Как облегчить жизнь администраторам безопасности?

Николай Чижов
Директор департамента аудита информационной безопасности

Одними из значимых характеристик, определяющих эффективность современной ИТ-инфраструктуры, являются ее управляемость и защищенность в условиях возрастающего количества внешних (спама, вирусных атак, злонамеренных действий хакеров) и внутренних угроз (инсайдеров), сложности нуждающегося в постоянном сопровождении системного, прикладного и специального программного обеспечения. При этом перед специалистами ИТ- и ИБ-отделов возникают три основных вопроса: "Как должно быть?", "Что происходит на самом деле?" и "Что делать?"

Как должно быть?

Чтобы ответить на этот вопрос, необходимо прежде всего обратить внимание на:

• международные стандарты и практики;
• требования и рекомендации национальных нормативных документов;
• требования, обусловленные особенностями бизнес-процессов компании.

На их основе можно получить следующие практические решения:

• политику информационной безопасности компании, определяющую цели, задачи, пути их достижения в области ИБ;
• систему требований к мерам и средствам обеспечения ИБ ИТ-инфраструктуры;
• систему документов, позволяющую детализировать требования и меры управления ИБ, а также правила, процедуры и регламенты, которым должны следовать сотрудники компании в процессе управления ИБ.

"Что происходит на самом деле?"

Получить объективную картину текущего состояния уровня защищенности ИТ-инфраструктуры в условиях, когда в системе ежесекундно происходит множество потенциально опасных с точки зрения безопасности событий, -задача непростая. Предлагаемые на рынке продукты решают ее лишь частично:

• SEM-системы (Security Event Management) дают единое представление о событиях безопасности, генерируемых в реальном режиме времени различными устройствами и системами;
• SIM-системы (Security Information Management)  осуществляют  сбор и анализ данных от различных устройств, операционных систем и приложений с дальнейшим анализом их соответствия заданным политикам безопасности и стандартам;
• SIEM-системы (Security Information and Event Management) обеспечивают решение обеих указанных выше задач.

К таким продуктам зарубежных производителей следует, в первую очередь, отнести ArcSight ESM, netForensics, Cisco MARS, eTrust SCC, Eventia, IBM Tivoly (отечественных аналогов не имеется).

Из отечественных продуктов для систем управления И Б можно отметить "Digital Security Office" и "Авангард" ("РискМенеджер"), позволяющие проводить анализ рисков и "статические" оценки соответствия уровней И Б объектов управления требованиям стандартов на основе ручного ввода информации, а также систему КУБ, предназначенную для учета и управления правами доступа пользователей к информационным ресурсам.

Общим недостатком имеющихся средств является отсутствие единого "системного продукта", интегрирующего всю информацию, связанную с безопасностью, и позволяющего сделать адекватный вывод о том, "что происходит на самом деле" и "как должно быть".

Что делать?

Полноценных системных продуктов, позволяющих осуществлять управление ИБ ИТ-инфраструктуры, в настоящее время на рынке нет.

Специалисты ООО "Центр безопасности информации" и ЗАО "ЦБИ-сервис" поставили перед собой цель - создать продукт, позволяющий интегрировать информацию, необходимую для проведения различных оценок защищенности и анализа ИБ ИТ-инфраструктуры уровня предприятия, а также выработки соответствующих управляющих воздействий в части поддержания требуемого уровня ИБ.

При формировании облика данного продукта разработчики исходили из предположения, что он должен реализовывать принцип "вся информация о безопасности - в одном месте" и позволять:

• собирать, хранить и анализировать информацию о составе, характеристиках и параметрах настройки каждого из контролируемых объектов ИТ;
• отслеживать в автоматизированном режиме максимум событий, влияющих на уровень И Б ИТ-инфраструктуры,и формировать необходимые адекватные управляющие воздействия;
  
• проводить анализ выполнения требований ИБ, предъявленных к ИТ-объектам;
• проводить оценку рисков ИБ;
• формировать и хранить шаблоны настроек значений различных параметров безопасности ИТ-объектов;
• проводить в автоматизированном режиме оценку текущих значений заданных параметров безопасности и приводить их в соответствие требуемым значениям;
• формировать, хранить и проверять информацию о правах и атрибутах доступа пользователей к ИТ-объектам.

Кроме того, в продукте реализуется возможность интеграции с другими системами с целью сбора недостающей и/или специфичной информации.

К другим наиболее значимым характеристикам продукта относятся:

• наличие структурированного хранилища данных (для организаций с количеством парка вычислительной техники до 1000 единиц - СУБД MS SQL, более 1000 - СУБД Oracle 10g);
• наличие возможности формирования и хранения структурированных требований безопасности, предъявляемых к различным ИТ-объектам и их совокупностям, в том числе требований стандартов и законодательных актов;
• наличие интерфейсов взаимодействия с существующими SEM/SIEM-системами для приема обработанной коррелированной информации о событиях, генерируемых различными устройствами и системами;
• наличие интерфейсов взаимодействия со специализированными системами защиты от несанкционированного доступа от отечественных производителей;
• мощная система отчетов о состоянии ИБ контролируемых объектов, составе ПО и оборудования, реализованных средствах и мерах защиты, параметрах настройки ПО и СЗИ и т.п.;
• наличие собственных программных агентов, устанавливаемых на контролируемые серверы и рабочие станции (Windows- и Unix-системы), в функции которых входят инвентаризация (Hardware, Software), анализ уязвимостей, мониторинг специфических событий безопасности, связанных с действиями пользователей и изменением настроек ПО;
• использование Web-технологий для получения доступа к системе.

Разработанная к настоящему времени версия системы проходит апробацию на объектах заказчика в рамках работ по созданию "Системы оценки защищенности автоматизированных информационных и телекоммуникационных систем" (СОЗ).