Внедрение комплексной системы защиты от внутренних рисков

Заказчик: АО "Авиакомпания "Россия"
Руководитель проекта со стороны заказчика: Андрей Симакин

Директор по экономической безопасности
ИТ-поставщик: СёрчИнформ
Год завершения проекта: 2022
Сроки выполнения проекта: Март, 2016 - Февраль, 2022
Масштаб проекта: 3000 автоматизированных рабочих мест
Цели: Цель внедрения – повысить уровень ИБ в условиях «удаленки» и расширения ИТ-инфраструктуры, выполнить требования регуляторов. Кроме того, требовалось минимизировать ущерб по вине сотрудников, повысить прозрачность бизнес-процессов, стимулировать продуктивность труда.

Уникальность проекта

Проект позволил нарастить защиту по 4 направлениям:

Мониторинг состояния ИТ-инфраструктуры и своевременное выявление событий ИБ;
Аудит файловых хранилищ, контентный анализ содержимого, контроль прав пользователей и операций с файлами;
Контроль пользовательской активности за ПК, предотвращение утечек данных и корпоративного мошенничества;
Комплексный анализ и расследование инцидентов.

Внедрение сопровождалось обучением по работе с решениями для ИБ-специалистов, курсом повышения ИБ-грамотности для непрофильных сотрудников, специально разработанным с учетом типичных угроз в авиаперевозках. Его прошли более 500 человек.

Это единственное на рынке решение по комплексному контролю внутренних рисков. Каждая внедренная система ИБ самостоятельна, при этом все бесшовно интегрируются в рамках единого интерфейса. Это повысило эффективность компонентов и позволило оптимизировать ресурсы.

Проект решает задачи импортозамещения

Да

Использованное ПО

«СёрчИнформ КИБ» - DLP-система для защиты от утечек информации. Контролирует каналы передачи данных и активность сотрудников за ПК, блокирует опасные действия.

«СёрчИнформ FileAuditor» - DCAP-система для аудита и защиты файловых систем. Находит уязвимые документы, классифицирует их и защищает от несанкционированного доступа, отслеживая операции с файлами и права пользователей.

«СёрчИнформ SIEM» - система мониторинга и управления событиями информационной безопасности. Следит за состоянием ИТ-инфраструктуры и определяет угрозы по совокупности внешне не связанных событий.

Это единственное на рынке решение по комплексному контролю внутренних рисков. Каждый продукт – «СёрчИнформ SIEM», «СёрчИнформ КИБ» и «СёрчИнформ FileAuditor» – самостоятелен, при этом все бесшовно интегрируются в рамках единого интерфейса. Это повысило эффективность компонентов и позволило оптимизировать ресурсы: приобретение комплекса систем выгоднее, чем внедрение элементов по отдельности, за счет общего дата-центра.

Сложность реализации

Сложность реализации заключалась в следующих проблемах:

Распределенная инфраструктура – сложности в своевременном сборе и организации централизованной обработки информации о событиях ИБ.
Удаленные сотрудники, работающие в других часовых поясах – сложности со своевременным получением информации об инцидентах, сложность оперативного ручного вмешательства для остановки опасных процессов.
Большие объемы перехватываемого трафика – дополнительная нагрузка на инфраструктуру.
Разнонаправленные задачи контроля – сложность в объединении и сопоставлении данных от разных ИБ-систем в ручном режиме.

Описание проекта

АК «Россия» с 2014 г. сотрудничает с «СёрчИнформ» – производителем систем информационной безопасности. В компании была установлена DLP-система «СёрчИнформ КИБ» для контроля каналов передачи данных и активности сотрудников на 1000 рабочих станций. В 2019 г. парк цифрового оборудования превысил 3000 рабочих станций. С начала 2020 г. в компании на 25% участились инциденты ИБ, связанные с ошибками и умышленными злоупотреблениями пользователей. Требовалось усилить защиту. Предложили расширить поддержку КИБ до 3000 лицензий, а также дополнительно усилить контроль с помощью «СёрчИнформ SIEM» (941 лицензия) и «СёрчИнформ FileAuditor» (2000 лицензий)

Комплексный подход позволил снизить нагрузку на отдел информационной безопасности при контроле распределенной инфраструктуры и большого штата сотрудников за счет:

Кластеризации серверов обработки данных;
Реализации «буферного» сбора данных в филиалах, обработки и нормализации информации об инцидентах ИБ локально и передачи на головной сервер в готовом виде.
Автоматизации обнаружения инцидентов и своевременного оповещения о них, в том числе в мессенджерах в режиме реального времени;
Контроля данных в покое (хранение и обработка) и движении, единовременного сопоставления информации об инцидентах с данными о других событиях в ИТ-инфраструктуре, кросс-корреляции этих событий.

Достигнутый эффект:

Результативность выявления инцидентов: +90%
Время на расследование инцидентов: -75%
Непредотвращенные инциденты: -95%
Оптимизация объемов корпоративных хранилищ: +40%
Попытки нарушения норм ИБ: -60%
Повышение дисциплины и эффективности работы сотрудников: +25%
Предотвращенный ущерб: 796 000 USD.

География проекта

3000 рабочих станций в Москве, Санкт-Петербурге, Химках, а также удаленных работников.