Распечатать

Подходы к построению систем централизованного управления информационной безопасностью – состоялся технический семинар «Энвижн Груп» по ИБ

На семинаре было рассказано о решениях для комплексного управления информационной безопасностью крупных компаний на основе Security Operations Center (SOC) – инновационной методологии для консолидации и централизованного управления гетерогенными системами информационной безопасности.

Несмотря на то, что тема SOC обсуждается с 2003 года, когда были разработаны первые простейшие системы по сбору и корреляций событий, только сегодня появилась реальная необходимость в их внедрении. Это обусловлено развитием информационных технологий, что привело к росту угроз в области информационной безопасности. Ответное внедрение разнообразных средств защиты и аудита вызвало необходимость осуществлять мониторинг огромного числа событий и проводить расследование возникающих инцидентов, что уже невозможно осуществить без центров управления информационной безопасностью.

Семинар открыл директор департамента информационной безопасности «Энвижн Груп» Дмитрий Огородников, который рассказал о преимуществах централизованного управления системами информационной безопасностью. Такое стало возможно благодаря появлению решения ArcSight ESM Enterprise Security Manager, которое обеспечивает сбор, обработку и хранение гетерогенных событий безопасности, генерируемых практически любой информационной системой.

Более подробно преимуществами от внедрения SOC поделился в своем выступлении Андрей Бедрань, руководитель отдела защиты корпоративных сетей «Энвижн Груп», который подчеркнул, что благодаря применению SOC уменьшается время реакции на инциденты информационной безопасности и как следствие снижается ущерб от инцидента, снижается вероятность возникновения инцидентов ИБ, существенно уменьшается трудоемкость обработки событий ИБ и др.

Классическое построение СУИБ ведет к обработке огромного количества поступающих событий при увеличении количества ложных срабатываний и росте объема хранимых данных. В результате обеспечение ИБ снижается, так как каждый администратор может контролировать не более четырех функциональных систем из-за чего практически все события, кроме наиболее критичных, остаются незамеченными. SOC позволяет реализовать единый мониторинг всех событий безопасности корпоративной информационной системы, что позволяет на 70% сократить трудозатраты на анализ событий информационной безопасности, свести время реакции на инциденты ИБ с нескольких суток до десятков минут и дать возможность специалистам по информационной безопасности сосредоточиться на действительно важных проблемах.

В процессе внедрения решения возникает естественный вопрос – строить свой центр управления или арендовать на атусорсинге? Каждая из моделей имеет свои достоинства и недостатки, но Андрей Бедрань обосновал, что с учетом российской специфики, необходимо строить собственный SOC, особенно, если в компании надо обеспечить высокий уровень обеспечения ИБ.

Важно отметить, что с появлением SOC в организации неизбежно меняются требования к персоналу, так как появляются новые роли, связанные с функцией контроля вопросов ИБ, а перед администраторами прикладных систем появляются качественно новые задачи по фиксации и эскалации инцидентов. Все это требует существенного повышения качества работы персонала.

О новшествах и достоинствах решения по контролю защищенности MaxPatrol в деталях рассказал Сергей Гордейчик, ведущий эксперт компании Positive Technologies. Он представил участникам уникальный подход MaxPatrol к решению задачи контроля защищенности, а также указал на немаловажную роль решения в рамках концепции SOC. В действительности, система контроля защищенности уже давно перестала быть набором сканеров уровня сети и приложений. В рамках концепции SOC система контроля защищенности MaxPatrol решает наиважнейшие задачи инвентаризации ресурсов, контроля изменений, соответствия техническим нормам регулирования и др.

Выступление представителя компании ArcSight, Тилла Джагера (Till Jäger), руководителя департамента поддержки продаж, вызвало у участников семинара поистине неподдельный интерес. Тилл не только представил новый архитектурный подход вендора в решении задач, возложенных на SOC; но и показал новые возможности системы управления инцидентами безопасности – ArcSight ESM. Участникам был представлен подход к решению вопроса управления учетными записями пользователей на основе модуля ArcSight IdentityView. Решение не имеет аналогов на отечественном рынке и позволяет, в ряде случаев, отказаться от внедрения полнофункциональных систем класса Identity Management.

В заключение Дмитрий Огородников отметил: «Комплексный подход к управлению информационной безопасностью обеспечивает необходимый баланс технологий, процессов и людских ресурсов, что является залогом успеха в защите корпоративных ресурсов и служебной информации для любой компании. Рассмотренные на семинаре решения и методики успешно применяются в зарубежных компаниях, поэтому настало время применить накопленный опыт в российских условиях».

Опубликовано: 4 мая 2009