10 марта, 2011, BIS Journal №2(2)/2011

Гарантия не проштрафиться


Щедрин Максим

Ведущий специалист управления информационной безопасности департамента безопасности (ОАО «Россельхозбанк»)

Система управления событиями - не только залог соответствия стандарту PCI DSS, но и фундамент Центра управления информационной безопасности банка

Штрафные санкции − не самые худшие из неприятностей, которые грозят банку, не соответствующему требованиям международного стандарта безопасности данных индустрии платежных карт (Payment Card Industry Data Security Standard − PCI DSS). Чтобы отвечать требованиям этого стандарта, требуются решения, которые затрагивают не только информационную инфраструктуру, но и бизнес-процессы банков, а потому сопряжены с техническими и организационными трудностями.

НЕ ВРУЧНУЮ, НО ИНТЕЛЛЕКТОМ

Банки стараются, чтобы все процессы обслуживания платежных карт российских банков соответствовали жёстким требованиям международного стандарта безопасности данных PCI DSS. Повсеместно работают над приведением банковских информационных систем в соответствие с ним. Среди требований раздела «Регулярный мониторинг и тестирование сети» есть и такое: «Следует просматривать журналы протоколирования событий не реже одного раза в день… анализировать журналы систем обнаружения вторжений (IDS) и серверов, осуществляющих аутентификацию, авторизацию и учет (например, RADIUS)» .

Для выполнения указанного требования стандарт PCI DSS предполагает использование средств регистрации и анализа событий − системных журналов. Такое решение рождено практикой и связано с тем, что работа современных информационных систем сопровождается большим количеством всевозможных системных событий, в том числе в сфере безопасности и многих других.

Большой объём слабо структурированной информации делает слишком трудоемким «ручной» анализ системных журналов и последующее реагирование на инциденты информационной безопасности. При такой обработке анализ проводится со значительным, до нескольких суток, отставанием от момента получения события, высока вероятность человеческой ошибки. Именно поэтому предпочтительны специализированные средства сбора и анализа журналов регистрации событий.

ЦЕНТРАЛИЗУЕМ МОНИТОРИНГ

С помощью таких журналов оптимизация мониторинга достигается, в первую очередь, интеллектуальным разбором событий информационной безопасности (ИБ). Применяются механизмы фильтрации, нормализации, корреляции событий, полученных из различных источников, определяются приоритеты.

Обработанная в режиме реального времени информация выдается на централизованную консоль управления и инструментально визуализируется. Для минимизации рисков и предотвращения угроз данные мониторинга при разборе инцидентов ИБ должны обрабатываться и унифицироваться, для выработки различных форм реагирования.

Богатая современная практика обнаружения и предотвращения информационных угроз в крупных банках показывает эффективность единой, централизованной системы мониторинга событий − промышленного решения Security Operation Centre (Центр управления ИБ). В качестве основы для неё используются Системы управления событиями информационной безопасности (СУСИБ).

Среди представленных на российском рынке СУСИБ в качестве основы создания Центра управления ИБ вполне подходит решение ArcSight ESM. Оно полностью удовлетворяет требованиям стандарта PCI DSS и обладает наиболее широкими функциональными возможностями интеллектуального разбора событий ИБ.

Приводя информационные системы банка в соответствие с требованиями стандарта PCI DSS, при внедрении ArcSight ESM как системы мониторинга и управления событиями, приходится сталкиваться с рядом особенностей. Практический опыт взаимодействия с компанией «ДиалогНаука» свидетельствует: внедрение СУСИБ можно разделить на два этапа, технический и организационный.

УНИФИКАЦИЯ ОБЛЕГЧАЕТ

На техническом этапе решаются две основные задачи. Первая − определение источников событий ИБ. Ими могут быть межсетевые экраны, системы обнаружения и предотвращения вторжений, сканеры уязвимостей, активное сетевое оборудование; операционные системы, как пользовательские, так и серверные, – Windows, Unix/Linux и т.п., СУБД, средства антивирусной защиты; специализированное прикладное программное обеспечение. Вторая задача − сбора событий из выбранных источников в единое хранилище ArcSight ESM.

