Компания «Инфосистемы Джет» - партнер московской конференции Cisco Expo-2008
🕛 27.10.2008, 20:35
В презентации компании «Инфосистемы Джет» представлен процессно-ролевой подход к построению Центров оперативного управления ИБ (Security Operation Center - SOC), дано описание архитектуры SOC, рассмотрен пример его построения на базе продуктов CS-MARS компании Cisco Systems и MAXPATROL компании Positive Technologies, а также освещены практические вопросы внедрения SOC в различных организациях. В рамках доклада руководитель направления SOC компании «Инфосистемы Джет» поделится опытом проведения подобных проектов.В течение последних нескольких лет компания «Инфосистемы Джет» принимает участие в ряде проектов ОАО «УРСА Банк», направленных на обеспечение ИБ информационно-вычислительного комплекса (ИВК) Банка.
Одним из результатов комплекса проектов, проводимых Банком, должна быть автоматизация процессов, направленных на защиту информации от несанкционированного доступа, и обеспечение целостности информационных ресурсов Банка за счет комбинирования встроенных механизмов защиты информации с дополнительными программно-техническими средствами защиты информации (СЗИ), а также реализация организационных мероприятий по защите информации, в соответствии с требованиями Стандарта Банка России СТО БР ИББС-1.0-2006; Payment Card Industry Data Security Standard (PCI DSS).
В рамках данных работ, проводимых специалистами компании «Инфосистемы Джет» были внедрены подсистемы защиты внешнего периметра, разграничения доступа, анализа сетевого трафика и мониторинга событий информационной безопасности. Все подсистемы реализованы на базе продуктов компании Cisco Systems: программно-аппаратных комплексов Cisco PIX; модулей сетевого анализа Cisco NAM-2 и обнаружения вторжений Cisco IDSM-2; модулей межсетевого экранирования Cisco FWSM; программно-аппаратного комплекса CS-MARS. Результатом выполнения данных работ стали: защита ресурсов ИВК Банка на сетевом уровне, решение задач разграничения доступа пользователей к критичным ресурсам ИВК Банка, реализация системы мониторинга сетевого трафика, сбор и анализ событий, поступающих от средств защиты.
После реализации проектов по обеспечению ИБ, как правило, остаются нерешенные вопросы: насколько можно быть уверенным, что внедренные средства защиты действительно защищают от имеющихся угроз, и как эффективно использовать весь объем информации, собранной средствами защиты? Для выполнения требований стандартов СТО БР ИББС-1.0-2006 и PCI DSS очень важно не просто осуществлять сбор событий ИБ, а разрешать инциденты ИБ. Поэтому следующим закономерным шагом после внедрения подсистем обеспечения ИБ и мониторинга событий ИБ будет построение SOC.
Основной задачей SOC является мониторинг состояния ИБ организации, своевременное обнаружение инцидентов ИБ, эффективное реагирование на них, анализ событий ИБ и эффективности используемых мер защиты с целью предотвращения появления новых инцидентов ИБ.
На практике SOC реализуется с помощью тесно взаимосвязанных друг с другом систем:
- система управления событиями ИБ;
- система управления инцидентами ИБ;
- система управления уязвимостями и контроля соответствия.
«Создание SOC становится все более востребованной задачей на российском рынке. Стало понятно, что просто поставить «железку» и собрать кучу логов воедино, не значит решить задачу. Необходимо выстроить процесс управления событиями и инцидентами ИБ, что составляет существенную часть работ при внедрении SOC. К тому же вопросы управления инцидентами ИБ, так или иначе присутствуют в каждом нормативно-правовом документе по обеспечению ИБ. Процесс управления инцидентами ИБ является одним из наиболее сложных процессов управления ИБ, так как затрагивает различные подразделения в организации, а не только ИТ и ИБ, подразумевает интеграцию с процессом управления ИТ-инцидентами и проблемами, внедренного в рамках ITSM. Поэтому целесообразно привлекать для таких работ системных интеграторов, обладающих необходимым опытом и ресурсами», - комментирует Мария Датриева, руководитель направления SOC компании «Инфосистемы Джет».