Николай Чижов Директор департамента аудита информационной безопасности
Одними из значимых характеристик, определяющих эффективность современной ИТ-инфраструктуры, являются ее управляемость и защищенность в условиях возрастающего количества внешних (спама, вирусных атак, злонамеренных действий хакеров) и внутренних угроз (инсайдеров), сложности нуждающегося в постоянном сопровождении системного, прикладного и специального программного обеспечения. При этом перед специалистами ИТ- и ИБ-отделов возникают три основных вопроса: "Как должно быть?", "Что происходит на самом деле?" и "Что делать?"
Как должно быть?
Чтобы ответить на этот вопрос, необходимо прежде всего обратить внимание на:
международные стандарты и практики;
требования и рекомендации национальных нормативных документов;
требования, обусловленные особенностями бизнес-процессов компании.
На их основе можно получить следующие практические решения:
политику информационной безопасности компании, определяющую цели, задачи, пути их достижения в области ИБ;
систему требований к мерам и средствам обеспечения ИБ ИТ-инфраструктуры;
систему документов, позволяющую детализировать требования и меры управления ИБ, а также правила, процедуры и регламенты, которым должны следовать сотрудники компании в процессе управления ИБ.
"Что происходит на самом деле?"
Получить объективную картину текущего состояния уровня защищенности ИТ-инфраструктуры в условиях, когда в системе ежесекундно происходит множество потенциально опасных с точки зрения безопасности событий, -задача непростая. Предлагаемые на рынке продукты решают ее лишь частично:
SEM-системы (Security Event Management) дают единое представление о событиях безопасности, генерируемых в реальном режиме времени различными устройствами и системами;
SIM-системы (Security Information Management) осуществляют сбор и анализ данных от различных устройств, операционных систем и приложений с дальнейшим анализом их соответствия заданным политикам безопасности и стандартам;
SIEM-системы (Security Information and Event Management) обеспечивают решение обеих указанных выше задач.
К таким продуктам зарубежных производителей следует, в первую очередь, отнести ArcSight ESM, netForensics, Cisco MARS, eTrust SCC, Eventia, IBM Tivoly (отечественных аналогов не имеется).
Из отечественных продуктов для систем управления И Б можно отметить "Digital Security Office" и "Авангард" ("РискМенеджер"), позволяющие проводить анализ рисков и "статические" оценки соответствия уровней И Б объектов управления требованиям стандартов на основе ручного ввода информации, а также систему КУБ, предназначенную для учета и управления правами доступа пользователей к информационным ресурсам.
Общим недостатком имеющихся средств является отсутствие единого "системного продукта", интегрирующего всю информацию, связанную с безопасностью, и позволяющего сделать адекватный вывод о том, "что происходит на самом деле" и "как должно быть".
Что делать?
Полноценных системных продуктов, позволяющих осуществлять управление ИБ ИТ-инфраструктуры, в настоящее время на рынке нет.
Специалисты ООО "Центр безопасности информации" и ЗАО "ЦБИ-сервис" поставили перед собой цель - создать продукт, позволяющий интегрировать информацию, необходимую для проведения различных оценок защищенности и анализа ИБ ИТ-инфраструктуры уровня предприятия, а также выработки соответствующих управляющих воздействий в части поддержания требуемого уровня ИБ.
При формировании облика данного продукта разработчики исходили из предположения, что он должен реализовывать принцип "вся информация о безопасности - в одном месте" и позволять:
собирать, хранить и анализировать информацию о составе, характеристиках и параметрах настройки каждого из контролируемых объектов ИТ;
отслеживать в автоматизированном режиме максимум событий, влияющих на уровень И Б ИТ-инфраструктуры,и формировать необходимые адекватные управляющие воздействия;
проводить анализ выполнения требований ИБ, предъявленных к ИТ-объектам;
проводить оценку рисков ИБ;
формировать и хранить шаблоны настроек значений различных параметров безопасности ИТ-объектов;
проводить в автоматизированном режиме оценку текущих значений заданных параметров безопасности и приводить их в соответствие требуемым значениям;
формировать, хранить и проверять информацию о правах и атрибутах доступа пользователей к ИТ-объектам.
Кроме того, в продукте реализуется возможность интеграции с другими системами с целью сбора недостающей и/или специфичной информации.
К другим наиболее значимым характеристикам продукта относятся:
наличие структурированного хранилища данных (для организаций с количеством парка вычислительной техники до 1000 единиц - СУБД MS SQL, более 1000 - СУБД Oracle 10g);
наличие возможности формирования и хранения структурированных требований безопасности, предъявляемых к различным ИТ-объектам и их совокупностям, в том числе требований стандартов и законодательных актов;
наличие интерфейсов взаимодействия с существующими SEM/SIEM-системами для приема обработанной коррелированной информации о событиях, генерируемых различными устройствами и системами;
наличие интерфейсов взаимодействия со специализированными системами защиты от несанкционированного доступа от отечественных производителей;
мощная система отчетов о состоянии ИБ контролируемых объектов, составе ПО и оборудования, реализованных средствах и мерах защиты, параметрах настройки ПО и СЗИ и т.п.;
наличие собственных программных агентов, устанавливаемых на контролируемые серверы и рабочие станции (Windows- и Unix-системы), в функции которых входят инвентаризация (Hardware, Software), анализ уязвимостей, мониторинг специфических событий безопасности, связанных с действиями пользователей и изменением настроек ПО;
использование Web-технологий для получения доступа к системе.
Разработанная к настоящему времени версия системы проходит апробацию на объектах заказчика в рамках работ по созданию "Системы оценки защищенности автоматизированных информационных и телекоммуникационных систем" (СОЗ).
Опубликовано: Каталог "IT-SECURITY. Системы и средства защиты информации"-2008