„ქსელური სენსორის კონფიგურაციის წესების დამტკიცების შესახებ“ მონაცემთა გაცვლის სააგენტოს თავმჯდომარის 2013 წლის 4 თებერვლის N3 ბრძანებაში ცვლილების შეტანის თაობაზე

    „მუხლი 1.  ზოგადი დებულებები“;

„1. კრიტიკული ინფორმაციული სისტემის სუბიექტთან (შემდგომში – სუბიექტი) შეთანხმებით, მონაცემთა გაცვლის სააგენტო და კომპიუტერული უსაფრთხოების სპეციალისტი კრიტიკული ინფორმაციული სისტემის სუბიექტის ქსელში ახორციელებენ კომპიუტერული ინციდენტების იდენტიფიცირებისა და კვლევისათვის აუცილებელი ქსელური სენსორის (სენსორების სისტემის) კონფიგურირებასა და მართვას.“;

„3. სუბიექტი უფლებამოსილია, შეარჩიოს მასთან განთავსებული ქსელური სენსორის მომსახურების სახე, კერძოდ, ქსელის ზედაპირული მონიტორინგი ან ქსელის პაკეტების ღრმა ანალიზის მონიტორინგი.“.

„მუხლი 3.  ქსელის ზედაპირული მონიტორინგი“

„1. ქსელის ზედაპირული მონიტორინგის დროს ქსელური მოწყობილობების საშუალებით შემგროვებელ სერვერზე იგზავნება შემდეგი მონაცემები:

ა) შემავალი და გამავალი კავშირების მიმართულება: კონკრეტული IP მისამართები;

ბ) კავშირების დამყარების და დასრულების თარიღი;

გ) კავშირის დროს გამოყენებული ქსელური პროტოკოლები;

დ) ტრაფიკის მოცულობა;

ე) სტატისტიკური მონაცემები ნებისმიერი ჩამოთვლილი პარამეტრის მიხედვით.

2. შემგროვებელი სერვერი, რომელიც განთავსებულია მონაცემთა გაცვლის სააგენტოში, ამ მუხლის პირველი პუნქტის ,,ა - ე“ ქვეპუნქტებში ჩამოთვლილ მონაცემებზე  დაყრდნობით ახდენს მონაცემთა ანალიზს სპეციალური მოდულების გამოყენებით და ახორციელებს დაინფიცირებული კომპიუტერებისა და კიბერ-შეტევების იდენტიფიცირებას.

3. ორგანიზაციიდან გამოგზავნილი Netflow  მონაცემები (მეხუთე ვერსია) შეიცავს შემდეგი სახის ინფორმაციას (საერთო 5 მახასიათებელი):

ა) საწყისი მისამართი - Source IP address;

ბ)  საბოლოო მისამართი - Destination IP address;

გ)  IP პროტოკოლი - IP protocol;

დ)  პროტოკოლების საწყისი პორტები;

ე)  პროტოკოლების საბოლოო პორტები.

4. ორგანიზაციიდან Netflow-ს მონაცემების გამოგზავნა მონაცემთა გაცვლის შემგროვებელ სერვერზე ხორციელდება დაცული არხის საშუალებით.

5. Netflow მონიტორინგი წარმოადგენს ორგანიზაციის ქსელური ტრაფიკის პასიური მონიტორინგის საშუალებას, კერძოდ, არ ხორციელდება ქსელის ტრაფიკის შესახებ სრული ინფორმაციის შეგროვება და დამუშავება, როგორიცაა ინფორმაციის ორგანიზაციის მომხმარებლების კონკრეტული საქმიანობის, მოქმედების, ფაილების და გადაგზავნილი დოკუმენტების შესახებ.“.

„მუხლი 4. ქსელის მონიტორინგის პაკეტების ღრმა ანალიზი

1. შემგროვებელი სერვერის კონფიგურირება ხდება მონაცემთა გაცვლის სააგენტოს ან სუბიექტის ფიზიკურ მოწყობილობაზე (სერვერზე) დაყენებული ოპერაციული სისტემისა და პროგრამული პროდუქტების მეშვეობით, რომელთა მიზანია ორგანიზაციის ლოკალურ ქსელში არსებული ქსელური მოწყობილობიდან ქსელური ტრაფიკის მიღება და გაანალიზება.

