ООО "Инновационные Технологии в Бизнесе"

 

          Siem Analytics

 Поиск

 

Вопрос-ответ Версия для печати Уменьшить шрифт Увеличить шрифт СРЕДСТВА ЗАЩИТЫ  SIEM

      SIEM СИСТЕМА ПАКАБ «SECURITY CAPSULE»

SIEM система ПАКАБ «Security Capsule»

Назначение

Обоснование применения

Пользователи системы

Условия применения

Архитектура

Что можно выявить с помощью SIEM «Security Capsule»?

Что регистрирует SIEM «Security Capsule»?

Особенности SIEM «Security Capsule»

Минимальные требования к аппаратной среде

Сравнение SIEM системы Security Capsule с аналогами

Вопрос-ответ

SIEM cистема регистрации событий безопасности ПАКАБ «Security Capsule» сертифицирована ФСТЭК России для защиты конфиденциальной информации, включая ИСПДн.

Сертификат ФСТЭК России №3649 от 9 ноября 2016 года на ТУ и 4 уровень контроля НДВ.

SIEM Security Capsule зарегистрирована в едином реестре Минкомсвязи России российских программ для электронных вычислительных машин и баз данных в информационно-телекоммуникационной сети «Интернет» . Приказ Минкомсвязи России от 14.06.2016. Свидетельство о государственной регистрации программы для ЭВМ №2016613392.

На данный момент отработана технология удаленного доступа к функциям SIEM «Security Capsule» с целью демонстрации системы. Запросы по организации удаленного подключения можно направить на адрес электронной почты manager@itb.spb.ru или с помощью формы обратной связи.

Назначение

ПАКАБ SIEM «Security Capsule» предназначен для регистрации событий информационной безопасности и выполняет следующие функции: регистрация и учет событий информационной безопасности (ИБ) в информационно-вычислительных системах и сетях, разграничение доступа пользователей к информационным ресурсам SIEM, контроль доступа SIEM, контроль целостности файлов SIEM, корреляцию событий ИБ, реакцию на события ИБ.
На основе анализа информации, полученной с помощью SIEM «Security Capsule», администратор безопасности принимает меры по обеспечению безопасности объектов информационно-вычислительных систем и сетей.

Регистрация событий информационной безопасности реализуется путем ведения журналов регистрации событий информационной безопасности:


доступ пользователя к приложению и завершение работы;

разрешенные/неразрешенные действия пользователей по доступу к информационным ресурсам;

сообщения, получаемые от сетевых устройств;

действия операторов на клиентских рабочих станциях такие как: установление доступа к рабочей станции с помощью USB-ключа eToken; обращение к внешним USB-устройствам, обращение к файлам на внешних устройствах.


Состав модулей программы, в виде разработанных коннекторов может устанавливаться и предоставляться опционально.
По согласованию с заказчиком перечень коннекторов может быть расширен под конкретные потребности Заказчика.

Перечень разработанных коннекторов, позволяющих накапливать следующие данные о событиях информационной безопасности:


данные от сетевых устройств, использующих протокол syslog (например: оборудование Cisco, оборудование S-Terra, CheckPoint);

данные в журналах СУБД, например: Oracle;

данные в системном журнале ОС семейств Windows, Linux;

данные при применении съемных носителей информации типа eToken, USB, LPT, COM. IEEE 1394, ZlocK, Device Lock;

данные, полученные от СЗИ от НСД, например: Блок-Хост, Dallas Lock;

данные, полученные от антивирусных средств, например: Доктор WEB, NOD32, Антивирус Касперского;

данные, полученные из Active Direcory;

данные реестра ОС Windows;

данные, полученные от IDM систем (Identity Management), например: Аванпост;

данные, полученные от DLP систем (Data Leak Prevention), например: Falcongaze.

Обоснование применения:

Выполнение требований Федерального закона Российской Федерации от 27 июля 2006 г. 152-ФЗ «О персональных данных».

Выполнение требований Постановления Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Выполнение требований Приказа ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Выполнение требований Приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Выполнение требований Приказа ФСТЭК России 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».

Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры (утверждены заместителем директора ФСТЭК России 18 мая 2007 г.)

Выполнение требований РД Гостехкомиссии России от 30 марта 1992 г. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».

Выполнение требований нормативно-методического документ Гостехкомиссии России от 30 августа 2002 г. № 282 СТР-К.

Выполнение требований Приказа ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».


В целом SIEM «Security Capsule» ориентирована на соответствие отечественным техническим регламентам и стандартам в области информационной безопасности.

Пользователи системы

Предполагается что пользователями системы являются:


администраторы безопасности;

администраторы ИС, СУБД, ЛВС, СПД;

руководители служб безопасности;

руководители компаний, предприятий (организаций);

разработчики систем защиты конфиденциальной информации.

Условия применения

С целью использования SIEМ-системы должны быть выполнены следующие условия:


SIEM «Security Capsule» функционирует под управлением ОС Microsoft Windows XP\7\8\10, Windows Sever 2010\2012, OC Linux.

Для работоспособности программы необходима среда исполнения Microsoft .NET Framework 4.0.

Программа работает в архитектуре клиент/сервер. Серверной частью является СУБД. В качестве СУБД используется My SQL Database Server 5.5.2 или MS SQL.

Архитектура

ПАКАБ «Security Capsule» основывается на клиент-серверной технологии для распределенных неоднородных ИС, СПД, ЛВС и системы защиты конфиденциальной информации.

ПАКАБ «Security Capsule» имеет модульную архитектуру, включающую в себя:


модуль серверной части;

модуль мониторинга и администрирования;

центральный модуль;

клиентские модули;

коннекторы;

модуль формирования отчетов.


Серверная компонента имеет иерархическую структуру. Таким образом, мониторинг событий может осуществляться локально в территориально удаленных подразделениях, филиалах, дочерних и зависимых организациях. Первичная обработка событий ИБ осуществляется на локальных серверах, на центральный сервер передается либо полный состав событий ИБ, либо сформированный перечень критических событий и результаты анализа.


С целью снижения нагрузки на сеть передачи данных первичная обработка событий осуществляется на серверах «Security Capsule», установленных в ЛВС. В зависимости от степени важности и критичности, информация о событиях ИБ передается на серверы более высокого уровня. С целью снижения трафика информация на сервера более высокого уровня передается по расписанию, как правило, во время наименьшей нагрузки на СПД. Критические события передаются в режиме реального времени.


Важнейшим модулем системы является модуль обработки и отображения информации о событиях, формирования отчетов. Администраторы системы имеют возможность самостоятельно, в соответствии с требованиями политики информационной безопасности, определять перечень контролируемых событий, выбирая из базового набора, требуемый. Определять уровни критичности.


В рамках анализа событий подразделяются на события ИБ ОС, сетевых устройств, СЗИ от НСД, СУБД, антивирусных средств, прикладных систем. Каждому контролируемому событию или группе событий на этапе настройки системы присваивается статус. Сбор событий может быть непрерывным, дискретным с привязкой к системе единого времени, во временном интервале. События от различных источников событий могут быть сопоставлены по различным критериям. События могут быть отсортированы, ранжированы и отфильтрованы по различным признакам. Администратор системы имеет возможность управлять правилами обработки событий. Отдельно обрабатываются события, связанные с контролем учетных записей пользователей, включая создание, изменение, удаление, контроль прав доступа на основе контроля , например, AD. Также обработке подлежат события связанные с установкой и\или удалением общесистемного и прикладного ПО, средств защиты с использованием механизма контроля системного реестра. В Security Capsule реализовано ведение «белого» и «черного» списков ПО.


Security Capsule является незаменимым средством при выявлении и разборе инцидентов ИБ. Его применение позволяет оценить эффективность применения средств защиты, применяемых в системе защиты, корректность настроек средств защиты, выявить наиболее проблемные элементы инфо-телекоммуникационных систем, АСУ ТП.


