Системы управления безопасностью
Система управления информационной безопасностью предназначена для централизованного мониторинга состояния средств защиты информации и событий безопасности корпоративной информационной системы.
Информационные системы современных компаний состоят из большого числа продуктов и технологий. Разнообразие производителей, версий, интерфейсов ведет к значительному усложнению процессов контроля работы системы. Ежедневно каждое из устройств информационный системы может генерировать тысячи сообщений аудита, а полный объём журналов всех компонент достигает гигабайт информации. Большая часть таких сообщений отражает процессы нормального функционирования системы, но среди них есть и данные о попытках несанкционированных действий. Для надёжной защиты информационных ресурсов необходимы средства выделения действительно важных данный из всего множества зарегистрированных событий. В такой ситуации ручной просмотр и анализ этих данных просто не может быть эффективным, и, к тому же, сопряжён с существенными затратами времени сетевых и системных администраторов. В связи с чем, для повышения эффективности мониторинга состояния информационной системы и защищённости её ресурсов необходима автоматизация процессов сбора, обработки и анализа информации о зарегистрированных событиях.
Помимо проблем, связанных с анализом большого объёма данных, существует необходимость организации единого центра сбора и обработки информации, который мог бы обеспечить централизованный контроль всех подсистем и компонент информационной системы. При отсутствии такого центра совместный анализ и корреляция данных от продуктов различных производителей существенно затруднён.
Решения, предлагаемые ЗАО «ДИТ», позволяют создать единую точку сбора и обработки событий, генерируемых всеми компонентами корпоративной информационной системы - системные сервисы, сетевое и телекоммуникационное оборудование, прикладные системы, средства защиты информации и др.
Цели и назначение системы управления информационной безопасностью:
- Обеспечение централизованного сбора, обработки и анализа информации аудита от всех компонент информационной системы;
- Мониторинг состояния информационной системы в режиме реального времени;
- Ведение централизованного архива событий;
- Обеспечение автоматической обработки и фильтрации поступающей информации с последующим принятием решения о дальнейших действий;
- Предоставление отчётов и описаний зарегистрированных событий.
Обработка информации при помощи систем «КОНТРОЛЬ» происходит поэтапно и включает в себя следующие стадии:
- Сбор информации от компонент АС;
- Нормализация (приведение к единому формату) получаемых данных;
- Обработка, анализ и корреляция зарегистрированных событий;
- Представление обработанной информации администратору в виде отчётов, диаграмм и т.п.
Для увеличения эффективности функционирования и повышения качества результатов от внедрения предлагаемого ЗАО «ДИТ» решения следует провести ряд предварительных мероприятий.
Предварительное обследование информационной системы проводится специалистами ЗАО «ДИТ» совместно со специалистами Заказчика и направлено на анализ потоков циркулирующей информации и определение назначения и настроек используемых устройств и подсистем. После обследования осуществляется выбор продукта, максимально отвечающего структуре информационной системы и определяется схема его внедрения. Для повышения эффективности обработки поступающих данных возможна разработка дополнительных правил анализа информации, специфических для информационной системы Заказчика.
В состав решения входят следующие компоненты:
- Агенты сбора информации. Агенты системы «КОНТРОЛЬ» осуществляют сбор и предварительную обработку информации от различных устройств информационной системы в режиме реального времени и передают данные обработчику событий. Источниками информации могут практически любые компоненты ИС (межсетевые экраны, операционные системы и т.д.), которые фиксируют журналы аудита или выдают сообщения. Кроме того, агент не обязательно должен быть установлен на контролируемом устройстве - сбор информации может проводится различными способами, в том числе и по локальной сети.
- Подсистема обработки данных и принятия решений. Подсистема обработки данных и принятия решений получает информацию от агентов, осуществляет её обработку, анализ, корреляцию событий и по результатам работы принимает решение о дальнейших действиях, таких как занесение в базу данных, извещение должностных лиц, создание отчётов и т.д.
- Центральная база данных. В централизованной базе данных хранятся все зарегистрированные события. На основе этой информации создаются отчёты и осуществляется мониторинг состояния информационной системы за любой период времени.
- Консоль управления и просмотра результатов. Консоль управления и просмотра результатов является рабочим местом администратора информационной системы и позволяет в режиме реального времени отслеживать текущую активность в сети и оценивать текущий уровень защищённости различных ресурсов. Консоль управления позволяет создавать различного вида отчёты и запросы на основе зарегистрированных данных за любой период и управлять работой системы «КОНТРОЛЬ».
Внедрение системы направлено на повышение эффективности контроля за работой компонентов корпоративной информационной системы. Основные результаты внедрения решения:
- Организация единого центра сбора и обработки информации;
- Приведение различных данных аудита к единому формату и централизованное ведение архива зарегистрированных событий;
- Разделение уровней обработки информации;
- Мониторинг состояния информационной системы в режиме реального времени;
- Автоматическая обработка и анализ поступающей информации и принятие решений о дальнейших действиях;
- Обеспечение максимально эффективного функционирования всех компонент информационной системы;
- Увеличение степени контроля информационной системы и снижение совокупной стоимости обслуживания;
- Масштабируемость системы мониторинга состояния ресурсов.
При внедрении системы управления событиями информационной безопасности компании «ДИТ», используются программные и программно-аппаратные продукты ведущих мировых производителей - Cisco Systems, NetForensics.
Реализованные проекты:
Управления информатизации города Москвы (ОАО «Электронная Москва»), разработка и реализация Центра мониторинга событий информационной безопасности в информационных системах и ресурсах города Москвы.