Автоматизированная информационная система – это совокупность программно-аппаратных средств, предназначенных для автоматизации деятельности, связанной с хранением, трансляцией и обработкой информации
Введение
При внедрении средств автоматизации управления организация информационной безопасности компанииподнимается на качественно иной уровень, который обеспечивает уменьшение рисков и увеличение эффективности инвестиций в средства информационной безопасности. Общеизвестно, что инфраструктура информационных технологий большинства крупных российских организаций является сложной и обладает распределенным характером.
Присутствие значительного числа удаленных площадок, мобильных пользователей, повсеместное использование сети Интернет, значительная зависимость бизнеса от информационных систем привели к тому, что сейчас уже невозможно представить себе современную фирму без совокупности подсистем информационной безопасности. Кроме стандартных систем обеспечения информационной безопасности начинается внедрение систем, способных обнаружить вторжения, а также сканеров уязвимостей, систем фильтрации содержания (контента), сложных DLP-систем и так далее. Некоторые специалисты по информационной безопасности указали на парадоксальные свойства такого подхода, а именно, далеко не всегда количество в данном случае способно переходить в качество. Разноплановые системы обеспечения информационной безопасности не только могут плохо осуществлять взаимодействие друг с другом (а бывают даже конфликты), но и способны породить значительное число сообщений. Появляется необходимость в увеличении количества сотрудников, занимающихся анализом этих сообщений. Система информационной безопасности при этом может рассыпаться на ряд отдельных независимых подсистем. Это означает отсутствие возможности управления информационной безопасностью из единого центра и получения комплексной информации о степени защищенности ключевых систем, связанных с информационными технологиями.
Автоматизированная информационная система службы безопасности
Большинство менеджеров, связанных с информационной безопасностью, рано или поздно начинают понимать тот факт, что все средства защиты информации должны взаимодействовать друг с другом и получать управление из единого центра безопасности. Создание подобного центра способно существенно облегчить исполнение требований стандартов в сфере менеджмента информационной безопасности.
В качестве инструмента, предназначенного для создания единого центра безопасности, могут служить автоматизированные системы управления информационной безопасностью (АСУИБ), которые способны предоставить информацию о состоянии информационной безопасности в компании в реальном масштабе времени с необходимым уровнем детализации, требуемым для специалистов по информационной безопасности всех уровней.
Подобные системы способны обеспечить сбор информации от разных подсистем, обеспечивающих информационную безопасность, выполнить анализ и сохранение событий безопасности, обработку инцидентов, связанных с информационной безопасностью, сформировать отчеты разного уровня детализации для руководящих работников и специалистов. Кроме того, они могут осуществить сохранение в структурированном виде и актуализацию документов, которые связаны с информационной безопасностью компании, баз событий, инцидентов и рисков информационной безопасности, перечней активов и прочих. Формирование подобной системы, которая будет адаптирована к параметрам конкретной организации, является достаточно нетривиальной задачей.
С некоторой условностью АСУИБ следует поделить на следующие функциональные уровни:
- Функциональный уровень, выполняющий сбор сведений.
- Функциональный уровень, являющийся ядром.
- Функциональный уровень, осуществляющий управление.
Создание АСУИБ следует начинать с уровня ядра. В этом уровне выполняется сбор, анализ и выявление корреляций между событиями безопасности, которые поступают от систем, обеспечивающих информационную безопасность, и разных элементов инфраструктуры информационных технологий. Функционирование уровня ядра должно настраиваться согласно политике информационной безопасности, которая принята в компании.
Система с высоким уровнем сложности, которая ориентирована на специфику конкретной компании, аналогичная АСУИБ, конечно, не может быть выполнена в виде коробочного решения. Тем не менее и вести разработку подобной системы с нуля может быть неоправданно дорогим и долгим процессом. Известно большое количество систем разного уровня, способных стать основой АСУИБ организации.
Как правило, уровень ядра может быть построен на базе одной из имеющихся на рынке SIEM-систем (Security Information and Event Management). SIEM-системой является программный или программно-аппаратный комплекс, основной функцией которого считается обработка значительного числа событий безопасности, порожденных разными системами, и генерация на их базе инцидентов информационной безопасности. От миллионов сообщений и log-записей должен быть выполнен переход к незначительному количеству настоящих инцидентов информационной безопасности.
Но как это ни парадоксально, первым вопросом, на который следует найти ответ, является вопрос, нужна ли в принципе SIEM-система для данной организации. Иногда достаточно иметь простую систему управления логами. Приведем следующие главные причины, предполагающие отказ от использования мощных SIEM-систем:
- Когда ИТ - инфраструктура организации представлена маршрутизатором, несколькими коммутаторами и парой-тройкой серверов, то использование SIEM-системы может быть нецелесообразным.
- Если организация не готова самостоятельно выполнить настройку SIEM-системы под себя или привлечь сторонних консультантов, то пользы от нее будет мало.