2. შემგროვებელი სერვერი  განთავსებულია სუბიექტის ინფრასტრუქტურაში.

3. შემგროვებელი სერვერის კონფიგურირებისათვის მონაცემთა გაცვლის სააგენტო ახორციელებს:

ა) სენსორისთვის განკუთვნილ მოწყობილობაზე ოპერაციული სისტემის „Alienvault OSSIM“-ის ბოლო ვერსიის ინსტალაციას;

ბ) სისტემაში პროგრამული პროდუქტის „Snort IDS“ ბოლო ვერსიის ინსტალაციას;

გ) სისტემაში Snort წესების ავტომატური ინტეგრაციის მიზნით პროგრამის „Barnyard“ის ან სხვა მწარმოებლის მიერ შექმნილი წესების ინტეგრაციას სუბიექტთან შეთანხმებით.

4. ქსელის მონიტორინგის დროს ქსელური მოწყობილობებიდან შემგროვებელ სერვერზე იგზავნება შემდეგი მონაცემები:

ა) შემავალი და გამავალი კავშირების მიმართულება, კონკრეტული IP მისამართები;

ბ) კავშირების დამყარების და დასრულების თარიღი;

გ) კავშირის დროს გამოყენებული ქსელური პროტოკოლები;

დ) ტრაფიკის მოცულობა;

ე) ქსელური პაკეტების შიგთავსი;

ვ) სტატისტიკური მონაცემები ნებისმიერი ჩამოთვლილი პარამეტრის მიხედვით.

5. Snort ახორციელებს ქსელის მონიტორინგის დროს ქსელური მოწყობილობებიდან შემგროვებელ სერვერზე გადაგზავნილი მონაცემების გაფილტვრას ამ მუხლის მე-4 პუნქტის „ა“ – „ვ“ ქვეპუნქტებში ჩამოთვლილ მონაცემებზე  დაყრდნობით, წინასწარ დადგენილი წესების მიხედვით, და ინახავს მიღებულ შედეგს.“.

„მუხლი 5. ინფორმაციაზე წვდომა და კონფიდენციალობის დაცვა

1. სუბიექტს, შემგროვებელ სერვერთან ერთად, გადაეცემა სერვერზე დაყენებული ოპერაციული სისტემის და აპლიკაციის ადმინისტრატორისა და მომხმარებლის პაროლები. სერვერის ადმინისტრირებას ახორციელებს სუბიექტის კიბერუსაფრთხოებაზე პასუხისმგებელი პირი ან პირები.

2. მონაცემთა გაცვლის სააგენტოს არ გააჩნია წვდომა ქსელის მონიტორინგის პაკეტების ღრმა ანალიზის საშუალებებზე. მონაცემთა გაცვლის სააგენტოს, სუბიექტთან შეთანხმებით, აქვს უფლება:

ა) მონიტორინგის მოწყობილობით შეუზღუდავად მიიღოს ამ წესების მე–4 მუხლის მე–5 პუნქტის შესაბამისად დამუშავებული ინფორმაცია;

ბ) შეუფერხებლად მიიღოს სისტემის კონფიგურაციის შესახებ სრული ინფორმაცია;

გ) მოითხოვოს სისტემის კონფიგურაციის ცვლილება ან/და განახლება.

3. სუბიექტი ვალდებულია, დაუყოვნებლივ აცნობოს მის მიერ დაგეგმილი ან გადაუდებელი პირობებით გამოწვეული ნებისმიერი ცვლილება ქსელის მონიტორინგის პაკეტების ღრმა ანალიზის ინფრასტრუქტურაში.

4. სუბიექტი უფლებამოსილია, მოითხოვოს მონაცემთა გაცვლის სააგენტოსა და სუბიექტს შორის ინფორმაციის გაუხმაურებლობის შესახებ ხელშეკრულების გაფორმება.“.