В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
Любой интеграционный проект включает в себя несколько этапов, я не буду останавливаться на этапах, не смежных технической области или напрямую не относящихся к информационной безопасности, и выделю четыре (см. рис. 1).
Остановимся на каждом этапе подробнее. В данной статье мы рассмотрим все этапы интеграции на примере создания системы мониторинга событий информационной безопасности (СМСИБ).
СМСИБ применяется для:
В большинстве случаев на данном этапе проводится изучение текущей инфраструктуры. Итоговым документом должен быть отчет о предпроектном обследовании, который содержит:
СМСИБ применяется для:
Этот этап чаще всего проводится заказчиками в рамках системной интеграции единого проекта, но также может проводиться отдельно как научно-исследовательская работа (НИР).
Если предпроектное обследование проводится в рамках НИР, то, помимо аудита текущей инфраструктуры, анализируются имеющиеся на российском рынке продукты СМСИБ, выбирается программный продукт и составляется технико-экономическое обоснование. В таком случае документ "Отчет о предпроектном обследовании" дополнительно включает в себя:
Это является важным этапом, т.к. определяет технические решения, проект внедрения СМСИБ, порядок подготовки к вводу СМСИБ в действие, порядок взаимодействия подразделений и многое другое.
Важно, чтобы техническая и эксплуатационная документация была подготовлена в соответствии с требованиями:
Более подробно о составе документов и их содержании говорить не буду.
Самый важный этап. В нем, как правило, задействованы не только специалисты, обеспечивающие ИБ, но и представители блока ИТ. В нашем случае мы еще привлекали разработчиков программного обеспечения, интеграция которого была запланирована с СМСИБ.
Этап внедрения включает в себя следующие мероприятия:
Как менеджер проектов, который занимается организацией взаимодействия интеграторов, вендоров и представителей ИТ-блока, согласованием документации и принятием решений по определению архитектуры СМСИБ, я бы определила, что самыми сложными работами являются подключение источников событий и настройка правил корреляции. Именно от их правильного выполнения зависит корректная работа СМСИБ, и на них я остановлюсь поподробней.
Для себя мы решили подключить источники событий, представленные в табл. 1.
Так же, как и источники событий, каждая организация выбирает для себя, какие события либо их совокупность будут являться инцидентами ИБ (от этого и будет зависеть настройка правил корреляции).
В табл. 2 приведен перечень инцидентов ИБ, для выявления которых в СМСИБ настраиваются правила анализа (корреляции) собираемых событий безопасности.
Хотелось бы отметить проблемные моменты, с которыми столкнулись при выполнении работ по подключению источников событий и настройке правил корреляции.
Здесь все просто. Поддерживать систему в работоспособном состоянии непременно необходимо, так как не каждая организация может позволить себе иметь в штате квалифицированного специалиста, обычно заключают договор на оказание технической поддержки первой и второй линии. Данные о правилах оказания технической поддержки прописываются в SLA.
Все эти этапы могут выполнить как разные интеграторы, так и один интегратор (системная интеграция).
При проведении интеграционного проекта я очень рекомендую проводить системную интеграцию (рис. 2), так как такой вид проектной деятельности в будущем поможет избежать ряда проблем, связанных с донастройкой и эксплуатацией систем ИБ.
Преимуществами системной интеграции являются:
Подводя итог, хотелось бы сказать, что внедрять новые системы совсем даже не страшно, а увлекательно, интересно.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2019