Информационно-аналитические системы, или Чем думает центр управления безопасностью

Как показывает практика, в подобных случаях внедрение одних лишь систем класса SIEM и PSIM (управления событиями информационной и физической безопасности) не приносит желаемого эффекта. Для принятия решения требуется большое количество систем разного типа, в том числе смежных, таких как системы мультимедийного отображения информации, телефонной и видеоконференц-связи. И, конечно, для сбора и анализа событий необходимы вычислительные мощности. В результате данного проекта был создан ситуационный центр по управлению информационно-технической безопасностью, решающий множество задач.

Рис. 1 Комплекс систем центра управления информационно-технической безопасностью

«Мозг» ситуационного центра

В основе построенного ситуационного центра лежит информационно-аналитическая система (ИАС) – это его «мозг». Она состоит из нескольких блоков и модулей (рис. 2). Рассмотрим их подробнее.

Рис. 2. Информационно-аналитическая система ситуационного центра

Блок информационного обмена: его основная задача – непрерывный сбор данных о событиях, способных повлиять на защищенность объектов компании. Этот блок представлен тремя модулями.

Модуль интеграции. ИАС ситуационного центра работает с разнообразной информацией, поступающей из множества информационных систем, внутренних и внешних. Информация о событиях ИБ и ИТЗ поступает из систем класса SIEM (система управления информацией о безопасности и событиях безопасности) и PSIM (система управления информацией о физической защите и безопасности). Данный модуль отвечает за то, чтобы различные системы «понимали» друг друга и могли полноценно взаимодействовать.

Модуль загрузки данных. Его задача– регулярный сбор данных из внешних источников, их предварительная подготовка и передача в блок учета.

Модуль сбора видеоинформации. С его помощью можно получать и сохранять информацию с камер системы охранного телевидения. Кроме того, он позволяет управлять поворотными камерами.

Блок учета является ключевым в ИАС. Его задача – управление жизненным циклом инцидентов ИБ и ИТЗ и мероприятиями по устранению их причин и последствий. Этот блок также состоит из нескольких модулей.

Модуль учета инцидентов позволяет определить степень критичности инцидентов и выбрать меры реагирования. Это делается с помощью заложенных в модуле алгоритмов классификации и приоритизации инцидентов, корреляции событий, получаемых в том числе из дочерних обществ. Процедуры оперативного реагирования на инциденты запускаются в соответствии с настроенным правилами. Модуль также оценивает достаточность мер, принятых для ликвидации причин и последствий инцидентов. События и инциденты, обнаруженные в дочерних компаниях организации, обычно устраняются силами сотрудников на местах. Наиболее критичные и масштабные инциденты анализируются дежурной сменой центрального аппарата, по итогам назначаются необходимые мероприятия и ответственные лица.

Модуль нормативно-справочного сопровождения отвечает за создание и изменение справочников, используемых в системе, и помимо этого, за ведение базы знаний, учет объектов и активов компании. База знаний – очень важный компонент информационно-аналитической системы. В числе прочего она позволяет сохранять сведения об угрозах и уязвимостях активов и объектов компании. С ее помощью выполняется настройка правил обработки событий, получаемых из SIEM, и формируется матрица критичности инцидентов ИБ. База знаний также содержит правила описания мероприятий по обеспечению ИБ и ИТЗ, информацию об ответственных лицах, шаблоны оповещения по SMS и e-mail. Наконец, в ней содержатся настройки для диагностики оснащенности объектов, позволяющие проводить анализ их защищенности.

Модуль учета объектов и активов спроектирован для ведения в ИАС всей информации, включая паспорта объектов, а также вывода ее на печать по утвержденной форме.

Модуль ведения планов и поручений позволяет назначать и контролировать ход исполнения как отдельных поручений, так и планов мероприятий по обеспечению ИБ и ИТЗ.

Модуль хранения данных позволяет хранить как структурированные, так и неструктурированные данные. При этом в нем реализованы функции контекстного поиска данных по всей системе.

Блок анализа информации – компонент ИАС, помогающий ответственным лицам принимать управленческие решения. В этом модуле формируются аналитические отчеты и строятся прогнозы развития ситуации как по конкретному событию, так и в целом по компании.

