ИБ-система Минсельхоза: как устроена, из каких продуктов состоит, и во сколько обходится обслуживание
Минсельхоз объявил конкурс на техподдержку систем обеспечения информационной безопасности стоимостью 50,1 млн рублей. Подрядчику предстоит круглосуточно обслуживать три ключевые системы: СОИБ (межсетевое экранирование и защищенный удаленный доступ), КСОИБ (комплексная система, включающая SIEM, управление уязвимостями, защиту веб-приложений и др.) и систему автоматического распознавания атак САРА. SecPost изучил техническое задание и выяснил, из чего состоит защита ведомства.
Минсельхоз ищет техподдержку для своих систем информационной безопасности за 50,1 млн рублей. Ведомство разместило конкурс, согласно которому подрядчику предстоит оказать услуги по технической поддержке систем обеспечения информационной безопасности организации. Исполнителю необходимо взять на себя круглосуточное обслуживание трех подсистем, обеспечивающих безопасность ведомства. SecPost разобрал техзадание и узнал, из чего состоит кибербезопасность Минсельхоза.
СОИБ
Система обеспечения информационной безопасности (СОИБ) Минсельхоза состоит из двух компонентов — подсистемы межсетевого экранирования (ПМЭ) и подсистемы защиты удаленного доступа (ЗУД). ПМЭ фильтрует сетевой трафик и сегментирует сеть, а ЗУД организует безопасные каналы связи к внутренним ресурсам из сети интернет.
ПМЭ фильтрует входящие и исходящие информационные потоки, реализует технологию Stateful Inspection, фильтрацию по доменным именам. Подсистема управляется через встроенное ПО. Логическая структура ПМЭ состоит из следующих компонентов:
- Центр управления сетью (ЦУС);
- Межсетевые экраны (МСЭ);
- Клиенское приложение для защищенного доступа.
ЗУД организует защиту каналов связи по протоколу криптографической защиты информации для доступа к внутренним ресурсам Минсельхоза. Подсистема работает как site-to-site VPN и/или TLS-шлюз. Компонент криптографической защиты информации обеспечивает возможность использования электронной подписи для аутентификации, а также для ведения электронного документооборота. Логическая структура ЗУД состоит из:
- VPN-шлюза;
- Компонента централизованного управления VPN-шлюзами;
- Криптопровайдера (CSP);
- Компонента двухфакторной аутентификации.
СОИБ работает в трех режимах: штатном, сервисном и аварийном. Сервисный режим обеспечивает установку и настройку средств защиты информации, входящих в состав системы, а аварийный активируется при нарушении работоспособности отдельных компонентов СОИБ. Он также запускается при нарушении функционирования поддерживающей инфраструктуры или реализации ИБ-инцидентов.
В техзадании Минсельхоза также приводится арсенал, которым вооружена СОИБ.
| Система, подсистема | Наименование СЗИ | Кол-во, шт. |
| СОИБ, Подсистема межсетевого экранирования | Континент 4. Платформа IPC3000F | 2 |
| СОИБ, Подсистема межсетевого экранирования | Континент 4. Платформа IPCR300 | 1 |
| СОИБ, Подсистема межсетевого экранирования | Континент-АП | 2 |
| СОИБ, Подсистема защищенного удаленного доступа | Аппаратная платформа NGate ЦУС 100 для СКЗИ «КриптоПро NGate» класс КС3 | 1 |
| СОИБ, Подсистема защищенного удаленного доступа | Аппаратная платформа NGate 1000 для СКЗИ «КриптоПро NGate» класс КС3 | 2 |
| СОИБ, Подсистема защищенного удаленного доступа | Лицензия на право использования СКЗИ «КриптоПро NGate» версии 1.0 для 1000 одновременных подключений | 1 |
| СОИБ, Подсистема защищенного удаленного доступа | Лицензия на право использования ПО ЦУС СКЗИ «КриптоПро NGate» для 2 узлов СКЗИ «КриптоПро NGate» | 1 |