Унифицированных интерфейсов (коннекторов) для различных IT-систем, СУБД и средств защиты много, около трёхсот. Труднее всего создать и настроить интерфейсы взаимодействия ArcSight ESM со специализированным прикладным программным обеспечением, разработанным банковскими специалистами для своего банка. Например, для SMS-информирования обладателей пластиковых карт. Если подобных прикладных систем несколько, на сроки выполнения технического этапа существенной влияет степень унификации форматов файлов их системных журналов.

Результатом технического этапа является возможность мониторинга событий всех систем при помощи единой консоли управления ArcSight ESM. Такая возможность интересна лишь для технических специалистов − системных администраторов и администраторов ИБ, так как, несмотря на единый интерфейс, по-прежнему возможен лишь «ручной» анализ событий.

Чтобы система ArcSight полноценно обслуживала не только специалистов по ITи ИБ, но и всю информационную систему банка, в том числе руководство и бизнес-пользователей, нужно настроить интеллектуальные механизмы корреляции и определения приоритетов событий на основе статистических данных и задаваемых правил.

Такие механизмы позволяют определить значение каждого единичного события, оценивая его в контексте, показывая обусловливающие обстоятельства. Тем самым выявляется возможное влияние каждого события на различные риски для банка − операционный, репутации, соответствия и другие.

НАСТРАИВАЕМ И ДОКУМЕНТИРУЕМ

Важную роль при внедрении СУСИБ играет следующий, организационный этап, во время которого необходимо решить ряд задач. Первая − для определенных на техническом этапе источников событий настроить правила корреляции, а также механизмы фильтрации и определения приоритетов. При этом необходимо присвоить информационным активам и ресурсам категории критичности для бизнеса банка.

Вторая, одна из важнейших задач организационного этапа, − документировать процесс внедрения СУСИБ. Помимо документации, предусмотренной ГОСТ серии 34 (пояснительная записка к техническому проекту, программа и методика испытаний, инструкции администраторов и пользователей и т.д.), в процессе внедрения СУСИБ необходимо разработать как минимум еще два документа:

  • регламент обработки событий и управления инцидентами ИБ, включающий определение ролей пользователей СУСИБ, описание механизма категоризация событий, порядки обработки событий и идентификации инцидентов, а также  эскалации, обработки, хранения и закрытия инцидентов.
  • стандарт настройки, формулирующий требования к конфигурациям системы мониторинга и систем, подлежащих мониторингу регистрации событий информационной безопасности. 

ПЕРСОНАЛ В КУРСЕ

Далее, необходимо обучение персонала банка. Любая банковская информационная инфраструктура меняется по мере развития бизнес-стратегии, внедрения новых информационных систем и т.п. Банковские специалисты по информационной безопасности должны постоянно быть в курсе отражения этих изменений в СУСИБ и соответствующих доработок инфраструктуры корреляции событий.

Поэтому важным этапом внедрения СУСИБ является обучение персонала банка не только её администрированию, но также поддержке и настройке инфраструктуры корреляции событий ИБ. Процесс внедрения эффективной СУСИБ требует, как минимум, выстраивания механизмов мониторинга и обработки инцидентов ИБ.

Результатом является комплексный бизнес-процесс управления инцидентами в сфере информационной безопасности. Помимо собственно СУСИБ, он включает в себя инфраструктуру корреляции событий, которая обслуживается квалифицированным персоналом  и обеспечена соответствующей документацией.

Внедрение СУСИБ требует значительных ресурсов и участия специалистов различных профилей − не только работников банка, но и специалистов привлекаемой компании-интегратора. Зато проведение полного комплекса технических и организационных мероприятий позволяет банкам не только не бояться штрафов за несоблюдение стандарта PCI DSS. Внедрение СУСИБ закладывает прочную основу создания эффективного Центра управления ИБ.

 

Смотрите также

Подпишись на новости!
Подписаться