ООО «ИТБ» - Защита информации
  https://itb.spb.ru/

Статья «Развитие российских SIEM-систем: Security Capsule» в журнале Инсайд от октября 2013 года.
https://itb.spb.ru/press1.php
Страница 1 из 4

 ПРЕССА О НАС

Статья «Развитие российских SIEM-систем: Security Capsule» в журнале Инсайд от октября 2013 года.

Предпосылкой для публикации данной статьи явились приказы ФСТЭК России № 17 от 11 февраля 2013 года и № 21 от 18 февраля 2013 года, а также обзоры SIEM систем, опубликованные в ряде печатных и электронных средствах массовой информации.

Предпосылкой для публикации данной статьи явились приказы ФСТЭК России № 17 от 11 февраля 2013 года и № 21 от 18 февраля 2013 года, а также обзоры SIEM систем, опубликованные в ряде печатных и электронных средствах массовой информации.

Обзор SIEM систем предлагает описание и анализ функционала зарубежных систем в силу того, что отечественные аналоги малоизвестны. В данной статье рассматривается опыт создания, сертификации и применения, пожалуй, первой отечественной сертифицированной SIEM системы «Программноаппаратный комплекс администратора безопасности». Для кого предназначен продукт:

администраторы сети и информационных систем;

администраторы безопасности;

руководители подразделений по безопасности;

разработчики систем информационной безопасности;

разработчики информационных систем;

руководители компаний.

Прототипом ПАКАБа можно смело указать ПО «Автоматизированное рабочее место администратора безопасности» (АРМ АБ). Первые проекты по разработке и внедрению АРМ АБ были выполнены в период с 2003 по 2005 годы.

АРМ АБ был интегрирован в системы управления сетями связи и цифровых УПАТС оперативно-технологических (ОТС) и общетехнологических (ОбТС) видов связи, прежде всего на полигонах железных дорог (МПС России и впоследствии ОАО «РЖД»). Необходимость создания специализированного программного средства мониторинга и анализа событий ИБ для систем управления сетями связи была вызвана следующими факторами:

переход на цифровые виды связи с коммутацией пакетов;

необходимость обеспечения безопасности информации, прежде всего от несанкционированного доступа (НДВ) и недекларированных возможностей (НДВ). Данный период характеризуется отсутствием специалистов по информационной безопасности в связной отрасли, недопонимание актуальности данных вопросов для обеспечения связи, большого количества разнообразных неоднородных средств защиты от НСД.

Архитектура АРМ АБ основывалась на клиент-серверной технологии. Сбор, передача и обработка данных (событий информационной безопасности) были реализованы на основе применения протокола SNMP. Решение проблемы сбора и передачи данных о событиях ИБ потребовало доработки систем управления сетями связи и УПАТС. В работах участвовали специалисты Служб связи и вычислительной техники ОАО «РЖД» (МПС России), ОАО «Дирекция по строительству сетей связи» - филиал ОАО «РЖД», а также лидеры отрасли такие как ЗАО «Информтехника и Промсвязь» ( г. Москва), ЗАО «Интелсет» (г. Санкт-Петербург), ОАО «Морион» (г. Пермь).

© ООО «ИТБ» 2009-2017 г.
Все права защищены. 
copyright.

  ООО «ИТБ» - Защита информации
 https://itb.spb.ru/

Статья «Развитие российских SIEM-систем: Security Capsule» в журнале Инсайд от октября 2013 года.
https://itb.spb.ru/press1.php
Страница 2 из 4

При помощи АРМ АБ были решены следующие основные задачи:

сбор, передача, обработка и хранение данных о событиях ИБ;

анализ событий;

принятие решения по событию;

контроль действий эксплуатирующего персонала;

обеспечена автоматизация мониторинга и анализа событий администраторов ОТС и ОбТС;

разработка и предоставление отчетов о событиях ИБ;

анализ статистики событий ИБ.

Сбор данных о событиях ИБ осуществлялся с установленных средств защиты от НСД (СЗИ от НСД), журналов ОС (OS Windows, Linux), прикладного ПО систем управления сетями связи.

Таким образом, можно сделать вывод о том, что в АРМ АБ впервые были реализованы основные функции SIEM системы.

Программно-аппаратный комплекс администратора безопасности (ПАКАБ) и его коммерческая версия «SecurityCapsule» явились логическим продолжением развития SIEM систем.«Security Capsule» основывается на клиент-серверной технологии. Для сбора и обмена данными используются программные модули, реализующие SNMP и Syslog протоколы.

«Security Capsule» (ПАКАБ) имеет модульную архитектуру, включающую в себя:

модуль серверной части;

модуль мониторинга и администрирования;

центральный модуль;

клиентские модули;

коннекторы.

