Системы управления безопасностью

Система управления информационной безопасностью  предназначена для централизованного мониторинга состояния средств защиты информации и событий безопасности корпоративной информационной системы.

 

Информационные системы современных компаний состоят из большого числа продуктов и технологий. Разнообразие производителей, версий, интерфейсов ведет к значительному усложнению процессов контроля работы системы. Ежедневно каждое из устройств информационный системы может генерировать тысячи сообщений аудита, а полный объём журналов всех компонент достигает гигабайт информации. Большая часть таких сообщений отражает процессы нормального функционирования системы, но среди них есть и данные о попытках несанкционированных действий. Для надёжной защиты информационных ресурсов необходимы средства выделения действительно важных данный из всего множества зарегистрированных событий. В такой ситуации ручной просмотр и анализ этих данных просто не может быть эффективным, и, к тому же, сопряжён с существенными затратами времени сетевых и системных администраторов. В связи с чем, для повышения эффективности мониторинга состояния информационной системы и защищённости её ресурсов необходима автоматизация процессов сбора, обработки и анализа информации о зарегистрированных событиях.

 

Помимо проблем, связанных с анализом большого объёма данных, существует необходимость организации единого центра сбора и обработки информации, который мог бы обеспечить централизованный контроль всех подсистем и компонент информационной системы. При отсутствии такого центра совместный анализ и корреляция данных от продуктов различных производителей существенно затруднён.

 

Решения, предлагаемые ЗАО «ДИТ», позволяют создать единую точку сбора и обработки событий, генерируемых всеми компонентами корпоративной информационной системы - системные сервисы, сетевое и телекоммуникационное оборудование, прикладные системы, средства защиты информации и др.

 

Цели и назначение системы управления информационной безопасностью:

  •  Обеспечение централизованного сбора, обработки и анализа информации аудита от всех компонент информационной системы;
  •  Мониторинг состояния информационной системы в режиме реального времени;
  •  Ведение централизованного архива событий;
  •  Обеспечение автоматической обработки и фильтрации поступающей информации с последующим принятием решения о дальнейших действий;
  •  Предоставление отчётов и описаний зарегистрированных событий.

Обработка информации при помощи систем «КОНТРОЛЬ» происходит поэтапно и включает в себя следующие стадии:

  • Сбор информации от компонент АС;
  • Нормализация (приведение к единому формату) получаемых данных;
  • Обработка, анализ и корреляция зарегистрированных событий;
  • Представление обработанной информации администратору в виде отчётов, диаграмм и т.п.

 

Для увеличения эффективности функционирования и повышения качества результатов от внедрения предлагаемого ЗАО «ДИТ» решения следует провести ряд предварительных мероприятий.

Предварительное обследование информационной системы проводится специалистами ЗАО «ДИТ» совместно со специалистами Заказчика и направлено на анализ потоков циркулирующей информации и определение назначения и настроек используемых устройств и подсистем. После обследования осуществляется выбор продукта, максимально отвечающего структуре информационной системы и определяется схема его внедрения. Для повышения эффективности обработки поступающих данных возможна разработка дополнительных правил анализа информации, специфических для информационной системы Заказчика.

 

В состав решения входят следующие компоненты:

  • Агенты сбора информации. Агенты системы «КОНТРОЛЬ» осуществляют сбор и предварительную обработку информации от различных устройств информационной системы в режиме реального времени и передают данные обработчику событий. Источниками информации могут практически любые компоненты ИС (межсетевые экраны, операционные системы и т.д.), которые фиксируют журналы аудита или выдают сообщения. Кроме того, агент не обязательно должен быть установлен на контролируемом устройстве - сбор информации может проводится различными способами, в том числе и по локальной сети.
  • Подсистема обработки данных и принятия решений. Подсистема обработки данных и принятия решений получает информацию от агентов, осуществляет её обработку, анализ, корреляцию событий и по результатам работы принимает решение о дальнейших действиях, таких как занесение в базу данных, извещение должностных лиц, создание отчётов и т.д.
  • Центральная база данных. В централизованной базе данных хранятся все зарегистрированные события. На основе этой информации создаются отчёты и осуществляется мониторинг состояния информационной системы за любой период времени.
  • Консоль управления и просмотра результатов. Консоль управления и просмотра результатов является рабочим местом администратора информационной системы и позволяет в режиме реального времени отслеживать текущую активность в сети и оценивать текущий уровень защищённости различных ресурсов. Консоль управления позволяет создавать различного вида отчёты и запросы на основе зарегистрированных данных за любой период и управлять работой системы «КОНТРОЛЬ».

Внедрение системы направлено на повышение эффективности контроля за работой компонентов корпоративной информационной системы. Основные результаты внедрения решения:

  • Организация единого центра сбора и обработки информации;
  • Приведение различных данных аудита к единому формату и централизованное ведение архива зарегистрированных событий;
  • Разделение уровней обработки информации;
  • Мониторинг состояния информационной системы в режиме реального времени;
  • Автоматическая обработка и анализ поступающей информации и принятие решений о дальнейших действиях;
  • Обеспечение максимально эффективного функционирования всех компонент информационной системы;
  • Увеличение степени контроля информационной системы и снижение совокупной стоимости обслуживания;
  • Масштабируемость системы мониторинга состояния ресурсов.

При внедрении системы управления событиями информационной безопасности компании «ДИТ», используются программные и программно-аппаратные продукты ведущих мировых производителей - Cisco Systems, NetForensics.

 

Реализованные проекты:

Управления информатизации города Москвы (ОАО «Электронная Москва»), разработка и реализация Центра мониторинга событий информационной безопасности в информационных системах и ресурсах города Москвы.