Модуль статистической отчетности и прогнозирования позволяет рассчитать показатели эффективности и результативности процессов обеспечения ИБ и ИТЗ. Благодаря заложенным в нем математическим алгоритмам он выполняет статистическую обработку поступающих данных, анализ временных рядов по основным показателям, расчет корреляций между показателями и составление прогнозов их динамики.

Модуль моделирования инцидентов ИБ служит для организации в рамках системы отдельной зоны симуляции – «песочницы». Ее можно использовать для настройки новых правил корреляции и их испытания, после чего правила переносятся в продуктивную среду.

Модуль поддержки принятия решений содержит алгоритмы, непосредственно помогающие ответственным сотрудникам компании принимать как стратегические, так и оперативные решения. Для принятия решений на стратегическом уровне используется в том числе система метрик и показателей (KPI). Система метрик представляет собой многоуровневую структуру, охватывающую всю деятельность компании в части управления ИБ и ИТЗ (рис. 3). В любой момент времени руководитель может оценить уровень обеспечения ИБ и ИТЗ в различных разрезах, в том числе по дочерним компаниям. Модуль позволяет выявлять узкие/критичные места и концентрироваться на их первоочередном устранении.

На оперативном уровне управления инцидентами поддержка принятия решений осуществляется на этапе подбора плана мероприятий по их устранению.

Рис. 3. Система метрик и показателей

Блок визуализации дает возможность отображать показатели оперативной обстановки в удобной наглядной форме. Одна из форм визуализации представлена геоинформационной системой, которая позволяет отображать события ИБ и ИТЗ на интерактивной карте.

Блок управления включает в себя модуль автоматизации бизнес-процессов. С его помощью можно настраивать ключевые параметры управления ИАС, в том числе типовые параметры инцидентов, отображаемых на видеостене, шаблоны оповещения, списки рассылок и пр.

Итоги проекта

В результате построения ситуационного центра было создано единое решение по управлению информационно-технической безопасностью для территориально распределенной компании. Сведя к минимуму необходимый объем ручного труда, ситуационный центр позволяет проводить комплексную оценку состояния ИБ и ИТЗ объектов топливно-энергетической компании. Результаты оценки предоставляются ответственным должностным лицам в форме, удобной для восприятия и упрощающей принятие обоснованных решений по устранению и профилактике инцидентов. Упростился и стал более полным контроль исполнения оперативных мер обеспечения ИБ и ИТЗ. К этому стоит добавить, что решение полностью отвечает требованиям закона № 256-ФЗ, руководящих документов ФСТЭК России, что делает его востребованным со стороны крупнейших топливно-энергетических компаний страны.

Ярослав Тарасов, директор по развитию бизнеса компании «Инфосистемы Джет»: «Первоначальный подход к контролю событий ИБ в виде всевозможных средств защиты информации с собственными средствами мониторинга и управления давно уже стал чрезмерно ресурсоемким и неэффективным. Более того, в больших компаниях и корпорациях такими средствами управляет многочисленный технический персонал, что еще больше повышает риск ошибки и увеличивает время реакции на инцидент. Сложность обеспечения адекватной реакции на инциденты всегда приводит к снижению эффективности системы ИБ предприятия/организации/холдинга. Эту задачу решает центр мониторинга и реагирования, который основан на регламентах, грамотных кадрах, процессах и квалифицированном сопровождении. И некоторое время назад естественным этапом развития рынка ИБ стало появление продуктов SIEM и построение решений класса SOC – обязательных атрибутов озвученных центров мониторинга и реагирования. За прошедшее время мировой рынок таких средств и продуктов уже сформировался и теперь активно развивается. Однако наблюдается определенная тенденция: для принятия комплексного решения только информации от системы ИБ недостаточно. О наступившем инциденте необходимо получать информацию от систем инженерно-технических средств охраны (видеонаблюдение, СКУД и т.п.), объем, формат и периодичность которых сильно отличаются от стандартов, принятых в ИБ. Более того, средств обработки и анализа такой информации немного».

Именно в такой постановке вопроса и заключаются передовой опыт и уникальность (авторство) разработанного интеграционного решения.