Для администрирования системой предусмотрены группы пользователей с настраиваемыми правами доступа и функциональностью. Завершается разработка коннекторов для сбора событий ИБ от специализированных источников, входящих в состав АСУ ТП, например, Siemens, Alstom, Kyland и т.д.



Модульная архитектура обеспечивает простоту обслуживания и масштабирования SIEM «Security Capsule».

Что можно выявить с помощью SIEM «Security Capsule»?

С помощью SIEM «Security Capsule» можно выявить:


Сетевые атаки во внутреннем и внешнем периметрах.

Минимальные требования к аппаратной среде.

Вирусные заражения, бэкдоры и трояны.

Попытки несанкционированного доступа к информации.

Фрод и мошенничество.

Ошибки в работе информационных систем.

Уязвимости.

Ошибки конфигураций в средствах защиты и информационных системах.

Что регистрирует SIEM «Security Capsule»?

События, связанные с попытками пользователей установления доступа.

Сообщения, получаемые от сетевых устройств.

События вызванные действиями пользователей на рабочих станциях.

События, получаемые от средств контроля съёмных носителей.

События прикладных информационных систем.

События, связанные с AD.

Контроль операционной и программной сред.

События СУБД.

События ОС семейства Windows, Linux.

События, получаемые от СЗИ от НСД.

Особенности SIEM «Security Capsule»

Security Capsule в отличие от аналогичных SIEM-систем, например, ArcSight, имеет ряд существенных архитектурных отличий, определяемых логикой работы системы:


Прежде всего, Security Capsule имеет большой стандартный сертифицированный набор коннекторов, входящих в базовую конфигурацию, что позволяет разворачивать систему, не прибегая к необходимости разработки коннекторов, тестирования работоспособности коннекторов и ядра системы. При этом состав коннекторов может быть дополнен в зависимости от требований, предъявляемых к системе. В отличие от зарубежных аналогов, требующих разработки коннекторов с использованием средств разработки. Данный недостаток аналогов не позволяет убедительно утверждать о возможности реализации требуемых функций и механизмов, значительно увеличивает и усложняет процесс внедрения и эксплуатации SIEM . Важным фактором является необходимость подтверждения соответствия в системе сертификации ФСТЭК России, например, через инспекционный контроль. Не требуется штата для обслуживания, настройки и сопровождения системы.

Security Capsule имеет сформированную базу данных, реализованную средствами различных СУБД, таких как: MS SQL Server, MySQL, и не требует создания базы данных событий. База данных начинает заполняться данными о событиях безопасности сразу после установки, настройки и активации Security Capsule. Модель базы данных может быть изменена в соответствии с требованиями к системе.

Security Capsule построена с использованием клиент – серверной архитектуры. Установка и настройка клиентов осуществляется удаленно. Клиенты осуществляют мониторинг и сбор событий ИБ, которые могут передаваться в режиме реального времени на сервер системы или, с целью уменьшения передаваемого трафика, по расписанию. При этом передаваемые данные защищаются криптографическими методами.

Не требуется штата программистов, способных разрабатывать модули и компоненты системы, включая коннекторы к источникам.

Минимальные требования к аппаратной среде

Ниже приведен список минимальных требований к аппаратной среде:


процессор Intel X86 или совместимый с частотой 1 ГГц или выше;

не менее 256 Мб ОЗУ;

для установки Изделия необходимо не менее 200 Мб свободного места на используемой ЭВМ постоянном носителе машинной памяти;

ручной манипулятор типа «мышь»;

устройство для работы со съемными носителями информации (дисковод для CD и DVD);

видеокарта SVGA;

сетевой Ethernet-адаптер с типом разъёма 8P8C для витой пары;

компьютерная клавиатура;

монитор с диагональю не менее 15 дюймов и режимом разрешения не менее 800х600 dpi.


 

Форум

Купить

Промо сайт (рус |

eng)

Задать вопрос




Правовая информация | Заявление о конфиденциальности | Использование Cookie | Карта сайта | Контакты

© ООО «ИТБ» 2009-2017 г.
Все права защищены. 

Рейтинг@Mail.ru Яндекс.Метрика

Наверх