InfoSec_04_2020

Page 16

staffcop 9/18/20 1:23 PM Page 14

В ФОКУСЕ

Реализация требований 187-ФЗ на стыке SIEM и DLP Дмитрий Кандыбович, генеральный директор Staffcop (ООО “Атом безопасность”)

Н Основа основ чистой SIEM – это статистика и математика. Система не сможет принимать решения за вас и обеспечивать какие-либо защитные меры. Принимать решения и действовать будете вы и ваши защитные системы, а SIEM только подскажет, когда и в каком направлении нужно работать.

14 •

ормативная база о безопасности КИИ содержит в себе вполне конкретные требования по организации системы защиты, поэтому выбор решения для ее обеспечения оказывается очень непростым. В статье пойдет речь о том, как в условиях ограниченного бюджета построить с нуля систему, соответствующую 187-ФЗ.

1 января 2018 г. вступил в силу Федеральный закон от 26.07.2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", являющийся частью Доктрины информационной безопасности Российской Федерации. Из него следует определение объектов КИИ – это автоматизированные системы управления, информационные системы, сети и телекоммуникации – а также определение субъектов КИИ: ими являются владельцы указанных типов систем, в первую очередь те, что работают в одной из определенных в законе отраслей. Не станем подробно останавливаться на тонких местах 187-ФЗ, проблемах его правоприменения, качестве проработки или качестве выполнения регулятором своих функций. Рассмотрим варианты применения закона на практике: что же можно использовать, чтобы защитить свои информационные системы. Закон определяет мероприятия, предписанные субъектам КИИ: l категорирование объектов КИИ; l создание системы обеспечения безопасности объектов КИИ; l интеграцию с ГосСОПКА. В контексте данной статьи рассмотрим аспекты создания системы обеспечения безопасности и интеграцию с ГосСОПКА. Причем, согласно закону, объект КИИ может относиться к категории значимых, а может и не относиться. В первом случае вы реализуете систему

защиты на свое усмотрение, а во втором у вас появляется вспомогательная система. Конечно же, у вас могут быть предустановленные системы, и как раз о них дальше пойдет речь.

SIEM-системы SIEM – это система, собирающая данные об общем состоянии и безопасности информационной системы из различных источников и предоставляющая их пользователю в рамках единого интерфейса. Ее ключевой функцией является работа на упреждение угроз: провести анализ событий, на его основе сделать выводы и реализовать меры противодействия. Вторая функция – хранить собираемые данные в структурированном виде, чтобы их можно было предоставить в качестве доказательств в случае инцидентов. В идеале SIEM должна обеспечивать контроль информационной системы в режиме реального времени, позволяя реагировать на возникающие события, пока ситуация не стала критической. Нужно четко осознавать тот факт, что основа основ чистой SIEM – это статистика и математика. Система не сможет принимать решения за вас и обеспечивать какие-либо защитные меры. Принимать решения и действовать будете вы и ваши защитные системы, а SIEM только подскажет, когда и в каком направлении нужно работать. SIEM нужна для того, чтобы экономить время. Если у вас используется набор защитных систем (DLP, IDS, межсетевые экраны и т.д.), то при отсут-

ствии SIEM сотрудники отдела информационной безопасности будут тратить очень много времени на обработку логов каждой отдельной системы. Но есть другой нюанс: недостаточно просто установить SIEM "из коробки". Вам потребуется написать ТЗ на использование системы с учетом имеющейся информационной инфраструктуры, а это значит, что необходимо провести ее предварительный аудит. Затем вы должны выбрать SIEM и только потом начать внедрение системы, а оно состоит из нескольких этапов: l установка и базовая настройка; l после периода пробной эксплуатации – создание дополнительных правил, учитывающих особенности обработки информации в конкретной организации; l тестовая эксплуатация; l корректировка. И только потом – ввод в эксплуатацию. Все это может происходить в несколько итераций и определенно займет существенное время. SIEM – это хорошие системы, но нужно четко осознавать, для чего они созданы и каковы особенности их использования.

ГИС ГосСОПКА В качестве меры организации защиты объектов КИИ государство предлагает подключение к системе ГосСОПКА. В этом случае, как и в случае с SIEM, есть нюансы, о которых нужно знать. Государство не берет на себя обязательство защищать ваши информационные системы от атак. Центры ГосСОПКА выполняют следующие функции:


Turn static files into dynamic content formats.

Create a flipbook

Articles inside

Новые продукты и услуги

6min
pages 56-57

Артем Тиунов, Александр Панкин, Денис Давид

8min
pages 52-55

Михаил Кондрашин

5min
pages 50-51

Константин Саматов

7min
pages 39-41

Дарья Орешкина

5min
pages 42-43

Анастасия Гурина, Владимир Елисеев

6min
pages 44-46

ТЕХНОЛОГИИ

3min
page 47

Александр Михайлов

6min
pages 48-49

Юрий Черкас, Виктор Сердюк

9min
pages 36-38

Валерий Естехин

14min
pages 32-35

Олег Щербина

5min
pages 28-29

ЗАЩИТА СЕТЕЙ

4min
pages 14-15

КИИ

6min
pages 16-17

Анастасия Заведенская, Татьяна Пермякова

15min
pages 6-10

Артем Евланов

5min
pages 18-19

ПЕРСОНЫ

11min
pages 20-23

КОНТРОЛЬ ДОСТУПА

5min
pages 12-13

ЯДеРНОе ИМПОРТОЗАМеЩеНИе

7min
pages 24-26

Алексей Парфентьев

3min
page 11
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.