Системы управления информацией о безопасности и событиях безопасности являются, пожалуй, центральным звеном в ИТ-ландшафте служб ИБ. Основные задачи систем такого класса — собирать информацию о событиях, выявлять и регистрировать инциденты. Но на выявлении инцидентов работа не заканчивается, следующий не менее трудный этап — это их разрешение. Он состоит из комплекса непростых организационных задач, начиная от выработки планов по реагированию, правил эскалаций, назначения исполнителей по инциденту до правил оценки эффективности деятельности сотрудников.
Для территориально распределенных компаний остро стоят задачи по координации работы территориальных объединений и оперативного получения информации в центральном аппарате. А если есть потребность обрабатывать информацию ограниченного доступа, ситуация усложняется еще больше. С одной стороны, система должна иметь соответствующий уровень сертификации. С другой — обеспечить обмен информацией между сетевыми сегментами, где хранятся данные с разным уровнем конфиденциальности, причем с полным сохранением изоляции этих сегментов.
Накопив знания о потребностях клиентов и тщательно проанализировав рынок, наша компания разработала собственное программное решение Jet Signal.
Решение предназначено для центров реагирования на инциденты ИБ и автоматизирует следующие основные процессы:
- планирование, учет и контроль работы дежурных смен операторов SOC/CERT в единой типовой форме;
- импорт информации об инцидентах ИБ из SIEM и других систем;
- управление и контроль жизненного цикла инцидентов ИБ;
- автоматическое определение плана мероприятий по реагированию в зависимости от типа инцидента;
- объединение инцидентов в информационные кампании;
- контроль исполнения поручений в рамках решения задач по устранению причин и последствий инцидентов ИБ, а также по обеспечению защиты объектов и активов ИБ;
- распространение информации о приказах, распоряжениях и т.п. по всей вертикали управления с защитой от копирования;
- ведение базы знаний;
- обмен формализованной информацией об инцидентах между подразделениями организации;
- уведомление ответственных лиц о зарегистрированных инцидентах и поручениях.
Jet Signal можно развернуть как в виде централизованного, так и распределенного решения, когда в каждом из филиалов устанавливается свой экземпляр приложения.
Решение может работать и в том случае, когда корпоративная сеть организации сегментирована. Это актуально, если организации необходимо работать с информацией ограниченного доступа. При этом изоляция сегментов, где обрабатывается конфиденциальная или секретная информация, не нарушается.
Гибкая архитектура Jet Signal позволяет оперативно адаптировать решение к изменениям на рынке и потребностям пользователей.
Функциональные модули
Подсистема управления инцидентами включает модули «Инциденты», «Планы мероприятий», «Информационные кампании» и является ключевой. Подсистема поддерживает процесс работы с инцидентами в рамках всего жизненного цикла: классификация и приоритизация инцидента, определение SLA, автоматическое определение плана реагирования в зависимости от типа инцидента, анализ и закрытие инцидента, формирование отчета. Подсистема позволяет связывать инциденты и работать с ними в рамках одной информационной кампании, прикреплять различные файлы к карточке инцидента. Кроме того, реализована функциональность по передаче инцидента между сотрудниками, подразделениями, территориальными объединениями.
Подсистема управления дежурными сменами содержит инструменты планирования работы дежурных смен и позволяет вести учет отсутствий сотрудников, составлять графики дежурств, назначать роли сотрудникам в сменах, формировать отчет о работе дежурной смены.
Подсистема управления поручениями позволяет назначать задания сотрудникам в рамках работы с конкретным инцидентом, а также любые другие задачи, касающиеся работы службы ИБ. Эта функциональность реализована в модуле «Поручения». А модуль «Распорядительные документы» позволяет оперативно распространять информацию о приказах, распоряжениях и прочих документах по всей вертикали управления и фиксировать факт ознакомления сотрудников с этими документами.
Подсистема новостная лента предназначена для публикации новостей и сообщений, например, для оповещения об актуальных угрозах. Для упрощения создания и форматирования текста поддерживается формат Markdown.
Веб-чат дает возможность пользователям обмениваться сообщениями, не выходя из системы. Такая функция особенно актуальна для предприятий, где использование общедоступных мессенджеров запрещено политикой безопасности.
База знаний позволяет управлять статьями по принципу Wiki. Она может служить справочником об угрозах, разного рода уязвимостях, а также действующих инструкциях и регламентах.
Подсистема взаимодействия обеспечивает единый интерфейс обмена данными между узлами системы, функционирующими в разных сегментах корпоративной инфраструктуры, в том числе распределенных территориально. При организации информационного обмена учитывается класс защиты каждого сегмента. Подсистема выполняет первичный контроль входящей информации, включая проверку ее состава и полноты из всех источников, в том числе внешних.
Архитектура подсистемы взаимодействия построена на принципах декомпозиции и независимости компонентов.
Подсистема администрирования позволяет управлять учетными записями пользователей, назначать им роли и при необходимости менять их, регистрировать действия пользователей в системе и системные события.
Рабочие столы предоставляют возможность получения оперативной информации о работе службы ИБ в виде графиков различных типов и таблиц. Информация на виджетах рабочего стола отображается в зависимости от роли и полномочий пользователя в системе.
Подсистема отчетности обеспечивает формирование аналитических отчетов, на основании которых руководство может принимать управленческие решения о мерах по защите активов ИБ и загрузке работы сотрудников. Комплексная поддержка управленческих решений, подразумевающая возможность осуществлять ситуационный анализ с учетом аналитической информации смежных предметных областей, становится возможной за счет интеграции решения в Ситуационный центр Джет («Джет-СЦ»). Создаваемый таким образом комплекс предоставляет руководству организации полный спектр возможностей оптимизации оперативного и стратегического планирования.
JET SIGNAL СЕГОДНЯ:
• Управление инцидентами информационной безопасности.
• Координация работы нескольких подразделений по вопросам ИБ.
• Управление дежурными сменами.
• Обработка информации в условиях территориально распределенной инфраструктуры.
• Доступ к информации разного уровня конфиденциальности.
• Сертифицированное решение.
Особенностью Jet Signal является встроенная 4-уровневая система защиты информации. Она основана на системе защиты OS Linux и мандатной модели управления доступом Astra Linux SE 1.5. Подключение пользователей к БД происходит согласно их учетным записям в операционной системе. И уже на уровне приложения реализована ролевая система управления доступом, которая позволяет пользователям работать в системе согласно их должностным обязанностям.
Решение получило свидетельство о государственной регистрации и сертификат соответствия
требованиям безопасности информации по уровню контроля 2 НДВ и РДВ системы сертификации Министерства обороны.
На данный момент Jet Signal проходит опытную эксплуатацию в нескольких крупных компаниях.
Кроме того, наша компания представила решение на ряде крупных конференций, в том числе на прошедшей недавно CyberCrimeCon/17, где оно получило позитивный отклик от специалистов по информационной безопасности.
Компания намерена активно расширять функциональные возможности Jet Signal, а в ближайших планах — превратить Jet Signal в полнофункциональный ситуационный центр по управлению информационной безопасностью.