Центр компетенции информационной безопасности

1

Security Vision: Система мониторинга

информационной безопасности

Аркадий Прокудин, руководитель группы продаж

Центра компетенции информационной безопасности

Security Vision

2

Проблемы информационной безопасности

• Вирусные эпидемии

• Недовольные сотрудники

• Конкурентные войны

• Кража информации

• Промышленный шпионаж

• Публикация закрытой информации

Security Vision

3

Простота создания проблем

• Symantec Report 2012 убытки от ИТ

мошенников в мире $110 млрд.

• Вывести из строя сайт конкурентов на

1 неделю – $250-500 (Аэрофлот)

• Рассылка СПАМа на аудиторию в 1.000.000

почтовых ящиков Вашего региона – $160

• «Хакерские комплекты» от 99$, 199$, 299$

• Sophos, ботнет ZeroAccess - доход 3 млн.р.\день

Security Vision

Враг не дремлет

Security Vision

5 5

Соответствие требованиям законодательства

• ФЗ №152 «О персональных данных»

• Требования к Национальной платежной системе (НПС)

• ФЗ №98 «О коммерческой тайне»

• Приказ №58

• СТР и СТР-К

• СТО БР ИББС

• Требования к автоматизированным банковским системам (АБС)

Security Vision

6 6

Соответствие требованиям законодательства

• ФЗ 152, ст. 19. Меры по обеспечению безопасности персональных

данных при их обработке

1. Оператор при обработке персональных данных обязан принимать

необходимые организационные и технические меры... для защиты

персональных данных от неправомерного или случайного доступа к

ним, уничтожения, изменения, блокирования, копирования,

предоставления, распространения персональных данных, а также от

иных неправомерных действий в отношении персональных данных.

Security Vision

7 7

Соответствие требованиям законодательства

• ФЗ 152, ст. 24. Ответственность за нарушение требований настоящего Федерального закона Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.

Security Vision

8 8

ФСТЭК, ФСБ, Мининформсвязь

• Требования ФСТЭК России. Основные мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

• Требования ФСБ России. Использование шифровальных (криптографических) средств для обеспечения безопасности персональных данных

• Совместный приказ от 13 февраля 2008 г. № 55/86/20 ФСТЭК, ФСБ, Мининформсвязи, утверждающий «Порядок проведения классификации информационных систем персональных данных»

Security Vision

9

В итоге

• Штрафы и санкции

• Судебные разбирательства

• Дисциплинарная ответственность

• Административная ответственность

• Уголовная ответственность

• Финансовые потери

• Репутационные убытки

Security Vision

10

Что делать?

Security Vision

11

Строить комплексную систему безопасности

Security Vision

12

Защита от атак и межсетевое экранирование: Cisco, Juniper, StoneGate, IBM, Континент

Защита информации в каналах: Cisco, Juniper, Континент, S-Terra, VipNET

Антиспам и защита Web-данных: IronPort E-mail & WEB, ProofPoint, , Лаборатория Касперского

Защита сети компании

Security Vision

13

Защита рабочих станций и серверов

Защита информации в канале: CheckPoint, Stonegate, Cisco, WebSense, С-Терра

Антивирусная защита: Лаборатория Касперского, ESET NOD32

Security Vision

14

Защита баз данных и контроль утечек информации

Защита от утечек данных: DeviceLock, SecretNet, Соболь

Защита баз данных: Application Security, Imperva

Security Vision

15

Разные СЗИ – разные форматы данных

Firewall Logs

NIDS Logs

Security Vision

16

Сложности обеспечения ИБ

• Разнородные средства защиты с разными форматами и журналами

• Недостаток своевременно

подготовленных отчетов

• Разные форматы отчетов на разных

языках

• Слишком много сигналов тревоги

• Мониторинг разных СЗИ через

различные консоли

Security Vision

17

Решение

SIEM – Security Information Event Manager system

Система комплексного мониторинга и управления информационной безопасностью

Security Vision

18

Security Vision: автоматизация ИБ

Security Vision

19

Сбор событий • Сбор и анализ данных разнородных

источников в разных форматах

• Приведение событий различных

систем к единому формату

• Корреляция событий в инциденты

• Антивирус Касперского

• XSpider

• C-Терра

• Инфотекс VipNet

• Sophos

• Код безопасности

• Cisco

• Check Point

• Symantec

• Windows

• Linux и др.

Security Vision

20

Инвентаризация и контроль целостности

• Автоматизация процесса

инвентаризации и контроля

целостности активов предприятия

• Инвентаризация ПО и

оборудования

• Контроль соответствия принятым

шаблонам

• Управление лицензиями ПО

Security Vision

21

Нормализация событий

Различные системы ведут разные формы отчетности.

Антивирус � � f t p _ C h u n k s L i s t � f t p _ C l i e n t N a m e �4 1 1 0 3 ; 8 6 ; 1 . 0 . 0 . 0 ; 6 9

Удаленный доступ 2012-05-22 01:21:46.517 - Error 2012-05-22 01:21:46.527 - code 0x19731002

Файервол •Ђ �•Ђ�•OBJIDINDEX •Ђ �•Ђ�•Ђ � ��� ��� ��� �� Щ Ц ж �: � + •Ђ �•Ђ�•Ђ � � Ђ� � � � � � � Ђ objidIndex�� ��� ��� ��

Security Vision

22

Корреляция событий

2 492 021 событие 982 651 сеанс 219 инцидентов 21 серьезный инцидент

Работаем только с реальными инцидентами, способными нанести ущерб

Security Vision

23

Приоритезация инцидентов

Анализ рисков :

Экспертный метод

Качественный метод

Статистический метод

Количественный метод

Аналитический метод

• Приоритезация инцидентов в зависимости от влияния на

бизнес-процессы

Security Vision

24

Управление инцидентами

• Уведомление об инцидентах: электронная почта

SNMP

пейджер

запись в SYSLOG

мобильный телефон

• Обнаружение инцидентов, пропущенных отдельной СЗИ

Security Vision

25

Сводные отчеты

Любые форматы отчетов

• Более 200 стандартных отчетов;

• Возможность создания любых форм отчетов;

• Отчетность на русском языке для руководства

Отчетность в соответствии с

требованиями политики

информационной безопасности.

Security Vision

26

Масштабируемость

• Локальное исполнение:

мониторинг информации в рамках небольшой организации

• Глобальное исполнение:

централизованное отображение информации, управление локальными средствами сбора и генерация отчетов для распределенной компании

Security Vision

27

1 агент, 1 сервер, 1 консоль

• Интеграция со всеми СЗИ

• Нормализация данных СЗИ

• Отправка нормализованных данных от СЗИ

в SIEM

• Сбор событий в единую базу знаний

• Корреляция событий различных систем

• Анализ полученных данных на предмет

соответствия шаблонам

• Организация хранения базы знаний

• Формирование политик управления ИБ

• Отчетность на русском языке

• Управление инцидентами из любой точки

1 агент

1 сервер

1 консоль

Security Vision

28

Ядро или Security Vision

Корреляция событий

Ведение и хранение журналов

Сбор событий

Анализ событий

Управление инцидентами

ISO27001

Контроль целостности

ФЗ№152

Инвентаризация ПО и

оборудования

Русский интерфейс

Сбор событий

со всех СЗИ

Соответствие требованиям

СТОБР,PCIDSS

Управление рисками

Русская отчетность

Security Vision

29

Security Vision

• На рынке с 2008 года

• Призовое место на конкурсе

инноваций Cisco 2010

• Золота медаль ЗУБР-2011 на

выставке InfoSecurity2011

• Прорыв года 2011 года в области

управления ИБ (Журнал LAN)

• Премия Серебряный кинжал 2012

Security Vision

30

Security Vision

Сертифицирован во ФСТЭК на

НДВ по уровню 4, для

автоматизированных система до

класса 1Г и ИСПДн до 1 класса

включительно.

Security Vision

31

История внедрений

Security Vision

32

Задача Предоставить возможность в любой момент времени получить информацию о состоянии

защищенности всех СЗИ организации в едином формате на русском языке.

Решение Внедрение системы мониторинга информационной безопасности(СМИБ) и ее

интеграция с серверами управления всеми СЗИ.

Реализация Внедрение и интеграция СМИБ с системами:

• защиты сети (межсетевого экранирования, обнаружения вторжений)

• антивирусной защиты

• контроля доступа к ресурсам Интернет

• сетевого аудита

• службой каталога.

История внедрений

Security Vision

33

“Внедрение системы мониторинга информационной безопасности улучшило и упростило процесс контроля инцидентов в нашей организации.“

Руководитель АСУ ГУП Моссвет, Микляев Евгений

Результат:

• Единая картина защищенности информации

• Формирование отчетности из единой консоли на русском языке

История внедрений

Security Vision

34

Задача Организовать адаптивную защиту информации во внутренней сети

использующую существующие средства защиты.

Решение Организовать принятие решений основываясь на информации со всех

СЗИ и принятие решений в полуавтоматическом режиме на базе утвержденных политик.

Реализация Внедрение системы управления информационной безопасности (СУИБ).

Интеграция СУИБ с системами:

• защиты сети (межсетевого экранирования, обнаружения вторжений)

• антивирусной защиты

• службой каталога

• Управления сетевым оборудованием.

История внедрений

Security Vision

35

“Система управления информационной безопасности Security Vision(IT SMMC) позволила выявить на ранних стадиях распространение вируса Kido внутри сети, приняв решение на базе информации от сетевого оборудования. Это позволило локализовать эпидемию до выпуска антивирусными продуктами сигнатур по выявлению этого вируса.“

Зам. Министра Министерства ЭиПП ПМО, Агапов Андрей

Результат: • Управление уровнем защищенности из единого центра

• Сбор информации со средств защиты и сервисных систем

История внедрений

Security Vision

36

Преимущества

• Подсистема регистрации и учета событий (ФЗ №152)

• Интеграция со СКУД и видеонаблюдением

• Эффективная работа администраторов ИБ

• Мониторинг всех средств защиты

• Управление инцидентами

• Формирование русскоязычных отчетов

• Легкий апгрейд функционала

• Выявление аномалий в сети

• Инвентаризация и контроль целостности

программных и аппаратных ресурсов

• Сертифицированное СЗИ во ФСТЭК

Security Vision

37

Демонстрация

Закажите демонстрацию решения для своей организации!

Security Vision

38

Компания АйТи

115280, г. Москва, ул. Ленинская Слобода, д. 19, стр. 6,

(БЦ «Омега-Плаза»)

Тел.: +7 (495) 974-79-79, 974-79-80

Факс: +7 (495) 974-79-90

Прокудин Аркадий Владимирович

Руководитель группы продаж ЦКИБ

E-mail: aprokudin@it.ru

Спасибо за внимание!