ქსელური სენსორის კონფიგურაციის წესების დამტკიცების შესახებ

ქსელური სენსორის კონფიგურაციის წესების დამტკიცების შესახებ მონაცემთა გაცვლის სააგენტოს თავმჯდომარის ბრძანება №3 2013 წლის 4 თებერვალი ქ. თბილისი ქსელური სენსორის კონფიგურაციის წესების დამტკიცების შესახებ ,,საჯარო სამართლის იურიდიული პირის - მონაცემთა გაცვლის სააგენტოს შექმნის შესახებ“ საქართველოს კანონის მე-7 მუხლის მე-2 პუნქტის ბ​1 ქვეპუნქტისა და ,,ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონის მე-11 მუხლის მე-2 პუნქტის ,,გ“ ქვეპუნქტის თანახმად, ვბრძანებ: მუხლი 1🔗 დამტკიცდეს  „ქსელური სენსორის კონფიგურაციის წესები”. მუხლი 2🔗 ეს ბრძანება ამოქმედდეს გამოქვეყნებისთანავე.მონაცემთა გაცვლის სააგენტოს თავმჯდომარეირაკლი გვენეტაძე ქსელური სენსორის კონფიგურაციის წესები მუხლი 1🔗 1. კრიტიკული ინფორმაციული სისტემის სუბიექტთან შეთანხმებით, მონაცემთა გაცვლის სააგენტო და კომპიუტერული უსაფრთხოების სპეციალისტი კრიტიკული ინფორმაციული სისტემის სუბიექტის ქსელში ახორციელებენ კომპიუტერული ინციდენტების იდენტიფიცირებისა და კვლევისათვის აუცილებელი ქსელური სენსორის (სენსორების სისტემის) კონფიგურირებასა და მართვას. 2. ქსელური სენსორი არის ქსელის უსაფრთხოების მონიტორინგისთვის განკუთვნილი სპეციალური მოწყობილობა, რომლის საშუალებითაც ხდება ისეთი ქმედებების გამოვლენა, რომლებიც მიუთითებს ინფორმაციული სისტემის წინააღმდეგ წარმოებულ შეტევაზე ან მასში შეღწევაზე. 3. ქსელურ სენსორში იგულისხმება ორგანიზაციის კომპიუტერულ სერვერზე გამართული პროგრამული  უზრუნველყოფა, რომელიც ახდენს ქსელის/ქსელის სეგმენტის მდგომარეობის და კავშირების შესახებ ინფორმაციის ჩაწერას და  უსაფრთხო კავშირის გამოყენებით ამ ინფორმაციის გადაგზავნას ცენტრალურ შემგროვებელ სერვერზე, რომელიც განთავსდება მონაცემთა გაცვლის სააგენტოში.  4. ქსელური სენსორის ძირითადი დანიშნულებაა ორგანიზაციის სამიზნე ქსელზე განხორციელებული კიბერ-შეტევების, კომპიუტერული ინციდენტების მუდმივი მონიტორინგი და მათი დროული აღმოჩენა.  5. ინფორმაცია, რომელსაც შეიცავს ქსელური სენსორის მიერ გენერირებული მონაცემები, მნიშვნელოვან დახმარებას უწევს როგორც მონაცემთა გაცვლის სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფს, ასევე ორგანიზაციის კიბერ უსაფრთხოების სპეციალისტს და სხვა ტექნიკურ პერსონალს ინციდენტის სწრაფად, დროულად და  ეფექტიანად გამოვლენაში. მუხლი 2🔗 ორგანიზაციის ინტერნეტ-ქსელის დასაცავად, ინფორმაციული უსაფრთხოების თანამედროვე პრინციპების გათვალისწინებით, შესაძლოა გამოყენებული იქნეს კომპლექსური გადაწყვეტილება, რომელიც შედგება 2 ძირითადი კომპონენტისაგან: ა) Netflow Monitoring - ქსელური ტრაფიკის პასიური მონიტორინგის საშუალება; ბ) Network Device Firewall – საბაზისო მოდული, რომლის გამართვასაც უზრუნველყოფს ქსელის ადმინისტრატორი. მუხლი 3🔗 1. ქსელის მონიტორინგის დროს ქსელური სენსორის საშუალებით შემგროვებელ სერვერზე იგზავნება შემდეგი მონაცემები: ა) შემავალი და გამავალი კავშირების მიმართულება: კონკრეტული IP მისამართები; ბ) კავშირების დამყარების და დასრულების თარიღი; გ) კავშირის დროს გამოყენებული ქსელური პროტოკოლები; დ) ტრაფიკის მოცულობა; ე) სტატისტიკური მონაცემები ნებისმიერი ჩამოთვლილი პარამეტრის მიხედვით. 