной конфигурации легко создаются профили для различных групп хостов.

Введение

Каждая информационная система, даже безопасно спроектированная и реализованная, может быть подвержена угрозам вследствие неправильного конфигурирования и появления новых уязвимостей.

Система X-Config 1.7 разработана российской компанией Spacebit, основанной в 2021 году и специализирующейся на автоматизации процессов обеспечения информационной безопасности. Система позволяет своевременно выявить и устранить несоответствия профилям безопасности конфигураций, разработанным с помощью X-Config на основе общепринятых лучших практик и принятым в организации, на контролируемых информационных системах и компонентах, в том числе аппаратных. Контроль безопасности конфигураций и анализ вносимых изменений обеспечиваются и выполняются в соответствии с требованиями регуляторов:

• PCI DSS 3.2.1; ISO/IEC 27001:2018;
• Положение Банка России № 719-П от 04 июня 2020 г.;
• «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утверждённые приказом ФСТЭК России № 17 от 11 февраля 2013 г.;
• «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утверждённый приказом ФСТЭК России № 21 от 18 февраля 2013 г.;
• «Требования по обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами», утверждённые приказом ФСТЭК России № 31 от 14 марта 2014 г.;
• «Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», утверждённые приказом ФСТЭК России № 239 от 25 декабря 2017 г.;
• ГОСТ Р 57580.1 от 8 августа 2017 г.;
• СТО БР ИББС 1.0 от 17 мая 2014 г.

Большинство из этих стандартов определяют требования по предотвращению уязвимостей конфигураций: периодический поиск брешей, проведение тестов на проникновение в контролируемую систему, своевременное устранение выявленных изъянов и установка рекомендованных обновлений безопасности, разработка и внедрение стандартов безопасной конфигурации.

X-Config, по замыслу создателей, позволяет сократить эффект человеческого фактора как источника потенциальных уязвимостей контролируемой информационной системы на этапе её функционирования, поддерживая безопасность на необходимом уровне.

X-Config зарегистрирована в Едином реестре российских программ для электронных вычислительных машин и баз данных (запись № 7045 от 07 октября 2020 г.).

Возможен контроль состояний защищённости следующих ресурсов сети:

• компьютеры под управлением ОС Microsoft Windows и Unix-подобных систем;
• веб-серверы Nginx и Microsoft IIS;
• контейнеры сервлетов Apache Tomcat.

Разработчики X-Config постоянно работают над расширением списка стандартов безопасного конфигурирования. В течение года запланировано добавление стандартов для контроля конфигураций сетевого оборудования, веб-браузеров и баз данных, а также популярного прикладного ПО. Функциональные возможности X-Config Система X-Config предназначена для выполнения следующих задач: управление каталогом ресурсов; управление требованиями по безопасности конфигурации; создание профилей безопасного конфигурирования на основе оцифрованных стандартов; автоматизация и контроль применения стандартов безопасности конфигурации; контроль рисков небезопасной конфигурации; генерация отчётности.