Журнал "Information Security/ Информационная безопасность" #1, 2019

Внедрение – самый важ- ный этап. В нем, как прави- ло, задействованы не толь- ко специалисты, обеспечи- вающие информационную безопасность, но и предста- вители блока информацион- ных технологий. ляется технико-экономическое обоснование. В таком случае документ "Отчет о предпроект- ном обследовании" дополни- тельно включает в себя: l сравнительный анализ СМСИБ; l технико-экономическое обосно- вание выбора СМСИБ с учетом потребностей и архитектуры сети заказчика. Подготовка технической/проектной и эксплуатационной документации Это является важным этапом, т.к. определяет технические решения, проект внедрения СМСИБ, порядок подготовки к вводу СМСИБ в действие, порядок взаимодействия под- разделений и многое другое. Важно, чтобы техническая и эксплуатационная документа- ция была подготовлена в соот- ветствии с требованиями: l ГОСТ 34.601–90 "Автомати- зированные системы. Стадии создания"; l ГОСТ 34.201–89 "Виды, ком- плектность и обозначение доку- ментов при создании автома- тизированных систем". Более подробно о составе документов и их содержании говорить не буду. Внедрение Самый важный этап. В нем, как правило, задействованы не только специалисты, обеспечи- вающие ИБ, но и представители блока ИТ. В нашем случае мы еще привлекали разработчиков программного обеспечения, интеграция которого была запланирована с СМСИБ. Этап внедрения включает в себя следующие мероприятия: l развертывание аппаратной части (установка серверов в стойки, создание виртуальных машин – это в нашем случае, т.к. вся инфраструктура орга- низации развернута на среде виртуализации); l инсталляция ОС и компонен- тов ПО; l подключение источников событий ИБ; l настройка сбора сведений об информационных ресурсах; l настройка правил корреляции событий безопасности для выявления инцидентов ИБ; l донастройка системы (раз- граничение прав доступа, соз- дание учетных записей и др.). Как менеджер проектов, который занимается органи- зацией взаимодействия интег- раторов, вендоров и предста- • 11 УПРАВЛЕНИЕ www.itsec.ru Таблица 1. Источники событий Тип внешней системы Способ взаимодействия Польза Операционная система Опрос HTTP, HTTPS, Syslog (в зависимости от операционной системы) Активный, пассивный удаленный сбор и сбор в режиме реального времени Данные из журналов операционной системы позволяют получить информацию о возможных действиях вредоносного ПО, таких как повышение полномочий, массовая работа с файлами и т.п. Сбор данных позволит в режиме реального времени принять меры, предотвратить развитие атаки Инфраструктурные сервисы Опрос MS DCE/RPC, MS CIFS Активный удаленный сбор Данные из журналов инфраструктурных сервисов, например таких как DNS, позволяют получить информацию о попытках обращения к командным центрам, находящимся за периметром организации. Сбор данных позволит в режиме реального времени принять меры, на раннем этапе выявить вредоносное ПО Средства виртуализации Ожидание Syslog Пассивный удаленный сбор В режиме реального времени Данные из журналов средств виртуализации позволяют получить информацию о функционировании инфраструктуры, оперативно принять меры в случаях отказа в обслуживании, в том числе из-за возможных ошибочных действий системных администраторов Сетевое оборудование Ожидание Syslog Пассивный удаленный сбор В режиме реального времени Данные из журналов сетевого оборудования позволяют получить информацию об ошибках в работе оборудования и ошибках конфигурирования. Сбор данных позволит оперативно получить информацию для расследования случаев отказа в обслуживании, а также исправить ошибки конфигурирования сети Средства защиты информации (антивирус, подсистема обнаружения вторжений) Опрос MS SQL, Опрос MS CIFS Ожидание Syslog Активный, пассивный удаленный сбор и сбор в режиме реального времени Данные из этих источников позволяют получить информацию по выявленному вредоносному программному обеспечению, кибератаках и т.п., в режиме реального времени оповестить о массовых атаках либо методичных периодических выявлениях однотипных вредоносных ПО Средства МЭ Ожидание Syslog Пассивный удаленный сбор В режиме реального времени Данные из журналов МЭ позволяют получить информацию о попытках обращения к командным центрам, находящимся за периметром организации. Сбор данных позволит в режиме реального времени принять меры, на раннем этапе выявить вредоносное ПО Средства анализа защищенности Опрос MS CIFS Активный удаленный сбор Данные от средств анализа защищенности позволяют оперативно обогащать события ИБ информацией об активах ЛВС. Подобная информация упрощает и ускоряет проведение расследований инцидентов ИБ Рис. 2. Общая схема системной интеграции

RkJQdWJsaXNoZXIy Mzk4NzYw