2. ქსელური სენსორის სპეციალური მოდულების საშუალებით ხდება დაინფიცირებული კომპიუტერების და კიბერ-შეტევების იდენტიფიცირება ამ მუხლის პირველი პუნქტის ,,ა - ე“ ქვეპუნქტებში ჩამოთვლილ მონაცემებზე  დაყრდნობით. 3. სტანდარტული მეხუთე ვერსიის Netflow  მონაცემები შეიცავს შემდეგი სახის ინფორმაციას (საერთო 7 მახასიათებელი): ა) შემავალი ინტერფეისი - Ingress interface (SNMP ifIndex); ბ) საწყისი მისამართი - Source IP address; გ) საბოლოო მისამართი - Destination IP address; დ) IP პროტოკოლი - IP protocol; ე) UDP და TCP პროტოკოლების საწყისი პორტები, 0 სხვა პროტოკოლებისათვის - Source port for UDP or TCP, 0 for other protocols; ვ) UDP და TCP პროტოკოლების საბოლოო პორტები, ICMP ტიპი და კოდი, ან 0 სხვა პროტოკოლებისათვის - Destination port for UDP or TCP, type and code for ICMP, or 0 for other protocols; ზ) IP ინტერნეტ პროტოკოლის სერვისის ტიპი - IP Type of Service. მუხლი 4🔗 1. Netflow ქსელური სენსორის კონფიგურირება ხდება ორგანიზაციის ფიზიკურ მოწყობილობაზე (სერვერზე) დაყენებული ოპერაციული სისტემითა და პროგრამული პროდუქტებით, რომელთა მიზანია ლოკალური ინტერნეტ-ქსელში არსებული როუტერიდან Netflow ტრაფიკის გადაგზავნა მონაცემთა გაცვლის სააგენტოს ცენტრალურ შემგროვებელი სერვერზე. 2. Netflow ქსელური სენსორის კონფიგურირებისათვის ორგანიზაცია ახორციელებს: ა) სენსორისთვის განკუთვნილ მოწყობილობაზე Linux-ის ოპერაციული სისტემის ინსტალაციას; ბ) აღნიშნული ოპერაციული სისტემის დროის სინქრონიზაციას ორგანიზაციის ლოკალურ NTP (Network Time Protocol - ქსელური დროის პროტოკოლი) სერვერთან;  გ) სისტემაში პროგრამული პროდუქტების „Nfdump” და „Nfsen“ არსებული ბოლო ვერსიების ინსტალაციას. ამ პროდუქტების ფუნქციონირებისათვის საჭირო დამატებითი მოდულების (Dependency) ინსტალირებას, კონკრეტული ოპერაციული სისტემის მოთხოვნების შესაბამისად;  დ) ქსელური სენსორის ფუნქციონირებისათვის საჭირო ქსელური პარამეტრების მიმოხილვას, გაზიარებას და ცვლილების შეტყობინებას მონაცემთა გაცვლის სააგენტოს CERT ჯგუფთან: დ.ა) ორგანიზაციის როუტერის/როუტერების IP მისამართები; დ.ბ) CERT ჯგუფის ცენტრალური შემგროვებელი სერვერის IP მისამართი. ე) „Nfdump“, „Nfsen“ პროგრამული პროდუქტების ავტომატური გაშვების ფუნქციის უზრუნველყოფა, რათა მოხდეს სენსორის მუშაობის გაგრძელება სისტემის გადატვირთვის, შემთხვევითი გათიშვის ან რაიმე გაუმართაობის შემდეგ.  მუხლი 5🔗 ორგანიზაციის სერვერი ან ვირტუალური მანქანა უნდა აკმაყოფილებდეს შემდეგ ტექნიკური მახასიათებლებს:  ა) პროცესორი (CPU): 4; ბ) მყარი დისკი (Hard Disk): 40 GB; გ) ოპერატიული მეხსიერება: 2048MB.  მუხლი 6🔗 მოცემულ ბრძანებაში აღწერილი  Netflow მონიტორინგი ორგანიზაციის ქსელური ტრაფიკის პასიური მონიტორინგის საშუალებას წარმოადგენს. Netflow მონაცემები არ შეიცავს სრულ ინფორმაციას ქსელის ტრაფიკის შესახებ, მაგალითად, დამუშავებულ და გადაგზავნილ მონაცემებში არ ხვდება ისეთი ინფორმაცია, როგორიცაა ორგანიზაციის მომხმარებლების კონკრეტული საქმიანობის, მოქმედების, ფაილების და გადაგზავნილი დოკუმენტების შესახებ. ამ ტიპის სენსორის მიერ არ ხდება ტრაფიკის „სრული“  მონიტორინგი.