Ядро системы образуют модули и поставляются в виде дистрибутива. В отличии от зарубежных аналогов «Security Capsule» собирает и обрабатывает события от следующих источников:

СЗИ от НСД;

e Token;

антивирусные программы;

© ООО «ИТБ» 2009-2017 г.
Все права защищены. 
copyright.

  ООО «ИТБ» - Защита информации
 https://itb.spb.ru/

Статья «Развитие российских SIEM-систем: Security Capsule» в журнале Инсайд от октября 2013 года.
https://itb.spb.ru/press1.php
Страница 3 из 4

журналы ОС Windows и Linux;

межсетевые экраны;

маршрутизирующее оборудование;

СУБД SQL, Oracle;

прикладные информационные системы.

(Состав модулей для связи с источниками может расширяться в зависимости от потребностей заказчика.)

При необходимости обработки данных от нестандартных для «Security Capsule» источников разрабатывается коннектор под требуемый источник, что не требует значительных временных и финансовых затрат, а также изменения технологии функционирования ИС. Идея не нова. Данный подход широко используется известными производителями информационных систем, например, Oracle, SUN.

«Security Capsule» имеет иерархическую структуру. С целью снижения нагрузки на сеть передачи данных первичная обработка событий осуществляется на серверах «Security Capsule», установленных в ЛВС. В зависимости от степени важности и критичности, информация о событиях ИБ передается на серверы более высокого уровня. С целью снижения трафика информация на сервера более высокого уровня передается по расписанию, как правили, во время наименьшей нагрузки на СПД. Критические события передаются в режиме реального времени.

Важнейшим модулем системы является модуль обработки и отображения информации о событиях, формирования отчетов. Администраторы системы имеет возможность самостоятельно, в соответствии с требованиями политики информационной безопасности, определять перечень контролируемых событий, выбирая из базового набора, требуемый. Определять уровни критичности.

Данный модуль обладает функцией контроля за реакцией на события, с возможностью персонального контроля за действиями администраторов. ПАКАБ имеет сертификат ФСТЭК Росси №2705 от 07 сентября 2012 г. Средствами ПАКАБ («Security Capsule») реализуется подсистема мониторинга и анализа событий (требование приказов ФСТЭК России №17 от 11 февраля 2013 года и №21 от 18 февраля 2013 года), включая следующие функции:

Определение событий безопасности, подлежащих регистрации, и сроков их хранения.

Определение состава и содержания информации о событиях безопасности, подлежащих регистрации.

Сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения.

Реагирование на сбои при регистрации событий безопасности, в том числе аппаратные и программные ошибки, сбои в механизмах сбора информации и достижение предела или переполнения объема (емкости) памяти.

Мониторинг (просмотр, анализ) результатов регистрации событий безопасности и реагирование на них.

Генерирование временных меток и (или) синхронизация системного времени в информационной системе.

Защиту информации о событиях безопасности. Опыт внедрения и эксплуатации.

© ООО «ИТБ» 2009-2017 г.
Все права защищены. 
copyright.

  ООО «ИТБ» - Защита информации
 https://itb.spb.ru/

Статья «Развитие российских SIEM-систем: Security Capsule» в журнале Инсайд от октября 2013 года.
https://itb.spb.ru/press1.php
Страница 4 из 4

ПАКАБ («Security Capsule») имеет более чем успешный трех летний опыт внедрения и эксплуатации, как в ЛВС, так и в неоднородных территориально распределенных информационных системах, построенных на различных платформах, например, ОС Windows, Linux, Oracle. Заказчиками комплекса в разные годы являлись предприятия и организации ОАО «РЖД», компании ОАО «Интер РАО ЕС», компании ОАО «Газпром», медицинские учреждения Ханты-Мансийского автономного округа (ХМАО). Количество инсталляций превысило 6000 для клиентских мест. Комплекс интегрирован не только в СЗ конфиденциальной информации и ИСПДн, но и в прикладные информационные системы. Развитие.

ПАКАБ («Security Capsule») постоянно развивающаяся система, учитывающая опыт внедрения и эксплуатации комплекса. В ближайшее время состав комплекса дополнится сертифицированными модулями криптографии и дополнительными коннекторами. По мере его развития набор коннекторов постоянно расширяется. Разработчики системы создали развитую систему технической поддержки.

Обучение основам работы с комплексом организовано в рамках курсов повышения квалификации БГТУ, ГУСЭ. Углубленное изучение архитектуры, эксплуатации и сопровождения организовано как на базе ООО «ИТБ», так и на территории заказчиков при внедрении и дальнейшее эксплуатации. Маркетинг. ПАКАБ («Security Capsule») поставляется в комплекте, включающим в себя сервер, дистрибутивы с серверным программным обеспечением, а также клиентское ПО. Стоимость поставки, установки и настройки зависит от состава и архитектуры ИС. Более подробную информацию можно получить у разработчика и поставщика комплекса.

© ООО «ИТБ» 2009-2017 г.
Все права защищены. 
copyright.