Обзор X-Config 1.7, российской системы управления безопасностью конфигураций
Введение
Каждая информационная система, даже безопасно спроектированная и реализованная, может быть подвержена угрозам вследствие неправильного конфигурирования и появления новых уязвимостей.
Система X-Config 1.7 разработана российской компанией Spacebit, основанной в 2021 году и специализирующейся на автоматизации процессов обеспечения информационной безопасности. Система позволяет своевременно выявить и устранить несоответствия профилям безопасности конфигураций, разработанным с помощью X-Config на основе общепринятых лучших практик и принятым в организации, на контролируемых информационных системах и компонентах, в том числе аппаратных. Контроль безопасности конфигураций и анализ вносимых изменений обеспечиваются и выполняются в соответствии с требованиями регуляторов:
- PCI DSS 3.2.1; ISO/IEC 27001:2018;
- Положение Банка России № 719-П от 04 июня 2020 г.;
- «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», утверждённые приказом ФСТЭК России № 17 от 11 февраля 2013 г.;
- «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утверждённый приказом ФСТЭК России № 21 от 18 февраля 2013 г.;
- «Требования по обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами», утверждённые приказом ФСТЭК России № 31 от 14 марта 2014 г.;
- «Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», утверждённые приказом ФСТЭК России № 239 от 25 декабря 2017 г.;
- ГОСТ Р 57580.1 от 8 августа 2017 г.;
- СТО БР ИББС 1.0 от 17 мая 2014 г.
Большинство из этих стандартов определяют требования по предотвращению уязвимостей конфигураций: периодический поиск брешей, проведение тестов на проникновение в контролируемую систему, своевременное устранение выявленных изъянов и установка рекомендованных обновлений безопасности, разработка и внедрение стандартов безопасной конфигурации.
X-Config, по замыслу создателей, позволяет сократить эффект человеческого фактора как источника потенциальных уязвимостей контролируемой информационной системы на этапе её функционирования, поддерживая безопасность на необходимом уровне.
X-Config зарегистрирована в Едином реестре российских программ для электронных вычислительных машин и баз данных (запись № 7045 от 07 октября 2020 г.).
Возможен контроль состояний защищённости следующих ресурсов сети:
- компьютеры под управлением ОС Microsoft Windows и Unix-подобных систем;
- веб-серверы Nginx и Microsoft IIS;
- контейнеры сервлетов Apache Tomcat.
Разработчики X-Config постоянно работают над расширением списка стандартов безопасного конфигурирования. В течение года запланировано добавление стандартов для контроля конфигураций сетевого оборудования, веб-браузеров и баз данных, а также популярного прикладного ПО. Функциональные возможности X-Config Система X-Config предназначена для выполнения следующих задач: управление каталогом ресурсов; управление требованиями по безопасности конфигурации; создание профилей безопасного конфигурирования на основе оцифрованных стандартов; автоматизация и контроль применения стандартов безопасности конфигурации; контроль рисков небезопасной конфигурации; генерация отчётности.