Устройство ситуационного центра управления безопасностью
Информационная безопасность Информационная безопасность

Мозгом любого ситуационного центра является ИАС, позволяющая управлять информационно-технической безопасностью

Главная>Информационная безопасность>Информационно-аналитические системы, или Чем думает центр управления безопасностью
Информационная безопасность Тема номера

Информационно-аналитические системы, или Чем думает центр управления безопасностью

Дата публикации:
30.01.2017
Посетителей:
464
Просмотров:
477
Время просмотра:
2.3

Авторы

Автор
Светлана Яковлева В прошлом - эксперт Департамента бизнес-анализа и функционального проектирования компании "Инфосистемы Джет"
Компании топливно-энергетического комплекса (ТЭК) обязаны не только обеспечивать антитеррористическую защиту своих объектов, но и принимать комплекс мер по защите информации. Актуальность вопроса обусловлена геополитической и экономической ситуацией, кроме того, создание систем защиты информации на предприятиях ТЭК предписывается законом № 256-ФЗ от 21.07.2011 «О безопасности объектов топливно-энергетического комплекса».

 

Центр управления безопасностью – на повестке дня

 

Создание единого решения по управлению информационной и физической безопасностью стало целью одного из проектов, который наша компания выполнила для крупной территориально распределенной корпорации с большим количеством дочерних обществ. Основные проблемы, которые предстояло решить, заключались в том, что процессы сбора и обработки информации о состоянии информационной безопасности (ИБ) и инженерно-технической защиты (ИТЗ) всей компании, а также формирования регламентных отчетов требовали больших объемов ручного труда. Дело в том, что в крупных организациях информация о состоянии объектов и активов зачастую носит неструктурированный характер и хранится в разных системах. При этом паспорта объектов ИТЗ и активов детализированы недостаточно для проведения анализа их инженерно-технической и информационной защищенности. Поэтому значительная часть рабочего времени сотрудников уходит не на аналитическую и оперативную деятельность, а на организацию хранения файлов, ручной перенос данных из различных источников в типовые шаблоны отчетов, верстку документов, набор и перенос текстов. Для эффективной аналитической работы с информацией у специалистов просто не остается времени! При таком положении дел едва ли можно говорить о раннем, упреждающем выявлении угроз, а тем более о контроле мероприятий по обеспечению ИБ и ИТЗ в дочерних компаниях. Системный анализ поступающей информации, особенно в долгосрочной перспективе, тоже невозможен. В рамках стартовавшего проекта нам предстояло найти оптимальное решение этих проблем.

Как показывает практика, в подобных случаях внедрение одних лишь систем класса SIEM и PSIM (управления событиями информационной и физической безопасности) не приносит желаемого эффекта. Для принятия решения требуется большое количество систем разного типа, в том числе смежных, таких как системы мультимедийного отображения информации, телефонной и видеоконференц-связи. И, конечно, для сбора и анализа событий необходимы вычислительные мощности. В результате данного проекта был создан ситуационный центр по управлению информационно-технической безопасностью, решающий множество задач.

 

Рис. 1 Комплекс систем центра управления информационно-технической безопасностью


 

«Мозг» ситуационного центра

 

В основе построенного ситуационного центра лежит информационно-аналитическая система (ИАС) – это его «мозг». Она состоит из нескольких блоков и модулей (рис. 2). Рассмотрим их подробнее.

 

Рис. 2. Информационно-аналитическая система ситуационного центра

 

Блок информационного обмена: его основная задача – непрерывный сбор данных о событиях, способных повлиять на защищенность объектов компании. Этот блок представлен тремя модулями.

 

Модуль интеграции. ИАС ситуационного центра работает с разнообразной информацией, поступающей из множества информационных систем, внутренних и внешних. Информация о событиях ИБ и ИТЗ поступает из систем класса SIEM (система управления информацией о безопасности и событиях безопасности) и PSIM (система управления информацией о физической защите и безопасности). Данный модуль отвечает за то, чтобы различные системы «понимали» друг друга и могли полноценно взаимодействовать.

 

Модуль загрузки данных. Его задача– регулярный сбор данных из внешних источников, их предварительная подготовка и передача в блок учета.

 

Модуль сбора видеоинформации. С его помощью можно получать и сохранять информацию с камер системы охранного телевидения. Кроме того, он позволяет управлять поворотными камерами.

