НАЗАД

Построение системы информационной безопасности

Данная статья (ряд статей) носит оценочный и демонстрационный характер.
В данной статье приведены решения, которые позволяют реализовать построение системы информационной безопасности.
В качестве примера используется модель банка, для которой создается система информационной безопасности.
Настоящая статья подготовлена на основании общедоступных маркетинговых и технических материалов, находящихся в открытом доступе.
Все рисунки и cтатьи могут распространяться свободно и безвозмездно.


Часть 14. Система управления событиями и информацией о безопасности.

Платформа RSA enVision является системой управления событиями и информацией о безопасности (SIEM - Security Information and Event Management). Она позволяет построить единую, интегрированную систему управления журналами регистрации событий по типу «три в одном», упрощая соблюдение отраслевых нормативных требований, повышая безопасность и снижая риски, а также оптимизируя ИТ инфраструктуру и ее обслуживание. Все эти преимущества достигаются благодаря автоматическому сбору событий, анализу, оповещению об инцидентах, аудиту журналов регистрации событий, подготовке отчетов и надежному хранению всех собранных данных.
Системой управления событиями и информацией о безопасности обеспечивает сбор всех журнальных файлов с определенных (возможно со всех) IP устройств сети, при этом постоянно архивирует копии всех полученных данных, обрабатывает журналы в режиме реального времени и генерирует оповещения при обнаружении подозрительного поведения пользователей или устройств.

Описание структуры системы

Система управления событиями и информацией о безопасности состоит из трех компонент:

Компонент «Сбор событий»

Сбор событий – платформа RSA enVision была специально спроектирована для сбора данных со всех источников, в том числе с сетевых устройств, средств обеспечения безопасности, хостов и устройств хранения информации, а также приложений и баз данных. За счет использования собственной архитектуры LogSmart IPDB (Internet Protocol Data Base), платформа собирает события без помощи агентов. Не осуществляется фильтрация, выборка, нормализация или внесение изменений в события – поступающие данные хранятся в неизменно формате. Это позволяет автоматически выполнить требование многих нормативных актов о хранении журналов аудита в неизменном виде. Данные перед записью в IPDB сжимаются, что позволяет в среднем в 5 раз снизить объем дискового пространства для долговременного хранения журналов аудита.
enVision позволяет собирать данные от источников событий по следующим протоколам:

Компонент «Управление данными»

Управление данными – эффективность технологии LogSmart IPDB обеспечивает лидирующую среди аналогичных систем производительность при обработки поступающих событий (EPS - Event Per Second). Использование недорогого аппаратного обеспечения, а также уменьшение объемом хранимых данных за счет компрессии обеспечивают низкие эксплуатационные расходы. Обслуживание и модернизация могут производиться без остановки операций. Наличие технологии высокой доступности обеспечивает непрерывный сбор и обработку поступающей информации и гарантирует сохранность всех событий, пришедших от прикладных систем.

Компонент «Анализ»

Анализ – доступ аналитиков и администраторов ИБ к собранным данным осуществляется на основе ролевой модели. Из единой консоли можно оперировать всей информацией полученной на всех сайтах организации и со всех устройств. Автоматизированный анализ информации начинается с момента поступления событий в enVision с параллельной интеллектуальной инспекцией для оповещения об аномальных событиях и инцидентах в реальном времени. Используемый в enVision подход по классификации сообщений (таксономия) определяет формат и контент обрабатываемых данных, и позволяет автоматически определять регулярные значение параметров (baseline) и детектировать отклонения от них.

Архитектура внедрения системы

Для выполнения требований регулирующих органов и для соответствия стандартам ИБ ИСО 27001 определен список оборудования, с которое должно являться источником событий. Подсчитано, что максимальное количество событий в пике может достигать не более 13000 событий в секунду. Соответственно, для обеспечения работы системы необходимо два коллектора: один на 10000 событий в секунду, второй на 5000 событий в секунду. На рисунке ниже показана аппаратная структура системы RSA enVision.

Из рисунка видно, что система управления событиями и информацией о безопасности (RSA enVision состоит):

На рисунке ниже показана архитектура внедрения системы (RSA enVision состоит).

Архитектура внедрения системы управления событиями и информацией о безопасности.



Николай Ткаченко, 2015 г.