Система комплексного контроля внутренних рисков в распределенной инфраструктуре
- Заказчик:
- ООО «ИнфоТеКС Интернет Траст»
- Руководитель проекта со стороны заказчика
- Поставщик
- ООО "СёрчИнформ"
- Год завершения проекта
- 2022
- Сроки выполнения проекта
- Март, 2016 - Июнь, 2022
- Масштаб проекта
- 350 автоматизированных рабочих мест
- Цели
- Выполнение требований регуляторов, обеспечение взаимодействия с правоохранительными, надзирающими органами
- Купирование рисков, способных повлиять на бизнес: ошибки и злоупотребления сотрудников, сбои в ИТ-инфраструктуре.
- Систематизация распределения прав доступа, управления учетными записями, конфигурирования систем защиты.
- Контроль привилегированных пользователей, способных обойти системы защиты.
- Комплексный мониторинг угроз на всех уровнях ИТ-инфраструктуры, включая влияние человеческого фактора.
- Обеспечение независимости контроля в филиалах от политик материнской организации (потребовалось ввиду разделения профилей работы и возникновения уникальных рисков).
Уникальность проекта
Реализована комплексная система защиты, которая отвечает пяти уникальным принципам:- Полнота контроля: контроль за движением данных, работой с данными со стороны пользователей и программ, контроль хранения данных, контроль влияния процессов с данными на состояние и работоспособность ИТ-инфраструктуры.
- Контроль смежных рисков: возможность предупреждать финансовые, имиджевые, кадровые потери, риски нарушения законодательства и наказания регуляторов, проводить комплексные расследования.
- Контроль распределенной инфраструктуры: своевременный сбор событий ИБ в филиальной сети, обнаружение и реагирования на инциденты с учетом разницы во времени.
- Бесшовная интеграция продуктов ИБ: хранение, обработка, анализ данных в едином дата-центре.
- Отечественное происхождение компонентов системы. Снижает риски остановки бизнес-процессов и обеспечения безопасности из-за остановки обслуживания, производства или поставок иностранных систем.
- Проект решает задачи импортозамещения
- Да
- Использованное ПО
- «СёрчИнформ КИБ» - DLP-система для предотвращения утечек информации и контроля активности сотрудников за ПК.
- «СёрчИнформ SIEM» - SIEM-система для мониторинга и управления событиями безопасности, а также контроля привилегированных пользователей.
- «СёрчИнформ FileAuditor» - DCAP-система для аудита и защиты файловых хранилищ, прав доступа пользователей и операций с файлами.
- Сложность реализации
- Контроль распределенного коллектива – неосуществим вручную ввиду большого штата сотрудников, в т.ч. удаленных, в разных часовых поясах.
- Контроль большого количества оборудования и ПО – в сумме ИТ-системы генерируют свыше 1 млн событий в день, разбор их вручную невозможен. Передача больших объемов трафика из филиалов могла тормозить бизнес-процессы.
- Контроль привилегированных пользователей – в штате много ИТ-специалистов, пытающихся обойти системы контроля. · Сложности взаимодействия службы безопасности и службы ИТ в головной структуре – проблемы с доступом к средствам управления ИБ, конфигурированием и настройкой ИБ-систем, передачей отчетности.
Решения:- Система буферной передачи данных о событиях ИБ – вендор реализовал схему, по которой выделенные ПК в филиалах собирают и нормализуют данные от источников на местах, в центральный офис передается облегченный трафик: сведения об обнаруженных инцидентах ИБ (для всех решений).
- Ролевая модель доступа – высшие полномочия в системе у СБ, возможность конфигурирования и настройки без доступа к данным перехвата у ИТ, подключение руководителей подразделений для выгрузки отчетов, координация совместной работы через встроенный таск-менеджер (для всех решений).
Благодаря тому, что системы «СерчИнформ» могут полностью работать «из коробки» по перенастроенным политикам безопасности, правилам корреляции событий и классификации файлов, ввод в эксплуатацию получается максимально быстрым и нетрудозатратным. Дополнительно вендор организованы обучение всех специалистов СБ, настройке, управлению и использованию систем, а для руководителей СБ проведено углубленное изучение возможностей применения систем. Дополнительных затрат для доработки или расширения функционала систем не требовалось.- Описание проекта
- В 2015 году в «ИнфоТеКС Интернет Траст» создана служба безопасности для выявления, предупреждения и пресечения негативных тенденций и угроз, способных нанести экономический, информационный и деловой ущерб организации. В целях более широкого охвата информационных потоков, а также обеспечения функционирования службы безопасности, в марте 2016 для тестирования приобретена DLP-система «СёрчИнформ КИБ»: ее основные функции: контроль активности пользователей за ПК, выявление нарушений и пресечение возможной утечки конфиденциальной информации. Под контролем системы – 350 рабочих станций в 12 филиалах и обособленных подразделениях. В 2017 году с целью усиления контроля, в частности, за привилегированными пользователями, а также расширения возможностей мониторинга угроз поставлена «СёрчИнформ SIEM». Система защищает около 100 узловых хостов и позволяет сопоставлять между собой события ИБ в разных точках ИТ-инфраструктуры, находить угрозы по взаимосвязи событий. В 2022 году развернута «СёрчИнформ FileAuditor» - DCAP-система для контроля файловой системы.
Комплексный подход обеспечил быстроту расследований и реагирования на угрозы, это сыграло дисциплинирующую роль. По сравнению с 2015 годом, к 2022-му количество инцидентов сократилось в 20 раз. По подсчетам службы безопасности, компания уже в первый год окупила стоимость системы – за счет предотвращенных нарушений, а также компенсаций вреда по инцидентам, расследованным с помощью ИБ-решений.Итого за время эксплуатации систем «СёрчИнформ» удалось добиться таких результатов:
• Увеличение результативности мониторинга нарушений политик ИБ (эффективность выявления инцидентов): 95%
• Снижение трудовых и временных затраты на расследование выявленных инцидентов ИБ: 75%
• Снижение количества свершившихся (непредотвращенных) инцидентов ИБ: 95%
• Снижение количества фиксируемых попыток нарушения сотрудниками норм по ИБ (в т.ч. со стороны привилегированных пользователей): 95%
• Снижение количества ошибок конфигурации, эксплуатации, обновления IT-оборудования и ПО: 70%
• Увеличение скорости устранения уязвимостей, реагирования на инциденты: 80%
• Окупаемость системы (за счет снижения финансового ущерба от инцидентов ИБ, компенсаций за нарушения): в течение 1 года. - География проекта
- 12 филиалов и обособленных рабочих мест в Москве, Воронеже, Саратове, Ростове-на-Дону, Краснодаре, Уфе, Санкт-Петербурге, Владивостоке, Перми, Махачкале и Республике Крым, Волгограде, Тюмени; распределенная сеть удаленных сотрудников и партнеров.