 

Блок учета является ключевым в ИАС. Его задача – управление жизненным циклом инцидентов ИБ и ИТЗ и мероприятиями по устранению их причин и последствий. Этот блок также состоит из нескольких модулей.

 

Модуль учета инцидентов позволяет определить степень критичности инцидентов и выбрать меры реагирования. Это делается с помощью заложенных в модуле алгоритмов классификации и приоритизации инцидентов, корреляции событий, получаемых в том числе из дочерних обществ. Процедуры оперативного реагирования на инциденты запускаются в соответствии с настроенным правилами. Модуль также оценивает достаточность мер, принятых для ликвидации причин и последствий инцидентов. События и инциденты, обнаруженные в дочерних компаниях организации, обычно устраняются силами сотрудников на местах. Наиболее критичные и масштабные инциденты анализируются дежурной сменой центрального аппарата, по итогам назначаются необходимые мероприятия и ответственные лица.

 

Модуль нормативно-справочного сопровождения отвечает за создание и изменение справочников, используемых в системе, и помимо этого, за ведение базы знаний, учет объектов и активов компании. База знаний – очень важный компонент информационно-аналитической системы. В числе прочего она позволяет сохранять сведения об угрозах и уязвимостях активов и объектов компании. С ее помощью выполняется настройка правил обработки событий, получаемых из SIEM, и формируется матрица критичности инцидентов ИБ. База знаний также содержит правила описания мероприятий по обеспечению ИБ и ИТЗ, информацию об ответственных лицах, шаблоны оповещения по SMS и e-mail. Наконец, в ней содержатся настройки для диагностики оснащенности объектов, позволяющие проводить анализ их защищенности.

 

Модуль учета объектов и активов спроектирован для ведения в ИАС всей информации, включая паспорта объектов, а также вывода ее на печать по утвержденной форме.

 

Модуль ведения планов и поручений позволяет назначать и контролировать ход исполнения как отдельных поручений, так и планов мероприятий по обеспечению ИБ и ИТЗ.

 

Модуль хранения данных позволяет хранить как структурированные, так и неструктурированные данные. При этом в нем реализованы функции контекстного поиска данных по всей системе.

 

Блок анализа информации – компонент ИАС, помогающий ответственным лицам принимать управленческие решения. В этом модуле формируются аналитические отчеты и строятся прогнозы развития ситуации как по конкретному событию, так и в целом по компании.

 

Модуль статистической отчетности и прогнозирования позволяет рассчитать показатели эффективности и результативности процессов обеспечения ИБ и ИТЗ. Благодаря заложенным в нем математическим алгоритмам он выполняет статистическую обработку поступающих данных, анализ временных рядов по основным показателям, расчет корреляций между показателями и составление прогнозов их динамики.

 

Модуль моделирования инцидентов ИБ служит для организации в рамках системы отдельной зоны симуляции – «песочницы». Ее можно использовать для настройки новых правил корреляции и их испытания, после чего правила переносятся в продуктивную среду.

 

Модуль поддержки принятия решений содержит алгоритмы, непосредственно помогающие ответственным сотрудникам компании принимать как стратегические, так и оперативные решения. Для принятия решений на стратегическом уровне используется в том числе система метрик и показателей (KPI). Система метрик представляет собой многоуровневую структуру, охватывающую всю деятельность компании в части управления ИБ и ИТЗ (рис. 3). В любой момент времени руководитель может оценить уровень обеспечения ИБ и ИТЗ в различных разрезах, в том числе по дочерним компаниям. Модуль позволяет выявлять узкие/критичные места и концентрироваться на их первоочередном устранении.

 

На оперативном уровне управления инцидентами поддержка принятия решений осуществляется на этапе подбора плана мероприятий по их устранению.

 

Рис. 3. Система метрик и показателей

Блок визуализации дает возможность отображать показатели оперативной обстановки в удобной наглядной форме. Одна из форм визуализации представлена геоинформационной системой, которая позволяет отображать события ИБ и ИТЗ на интерактивной карте.

 

Блок управления включает в себя модуль автоматизации бизнес-процессов. С его помощью можно настраивать ключевые параметры управления ИАС, в том числе типовые параметры инцидентов, отображаемых на видеостене, шаблоны оповещения, списки рассылок и пр.

