11 марта, 2015, BIS Journal №1(16)/2015

Сервис информационной безопасности как антикризисная мера


Парамонов Александр

руководитель направления мониторинга информационной безопасности (АМТ-ГРУП)

Рост числа современных угроз и сложности ведущихся атак требует от руководителей служб информационной безопасности соответствующего внимания

Для принятия взвешенных решений требуется получение точной оперативной информации о происходящих событиях, а от скорости реакции на подозрительные события и инциденты зависит непрерывность бизнес-процессов. Своевременное выявление инцидентов и незамедлительное реагирование невозможны без обеспечения комплексного мониторинга и анализа происходящих событий. Решение данной задачи требует наличия высококвалифицированных специалистов и значительных финансовых ресурсов для покупки специализированного программного обеспечения и оборудования. 

Сложившаяся экономическая ситуация негативно отразилась на расходах компаний, сократив существующие бюджеты на обеспечение информационной безопасности, т. к. для большинства организаций информационная безопасность является наименее приоритетной статьей расходов. На фоне сокращения персонала, конкурентной борьбы и других кризисных процессов возрастает количество инцидентов. В итоге складывается ситуация, при которой задачи обеспечения информационной безопасности сохраняются в исходном или даже большем объеме, но ресурсов для их решения становится заметно меньше.

В кризисное время проблемы служб информационной безопасности заметно обостряются. От них требуется показать свою необходимость для бизнеса и доказать собственную эффективность. Многократно возрастает нагрузка на персонал. Сотрудникам требуется контролировать исполнение действующих политик информационной безопасности и обеспечивать соответствие требованиям законодательных актов и регуляторов. 

На обслуживание используемых средств защиты также уходит значительное время, а анализ происходящих событий зачастую не выполняется. При этом количество инцидентов увеличивается, и возрастает риск упустить инцидент или несвоевременно отреагировать. Для обеспечения эффективной работы службы информационной безопасности в подобных условиях приходится решать вопрос использования сервисных услуг.

Компания АМТ-ГРУП оказывает сервисные услуги в области обеспечения комплексного мониторинга информационной безопасности. Использование данного сервиса позволяет нашим заказчикам обеспечить мониторинг критических объектов инфраструктуры, оперативно выявлять инциденты и подозрительную активность, контролировать исполнение регламентов и политик безопасности, снизить время реакции на обнаруживаемые нарушения и аномалии, а также получать детализированную отчётность о состоянии информационной безопасности и рекомендации. Процесс оказания услуг подразделяется на два этапа: этап сбора данных и этап экспертного анализа.

На этапе сбора данных осуществляется предварительный аудит, в ходе которого выполняется анализ существующей инфраструктуры, действующих регламентов и процессов обеспечения информационной безопасности, а также используемых средств и мер защиты. 
По результатам аудита составляется перечень объектов и формируется план мониторинга, после чего выполняется развёртывание системы мониторинга и её интеграция с существующей инфраструктурой. Универсальность и гибкость системы позволяет собирать практически любые типы данных из различных информационных систем. Работы по развёртыванию и обслуживанию системы мониторинга осуществляются в рамках оказываемых услуг. Используемое при этом оборудование и программное обеспечение передаются в аренду.

На этапе экспертного анализа группа экспертов осуществляет ручную обработку собранных данных. Эксперты анализируют данные об активности пользователей: события входа в информационные системы и выхода из них, изменения прав и настроек, запускаемые процессы и программное обеспечение, подключение внешних устройств, доступ к файлам на внешних носителях. Используемые средства также позволяют анализировать журналы событий операционных систем и средств защиты, проводить анализ уязвимостей, мониторинг доступности компонентов инфраструктуры, выполнять анализ трафика и его дампов, конфигураций сетевого оборудования. 

Непрерывный сбор данных от различных источников позволяет формировать единую картину происходящих процессов. Длительное хранение собираемой информации даёт экспертам возможность выполнять ретроспективный анализ, формировать модели поведения пользователей и выявлять отклонения. При обнаружении подозрительных событий, аномалий и нарушений эксперты фиксируют инциденты и уведомляют ответственных специалистов службы информационной безопасности. 

Богатый опыт экспертов позволяет выявлять инциденты любой сложности. В процессе экспертного анализа производится отработка ложных срабатываний и формируется база исключений. При необходимости эксперты дают рекомендации и участвуют в устранении обнаруженных инцидентов. Рекомендации могут содержать указания на конкретные действия, направленные на устранение обнаруженного инцидента, предложения по изменению конфигурации, модернизации компонентов инфраструктуры и используемых средств защиты, а также по применению новых мер и средств защиты.

Результаты работы команды экспертов отражаются в отчёте о состоянии информационной безопасности. Отчёт содержит статистическую информацию о зарегистрированных и обработанных инцидентах (нарушения политик, аномалии, уязвимости и др.), рекомендации по обработке и устранению инцидентов, данные о текущем уровне риска и динамике его изменения. Периодичность предоставления отчётов выбирается индивидуально каждым заказчиком. 

Предусмотрены различные типы отчётов в зависимости от потребностей: сводные для руководителей различного уровня и детализированные для технических специалистов. Масштабируемость сервиса может быть как горизонтальной, так и вертикальной. Благодаря наличию различных коннекторов к информационным системам и поддержке универсальных способов интеграции становится возможным получать данные из любых систем и подключать новые источники событий. Возможности системы мониторинга дают возможность объединить несколько локальных систем в глобальный центр мониторинга. Что позволяет организациям с распределённой структурой обеспечивать централизованный мониторинг и обслуживание системы из единого центра компетенций, формировать картину происходящего во всей организации.

Использование сервиса дает значительные преимущества. При использовании сервиса снижается нагрузка на персонал, специалистам не приходится выполнять рутинную работу обработки данных, фиксируемых в журналах событий. Они сразу получают информацию, обработанную экспертами и дополненную рекомендациями. Постоянный анализ событий экспертами позволяет снизить время реагирования на инциденты. Внутренние пользователи (в том числе привилегированные) совершают меньше нарушений, зная, что их действия протоколируются, записываются и в любой момент доступны для анализа. 

Гибкость сервиса предоставляет возможность решать широкий спектр задач за счёт включения, по мере необходимости, дополнительных опций в состав услуги. Выбор оптимального набора услуг и режима сервиса позволяет подобрать сервис под индивидуальные потребности. Отсутствие капитальных затрат и необходимости найма новых сотрудников помогает существенно оптимизировать расходы.

В целом, сервис помогает понять суть происходящих событий и существующих процессов информационной безопасности в организации, оптимизировать их.  А затем, сформировав представление о реальном состоянии информационной безопасности в организации, навести порядок: последовательно устраняя существующие проблемы, совершенствовать систему обеспечения информационной безопасности компании.

 

 

Смотрите также

Подпишись на новости!
Подписаться