Создание централизованной системы управления событиями информационной безопасности для компании «Северсталь»

Заказчик
ПАО «Северсталь»
Руководитель проекта со стороны заказчика
ИТ-поставщик
"Инфосистемы Джет"
Год завершения проекта
2015
Сроки выполнения проекта
Декабрь, 2013 — Март, 2015
Масштаб проекта
1192 человеко-часов
Цели
Создание единого инструмента управления событиями информационной безопасности (ИБ), автоматизирующего процесс их сбора, хранения и анализа. Сокращение времени реагирования на инциденты безопасности.

Уникальность проекта

Благодаря внедренной системе существенно возрос общий уровень ИБ компании: система обрабатывает порядка 5000 входящих событий безопасности в секунду; общее число инцидентов, которые ИБ-служба может обрабатывать в режиме, близком к real-time, возросло в 10 раз, время, требуемое для сбора необходимой информации по инциденту, сократилось до нескольких минут.
По своим параметрам система шире, чем классический SIEM. За счет более глубокой проработки правил с учетом особенностей процессов и ИТ-инфраструктуры компании (например, по нарушениям парольных политик, нетипичному пользовательскому поведению в домене, аномальной сетевой активности и пр.) система создает инциденты, обогащенные дополнительной информацией и связанными последовательностями событий, что на порядок упрощает и ускоряет процесс расследования.
Использованное ПО
Система управления событиями ИБ реализована на базе решения HP ArcSight ESM.
При выполнении работ по проектированию системы использованы следующие документы:
•    Федеральный закон РФ № 149-ФЗ от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации»;
•    РД 50-34.698-90. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов;
•    ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»;
•    РД 50-34.698-90 «Автоматизированные системы. Требования к содержанию документов».
Описание проекта
Эксперты компании «Инфосистемы Джет», используя данные по ИТ-инфраструктуре компании «Северсталь» и существующим процессам обеспечения и управления ИБ, спроектировали и внедрили систему управления событиями. К ней подключены более 400 различных источников (в том числе журналы ОС, СУБД, средств антивирусной защиты, сетевой защиты и пр.), настроено более 100 специализированных правил. Проведена интеграция с рядом нетиповых систем, для которых были разработаны дополнительные коннекторы (порядка 10 шт.): SAP Business Objects, СКУД, портал ИТ-услуг и др. Выполнена интеграция с системой контроля защищенности и соответствия стандартам (MaxPatrol), предварительно внедренной в ИТ-инфраструктуру компании «Северсталь» (всего более 4000 единиц оборудования, включая рабочие станции и серверы под управлением ОС Microsoft Windows и Unix, сетевое оборудование, СУБД MS SQL и Oracle). Созданный на базе данной системы инструмент в автоматическом режиме по заданному расписанию осуществляет инвентаризацию всей инфраструктуры, определяет уровень защищенности ее компонентов, заблаговременно выявляет уязвимости информационных ресурсов и оповещает о них, формирует рекомендации по их устранению в соответствии с настроенными политиками безопасности (корпоративными и отраслевыми). В результате ИБ-служба компании «Северсталь» получила возможность проактивно выявлять инциденты ИБ, связанные с эксплуатацией злоумышленниками уязвимостей базовых компонентов информационных систем, отсутствием обновлений или небезопасными настройками. В системе реализована ролевая модель доступа пользователей, позволяющая разграничивать зоны ответственности и набор доступных к использованию инструментальных средств в соответствии с присвоенными им правами (администратор или аналитик). Используя единую консоль или web-интерфейс, с системой могут работать до 10 человек одновременно,. Богатый функционал SIEM ArcSight позволяет отправлять оповещения об инцидентах, анализировать оперативные данные из различных источников в online-режиме, а также формировать отчеты с использованием накопленных данных. Система предусматривает оперативное хранение данных в течение 180 дней, информация старше этого периода выгружается в виде архивных файлов.
География проекта
Проект охватил три географически распределенные площадки компании «Северсталь» в европейской части России (г. Москва, г. Череповец, г. Костомукша).
Дополнительные презентации:
Инфосистемы Джет_Северсталь_ArcSight_.pdf
Коментарии: 2

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

  • Виктор Федько
    Рейтинг: 303
    АО МПО им.И.Румянцева
    Зам. начальника управления информационных технологий
    25.08.2014 09:25

    Тут надо не вкратце. Оно того стоит.

  • 02.09.2014 07:51

    Где и как.
    Поляков Андрей Викторович. Екатеринбург.

Предметная область
Отрасль
Управление