В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
Развитие систем обеспечения ИБ, особенно в крупном и среднем бизнесе, неизменно приводит к необходимости применения значительного числа различных технических систем и средств защиты информации (СЗИ), проведения большого количества организационно-технических мероприятий, реализации мониторинга и контроля защитных мер, расследований по выявленным инцидентам и к созданию собственной инфраструктуры ИБ. Разнородные подсистемы обеспечения информационной безопасности зачастую плохо взаимодействуют друг с другом, порождая конфликты и огромное количество событий и оповещений. Анализ и реагирование на события ИБ предполагают значительный людской ресурс данной службы, что не всегда возможно и рационально. Кроме того, существенно усложняется управление ИБ и получение комплексной информации об уровне защищенности ключевых IТ-систем. Все эти аспекты требуют унифицированного управленческого подхода при создании и эксплуатации системы обеспечения ИБ.
В этих условиях актуальным становится объединение всех применяемых защитных мер в единый, адекватный реальным угрозам и адаптивно управляемый комплекс, позволяющий достигать требуемого уровня ИБ с использованием средств автоматизации и визуализации предоставляемой информации.
В соответствии с рекомендациями ряда международных и российских стандартов1 в области ИБ выделяют следующие основные процедуры управления:
Решение всех этих задач возложено на систему управления ИБ, которая в соответствии с ГОСТ Р ИСО МЭК 27001-2006 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования" представляет собой "ту часть общей системы управления организации, основанной на оценке бизнес-рисков, которая создает, реализует, эксплуатирует и осуществляет мониторинг, пересмотр, сопровождение и совершенствование информационной безопасности", то есть процесс управления ИБ отвечает за планирование, внедрение, поддержку, контроль и совершенствование всей инфраструктуры безопасности (в рамках стандарта – на основе циклической процессной модели Деминга – Шухарта). В общем случае верхнеуровневыми задачами системы управления ИБ организации являются:
Для организаций крупного и среднего бизнеса с развитой системой обеспечения ИБ решение указанных задач в полном объеме и в соответствии с требованиями и указаниями регуляторов представляет собой достаточно сложную и емкую инфраструктуру, требует больших временных и человеческих ресурсов.
Во многом именно поэтому на рынке средств ИБ появились и активно продвигаются различные системы автоматизированного управления, позволяющие создать единый центр ИБ, адаптивно управлять различными процессами управления, визуализировать полученные данные о состоянии информационной безопасности в организации.
Обычно в качестве инструментария для создания единого центра ряд производителей предлагает автоматизированные системы управления ИБ, предоставляющие информацию о состоянии информационной безопасности в организации в реальном времени с необходимой степенью детализации для профильных специалистов всех уровней. Такие системы обеспечивают сбор данных от различных подсистем обеспечения ИБ, анализ и хранение событий безопасности, обработку инцидентов, формирование отчетов различной степени детализации, а также хранение в структурированном виде и актуализацию документов, регламентирующих требования информационной безопасности организации, баз инцидентов и рисков, перечней информационных активов и пр.
В большинстве случаев типовая структура системы автоматизированного управления ИБ имеет трехуровневую архитектуру, выполняющую задачи, которые представлены на рисунке.
Первый уровень предназначен для сбора, первичной обработки (нормализации) и передачи на следующий уровень собранной информации по событиям ИБ. Сбор информации происходит от всех систем и средств обеспечения ИБ, системного и прикладного ПО, АРМ, серверов и сетевого оборудования, средств антивирусной защиты, межсетевых экранов и т.п.
Может быть реализован средствами SIEM-систем (Security Information and Event Management), либо набором специализированных коннекторов, обеспечивающих сбор необходимой информации. При этом существует возможность интеграции с системами физической защиты и другими системами безопасности.
Уровень обработки информации предназначен для сбора, анализа и корреляции событий, поступающих от предыдущего уровня, который, в свою очередь, получает ее из различных систем обеспечения ИБ.
Типовое решение – использование SIEM-системы, которая осуществляет проверку собранной информации на соответствие политике управления инцидентами, обрабатывает и коррелирует информацию, выделяя из множества событий ИБ информацию по инцидентам и передавая полученную информацию о них на уровень управления.
Уровень управления предназначен для автоматизации процесса управления и представляет собой адаптивный интерфейс, позволяющий в режиме реального времени управлять инцидентами ИБ, проводить анализ состояния и выдавать отчеты и рекомендации по состоянию ИБ организации в целом и по отдельным системам безопасности в частности.
Реализуется в виде программной надстройки, позволяющей автоматизировать многие функции управления ИБ и имеющей ряд встроенных модулей, обеспечивающих решение той или иной отдельной задачи по ее обеспечению:
Несомненными достоинствами автоматизированных систем управления ИБ представляются:
Внедрение и дальнейшее использование автоматизированных систем управления позволят не только повысить эффективность системы обеспечения ИБ, но и выполнить требования большого числа международных и российских стандартов в области ИБ. В частности, внедрение системы менеджмента информационной безопасности поможет выполнить значительную часть требований группы стандартов по ИБ ISO/IEC 27000, часть требований PCI DSS и стандарта Банка России, а также его положений и указаний, требования к созданию подсистемы регистрации и учета систем защиты ПДн и ключевых систем (требования ФСТЭК России).
Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2014