Комплексные системы управления информационной безопасностью
Управление информационной безопасностью — циклический процесс, который включает в себя сбор и анализ данных о состоянии информационной безопасности в организации; оценку информационных рисков; планирование мер по обработке рисков; реализацию и внедрение соответствующих механизмов контроля, распределение ролей и ответственности, оперативную работу по осуществлению защитных мероприятий; мониторинг функционирования механизмов контроля, оценку их эффективности и соответствующую отладку и корректировку.
В техническом плане управление информационной безопасностью можно разделить на использование локальных подсистем мониторинга и управления отдельными средствами защиты информации и создание комплексных систем мониторинга и управления ИБ.
В качестве ключевых систем комплексного мониторинга и управления ИБ имеет смысл выделить следующие:
- подсистема централизованного мониторинга событий и расследования инцидентов ИБ (SIEM);
- подсистема контроля защищенности и выявления уязвимостей ИТ-инфраструктуры и приложений;
- подсистема контроля информационных потоков и противодействия утечкам защищаемой информации (DLP);
- подсистема централизованного управления обновлениями программного обеспечения.
Задачи
Мониторинг событий и расследование инцидентов ИБ является одной из ключевых задач комплексной системы обеспечения ИБ в компании. Необходимость данной системы обусловлена как лучшими современными практиками ИБ, так и требованиями ФСТЭК. В ходе практической эксплуатации компоненты ИТ-инфраструктуры, различные компоненты ИБ, прикладные системы генерируют значительный поток событий ИБ. Нередко подобные события могут содержать в себе признаки инцидентов ИБ.Для работы с событиями используют SIEM-системы, которые решают следующие задачи:
- централизованный сбор и консолидация, хранение событий ИБ;
- агрегация событий ИБ;
- корреляция и обнаружение инцидентов ИБ в режиме реального времени;
- приоритезация инцидентов на базе матрицы критичности ресурсов;
- визуализация в различных режимах функционирования;
- эффективное расследование инцидентов и определение основных причин нарушения политики безопасности;
- ретроспективный анализ событий ИБ;
- информирование операторов и взаимодействие с исполнительными механизмами реагирования.
Сценарии использования
Для анализа защищенности и выявления уязвимостей в ИТ-инфраструктуре и системном программном обеспечении используются специализированные сканеры, которые в автоматическом режиме выявляют уязвимости/ошибки в конфигурации, избыточность открытых портов и протоколов, несоответствие настроек корпоративным политикам ИБ. Сканеры могут работать в режиме pentest audit. Уязвимости кода прикладных информационных систем в настоящее время являются одним из факторов успешных атак на информационные системы. Учитывая, что современные атаки носят целенаправленный (таргетированный) характер, вопрос минимизации количества уязвимостей прикладного ПО выходит на первое место. Для анализа исходного года используется специальные средства, которые функционируют на основе баз уязвимостей, характерных для определенных языков программирования. Своевременное выявление уязвимостей и их закрытие доработкой кода или на уровне web application firewall позволяет снизить риск таргетированных атак. Контроль информационных потоков в интрасети компании/организации является одной из важных задач, позволяющих выявить аномальную активность на различных уровнях сетевой модели OSI. Для выявления такой активности используются специализированные средства, которые осуществляют анализ поведенческой активности узлов информационной сети, что позволяет с использованием шаблонов выявлять подозрительные участки. Для анализа информационного обмена на прикладном уровне используются системы DLP-класса (системы противодействия утечкам данных). Данные системы контролируют обычно следующие ключевые каналы распространения информации: WEB-канал, электронная почта, внешние носители пользовательских АРМ и корпоративные файловые хранилища. Настроенная эталонная модель допустимых информационных потоков в привязке к пользователям и информационным объекта позволяет выявлять аномальное поведение, что в совокупности с последующим расследованием позволяет пресекать недопустимую деятельность в компании. Контроль конфигураций и обновлений системного программного обеспечения являются важными составляющими процесса управления ИБ в организации. Средства контроля конфигураций предназначены для выявления несанкционированных изменений конфигурации различных сетевых узлов по сравнению с зафиксированной эталонной конфигурацией. Данные средства позволяют выявлять следы недопустимой деятельности вредоносного ПО или администраторов, которые не были устранены на более ранних этапах. Средства управления обновлениями ПО предназначены для когерентного управления установкой патчей, политик, обновлений системного ПО на различных узлах информационной сети.Ключевые результаты внедрения решения
- Прозрачная автоматизированная система выявления недостатков конфигураций и уязвимостей ИТ-инфраструктуры.
- Автоматизированная система выявления уязвимостей прикладного программного обеспечения.
- Инструменты оперативного выявления, реагирования и расследования инцидентов информационной безопасности.
- Средства выявления сетевых аномалий в интрасети компании/организации.
- Средства контроля утечек защищаемой информации по различным каналам в компании/организации.