 

Итоги проекта

 

В результате построения ситуационного центра было создано единое решение по управлению информационно-технической безопасностью для территориально распределенной компании. Сведя к минимуму необходимый объем ручного труда, ситуационный центр позволяет проводить комплексную оценку состояния ИБ и ИТЗ объектов топливно-энергетической компании. Результаты оценки предоставляются ответственным должностным лицам в форме, удобной для восприятия и упрощающей принятие обоснованных решений по устранению и профилактике инцидентов. Упростился и стал более полным контроль исполнения оперативных мер обеспечения ИБ и ИТЗ. К этому стоит добавить, что решение полностью отвечает требованиям закона № 256-ФЗ, руководящих документов ФСТЭК России, что делает его востребованным со стороны крупнейших топливно-энергетических компаний страны.

 

Ярослав Тарасов, директор по развитию бизнеса компании «Инфосистемы Джет»: «Первоначальный подход к контролю событий ИБ в виде всевозможных средств защиты информации с собственными средствами мониторинга и управления давно уже стал чрезмерно ресурсоемким и неэффективным. Более того, в больших компаниях и корпорациях такими средствами управляет многочисленный технический персонал, что еще больше повышает риск ошибки и увеличивает время реакции на инцидент. Сложность обеспечения адекватной реакции на инциденты всегда приводит к снижению эффективности системы ИБ предприятия/организации/холдинга. Эту задачу решает центр мониторинга и реагирования, который основан на регламентах, грамотных кадрах, процессах и квалифицированном сопровождении. И некоторое время назад естественным этапом развития рынка ИБ стало появление продуктов SIEM и построение решений класса SOC – обязательных атрибутов озвученных центров мониторинга и реагирования. За прошедшее время мировой рынок таких средств и продуктов уже сформировался и теперь активно развивается. Однако наблюдается определенная тенденция: для принятия комплексного решения только информации от системы ИБ недостаточно. О наступившем инциденте необходимо получать информацию от систем инженерно-технических средств охраны (видеонаблюдение, СКУД и т.п.), объем, формат и периодичность которых сильно отличаются от стандартов, принятых в ИБ. Более того, средств обработки и анализа такой информации немного».

 

Именно в такой постановке вопроса и заключаются передовой опыт и уникальность (авторство) разработанного интеграционного решения.

Уведомления об обновлении тем – в вашей почте

Атаки на предприятия: от осознания рисков к киберпротивостоянию

Компания Positive Technologies сформировала собственную концепцию обеспечения безопасности сегмента АСУ ТП

Зачем специалисту по безопасности своя группа в Facebook?

Этим интервью мы открываем серию материалов, в рамках которой хотим познакомить читателей с тем, как можно использовать различные каналы и способы донесения информации для развития темы информационной безопасности. Сегодня мы беседуем с Антоном Шипулиным, менеджером по развитию решений по безопасности критической инфраструктуры «Лаборатории Касперского» и одним из модераторов группы «Кибербезопасность АСУ ТП» в Facebook.

Криптография и защита информации

Какое место должны занимать средства криптографии в рамках защиты информации в цифровой подстанции

Автоматизированные системы управления технологическими процессами. Вопросы безопасности

Системы технологического управления и родственные им системы диспетчерского управления, противоаварийной автоматики и т. д. прочно входят в нашу повседневную жизнь

«Информационная безопасность АСУ ТП – это всегда затратная часть для бизнеса…»

Мы беседуем с Дмитрием Латышевым, начальником отдела защиты информации ООО «Автоматика-сервис» (ГК «Газпром нефть»)

Системы Business Assurance как средство борьбы с фродом

Как известно, аббревиатура АСУ ТП расшифровывается как «Автоматизированная система управления технологическими процессами». Нужно подчеркнуть, что автоматизированная не означает автоматическая.

Почему безопасность промышленных сетей на 10 лет отстает от корпоративных стандартов

Как часто взламывают сети промышленных предприятий? Какие ИБ-проблемы характерны для АСУ ТП? Чек-лист: как защититься от кибератак?

Типовые подходы к защите информации АСУ ТП

Типовые подходы защиты информации АСУ ТП это не столько технические средства защиты, сколько правильное процессы

ИБ АСУ ТП: Перейдем на ты

Что такое безопасность автоматизированных системах управления технологическими процессами, мы попытались разобраться

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня