Журнал "Information Security/ Информационная безопасность" #1, 2019

СМСИБ применяется для: l оперативного контроля за защищенностью информа- ционных систем; l обнаружения и сбора событий безопасности из журналов аудита информа- ционных систем; l корреляции событий без- опасности и обнаружения инцидентов ИБ; l построения отчетов и опо- вещения об инцидентах ИБ; l обеспечения хранилища исходных и нормализован- ных событий безопасности; l обеспечения инвентариза- ции и управления конфигу- рациями информационных активов. Любой интеграционный про- ект включает в себя несколько этапов, я не буду останавли- ваться на этапах, не смежных технической области или напрямую не относящихся к информационной безопас- ности, и выделю четыре (см. рис. 1). Остановимся на каждом этапе подробнее. В данной статье мы рассмотрим все этапы интеграции на примере создания системы мониторинга событий информационной без- опасности (СМСИБ). СМСИБ применяется для: l оперативного контроля за защищенностью информацион- ных систем; l обнаружения и сбора событий безопасности из журналов ауди- та информационных систем; l корреляции событий безопас- ности и обнаружения инциден- тов ИБ; l построения отчетов и опове- щения об инцидентах ИБ; l обеспечения хранилища исходных и нормализованных событий безопасности; l обеспечения инвентаризации и управления конфигурациями информационных активов. Проведение обследования В большинстве случаев на дан- ном этапе проводится изучение текущей инфраструктуры. Ито- говым документом должен быть отчет о предпроектном обследо- вании, который содержит: l имеющиеся нормативно- методические и организацион- но-распорядительные докумен- ты по вопросам обеспечения информационной безопасности; l порядок взаимодействия под- разделений, обеспечивающих и контролирующих информа- ционную безопасность; l актуальные сведения об архи- тектуре сети, составе и количе- стве технических и программ- ных средств информационной системы; l информацию о наличии требо- ваний к сбору и анализу событий информационной безопасности, расследованию инцидентов ИБ, к срокам хранения данных о собы- тиях информационной безопасно- сти и инцидентах ИБ; l планы модернизации сети и информационной системы с указанием ориентировочных сроков проведения работ; l другие особенности инфор- мационной системы, влияющие на архитектуру СМСИБ. Этот этап чаще всего прово- дится заказчиками в рамках системной интеграции единого проекта, но также может прово- диться отдельно как научно- исследовательская работа (НИР). Если предпроектное обсле- дование проводится в рамках НИР, то, помимо аудита теку- щей инфраструктуры, анали- зируются имеющиеся на рос- сийском рынке продукты СМСИБ, выбирается про- граммный продукт и состав- 10 • УПРАВЛЕНИЕ Интеграционные проекты: практические кейсы на основе собственного опыта орой с момента решения о внедрении какой-либо системы или подсистемы защиты информации до ее реального внедрения проходят месяцы, а бывает, что и годы. Это выбор продукта и вендора, проведение пилотных испытаний, обоснование экономической целесообразности, подготовка проектной документации, ее согласование с ИТ-блоком (а равно поиск компромиссов), подготовка технической документации, проведение закупочной процедуры... И так можно продолжать до бесконечности. Чтобы дойти до самого процесса интеграции, в большинстве случаев специалистам в области информационной безопасности нужно пройти сложный и запутанный квест. В этой статье я хотела бы поделиться практическими лайфхаками, как упростить реализацию интеграционного проекта и сохранить нервы себе и своему руководству. П Елена Нагорная , руководитель направления департамента по защите активов и информации АО “Техснабэкспорт” Рис. 1. Основные этапы интеграционного проекта

RkJQdWJsaXNoZXIy Mzk4NzYw