| СОИБ, Подсистема защищенного удаленного доступа | Лицензия на право использования СКЗИ «КриптоПро CSP» версии 5.0 на одном рабочем месте | 1000 |
| СОИБ, Подсистема защищенного удаленного доступа | Лицензия на право использования ПО JaCarta Management System | 1000 |
| СОИБ, Подсистема защищенного удаленного доступа | Лицензия на право использования ПО JaCarta Management System, опция «Поддержка сервиса Aladdin 2FA» | 1000 |
КСОИБ
Помимо этого, действует и комплексная система обеспечения информационной безопасности (КСОИБ, госконтракт от 2023 года) — другая подсистема безопасности в структуре Минсельхоза. Она обеспечивает конфиденциальность, целостность и доступность в информационной системе, обнаруживает, предупреждает и ликвидирует последствия компьютерных атак. В отличие от СОИБ, КСОИБ имеет куда более широкий арсенал подсистем:
- Подсистема мониторинга событий информационной безопасности (ПМСИБ);
- Подсистема управления уязвимостями (ПУУ);
- Подсистема контроля соответствия стандартам ИБ (ПКССИБ);
- Подсистема управления инцидентами и взаимодействия с ГосСОПКА (ПУИ);
- Подсистема сбора и анализа индикаторов компрометации и киберугроз (ПСАИКК);
- Подсистема защиты веб-приложений от несанкционированного доступа (ПЗВП);
- Подсистема анализа сетевого трафика и выявления атак (ПАСТВА);
- Подсистема расширенного обнаружения и реагирования на угрозы (ПРОРУ);
- Подсистема многоуровневой защиты от вредоносного контента (ПМЗВК).
Преобладающая часть компонентов реализована в виде виртуальных машин.
КСОИБ также работает в трех режимах, при аварийном режиме запускается диагностика инцидентов ИБ или проблем, связанных со сбоями в работе комплексной системы. Она же отвечает за восстановление (при необходимости) программно-аппаратной конфигурации КСОИБ и расследование причин сбоев и отказов. В техзадании приводится перечень продуктов, задействованных в КСОИБ.
| Система/ подсистема | Наименование СЗИ | Кол-во, шт. |
| ПМСИБ | MaxPatrol Security Information and Event Management | 1 |
| ПУУ | MaxPatrol Vulnerability Management | 1 |
| ПКССИБ | Max Patrol Compliance Control | 1 |
| ПУИ | «Позитив Текнолоджиз Ведомственный центр» | 1 |
| ПСАИКК | Positive Technologies Cybersecurity Intelligence | 1 |
| ПЗВП | Positive Technologies Application Firewall | 1 |
| ПАСТВА | Positive Technologies Network Attack Discovery | 1 |
| ПРОРУ | Positive Technologies Extended Detection and Response | 1 |
| ПМЗВК | Positive Technologies Sandbox | 1 |
САРА
Также по госконтракту от 2023 года на ИТ-инфраструктуре Минсельхоза работает система автоматического распознавания атак и реагирования на действия атакующих (САРА). САРА предназначена для повышения общей эффективности защиты периметра и внутренних ресурсов, она же помогает в расследовании инцидентов в ИБ. Все компоненты реализованы в качестве виртуальных машин, развернутых на платформе виртуализации Минсельхоза.
| Наименование компонента | Кол-во, шт. |
| Компонент MaxPatrol О2 Base | 1 |
| Компонент MessageBus.RabbitMq | 1 |
| Компонент MaxPatrol SIEM Adapter | 1 |
| Компонент XDR Adapter | 1 |
| Компонент Storage | 1 |
| Компонент Web | 1 |
Как и остальные системы, САРА работает в трех режимах. При аварийном режиме она восстанавливает информацию при ее утере средствами системы резервного копирования.
SecPost ранее писал об устройстве ИБ-системы Росреестра — мы изучил открытые документы ведомства и разобрался в том, как устроена ИБ-система, а также сколько стоит ее обслуживание. Мы также рассказывлаи об устройстве ИБ-систем Соцфонда России, Федеральной таможенной службы и Федеральной налоговой службы. Мы также рассказывали, как устроена безопасность в ЕИС Росфинмониторинга.
Читайте также
