Журнал "Information Security/ Информационная безопасность" #4, 2020

Основа основ чистой SIEM – это статистика и математика. Система не сможет принимать реше- ния за вас и обеспечивать какие-либо защитные меры. Принимать решения и действовать будете вы и ваши защитные системы, а SIEM только подскажет, когда и в каком направле- нии нужно работать. 1 января 2018 г. всту- пил в силу Федераль- ный закон от 26.07.2017 г. № 187-ФЗ "О безопасности кри- тической информа- ционной инфраструкту- ры Российской Феде- рации", являющийся частью Доктрины информационной безопасности Российской Федерации. Из него следует определение объектов КИИ – это автоматизированные системы управления, инфор- мационные системы, сети и телекоммуникации – а также определение субъектов КИИ: ими являются владельцы ука- занных типов систем, в пер- вую очередь те, что работают в одной из определенных в законе отраслей. Не станем подробно останав- ливаться на тонких местах 187-ФЗ, проблемах его право- применения, качестве прора- ботки или качестве выполнения регулятором своих функций. Рассмотрим варианты приме- нения закона на практике: что же можно использовать, чтобы защитить свои информацион- ные системы. Закон определяет мероприя- тия, предписанные субъектам КИИ: l категорирование объектов КИИ; l создание системы обеспече- ния безопасности объектов КИИ; l интеграцию с ГосСОПКА. В контексте данной статьи рассмотрим аспекты создания системы обеспечения безопас- ности и интеграцию с ГосСОП- КА. Причем, согласно закону, объект КИИ может относиться к категории значимых, а может и не относиться. В первом слу- чае вы реализуете систему защиты на свое усмотрение, а во втором у вас появляется вспомогательная система. Конечно же, у вас могут быть предустановленные системы, и как раз о них дальше пойдет речь. SIEM-системы SIEM – это система, соби- рающая данные об общем состоянии и безопасности информационной системы из различных источников и пре- доставляющая их пользовате- лю в рамках единого интер- фейса. Ее ключевой функцией является работа на упрежде- ние угроз: провести анализ событий, на его основе сде- лать выводы и реализовать меры противодействия. Вто- рая функция – хранить соби- раемые данные в структури- рованном виде, чтобы их можно было предоставить в качестве доказательств в случае инцидентов. В идеале SIEM должна обес- печивать контроль информа- ционной системы в режиме реального времени, позволяя реагировать на возникающие события, пока ситуация не стала критической. Нужно четко осознавать тот факт, что основа основ чистой SIEM – это статистика и математика. Система не сможет принимать решения за вас и обеспечи- вать какие-либо защитные меры. Принимать решения и действовать будете вы и ваши защитные системы, а SIEM только подскажет, когда и в каком направлении нужно работать. SIEM нужна для того, чтобы экономить время. Если у вас используется набор защитных систем (DLP, IDS, межсетевые экраны и т.д.), то при отсут- ствии SIEM сотрудники отде- ла информационной безопас- ности будут тратить очень много времени на обработку логов каждой отдельной системы. Но есть другой нюанс: недо- статочно просто установить SIEM "из коробки". Вам потре- буется написать ТЗ на исполь- зование системы с учетом имеющейся информационной инфраструктуры, а это значит, что необходимо провести ее предварительный аудит. Затем вы должны выбрать SIEM и только потом начать внедрение системы, а оно состоит из нескольких этапов: l установка и базовая настрой- ка; l после периода пробной экс- плуатации – создание дополни- тельных правил, учитывающих особенности обработки инфор- мации в конкретной организа- ции; l тестовая эксплуатация; l корректировка. И только потом – ввод в экс- плуатацию. Все это может про- исходить в несколько итераций и определенно займет суще- ственное время. SIEM – это хорошие системы, но нужно четко осознавать, для чего они созданы и каковы осо- бенности их использования. ГИС ГосСОПКА В качестве меры организации защиты объектов КИИ госу- дарство предлагает подключе- ние к системе ГосСОПКА. В этом случае, как и в случае с SIEM, есть нюансы, о которых нужно знать. Государство не берет на себя обязательство защищать ваши информационные системы от атак. Центры ГосСОПКА выпол- няют следующие функции: 14 • В ФОКУСЕ Реализация требований 187-ФЗ на стыке SIEM и DLP ормативная база о безопасности КИИ содержит в себе вполне конкретные требования по организации системы защиты, поэтому выбор решения для ее обеспечения оказывается очень непростым. В статье пойдет речь о том, как в условиях ограниченного бюджета построить с нуля систему, соответствующую 187-ФЗ. Н Дмитрий Кандыбович, генеральный директор Staffcop (ООО “Атом безопасность”)