Профессиональное сообщество
лидеров цифровой трансформации

Система комплексного контроля внутренних рисков в распределенной инфраструктуре

Заказчик
ООО «ИнфоТеКС Интернет Траст»
Руководитель проекта со стороны заказчика
Сергей Матвеев
Руководитель Службы безопасности
ИТ-поставщик
ООО "СёрчИнформ"
Год завершения проекта
2022
Сроки выполнения проекта
Март, 2016 - Июнь, 2022
Масштаб проекта
350 автоматизированных рабочих мест
Цели
  • Выполнение требований регуляторов, обеспечение взаимодействия с правоохранительными, надзирающими органами
  • Купирование рисков, способных повлиять на бизнес: ошибки и злоупотребления сотрудников, сбои в ИТ-инфраструктуре.
  • Систематизация распределения прав доступа, управления учетными записями, конфигурирования систем защиты.
  • Контроль привилегированных пользователей, способных обойти системы защиты.
  • Комплексный мониторинг угроз на всех уровнях ИТ-инфраструктуры, включая влияние человеческого фактора.
  • Обеспечение независимости контроля в филиалах от политик материнской организации (потребовалось ввиду разделения профилей работы и возникновения уникальных рисков).

Уникальность проекта

Реализована комплексная система защиты, которая отвечает пяти уникальным принципам:
  • Полнота контроля: контроль за движением данных, работой с данными со стороны пользователей и программ, контроль хранения данных, контроль влияния процессов с данными на состояние и работоспособность ИТ-инфраструктуры.
  • Контроль смежных рисков: возможность предупреждать финансовые, имиджевые, кадровые потери, риски нарушения законодательства и наказания регуляторов, проводить комплексные расследования.
  • Контроль распределенной инфраструктуры: своевременный сбор событий ИБ в филиальной сети, обнаружение и реагирования на инциденты с учетом разницы во времени.
  • Бесшовная интеграция продуктов ИБ: хранение, обработка, анализ данных в едином дата-центре.
  • Отечественное происхождение компонентов системы. Снижает риски остановки бизнес-процессов и обеспечения безопасности из-за остановки обслуживания, производства или поставок иностранных систем.
Проект решает задачи импортозамещения
Да
Использованное ПО
  • «СёрчИнформ КИБ» - DLP-система для предотвращения утечек информации и контроля активности сотрудников за ПК.
  • «СёрчИнформ SIEM» - SIEM-система для мониторинга и управления событиями безопасности, а также контроля привилегированных пользователей.
  • «СёрчИнформ FileAuditor» - DCAP-система для аудита и защиты файловых хранилищ, прав доступа пользователей и операций с файлами.
Сложность реализации
  • Контроль распределенного коллектива – неосуществим вручную ввиду большого штата сотрудников, в т.ч. удаленных, в разных часовых поясах.
  • Контроль большого количества оборудования и ПО – в сумме ИТ-системы генерируют свыше 1 млн событий в день, разбор их вручную невозможен. Передача больших объемов трафика из филиалов могла тормозить бизнес-процессы.
  • Контроль привилегированных пользователей – в штате много ИТ-специалистов, пытающихся обойти системы контроля. · Сложности взаимодействия службы безопасности и службы ИТ в головной структуре – проблемы с доступом к средствам управления ИБ, конфигурированием и настройкой ИБ-систем, передачей отчетности.
Решения:
  • Система буферной передачи данных о событиях ИБ – вендор реализовал схему, по которой выделенные ПК в филиалах собирают и нормализуют данные от источников на местах, в центральный офис передается облегченный трафик: сведения об обнаруженных инцидентах ИБ (для всех решений).
  • Ролевая модель доступа – высшие полномочия в системе у СБ, возможность конфигурирования и настройки без доступа к данным перехвата у ИТ, подключение руководителей подразделений для выгрузки отчетов, координация совместной работы через встроенный таск-менеджер (для всех решений).
Благодаря тому, что системы «СерчИнформ» могут полностью работать «из коробки» по перенастроенным политикам безопасности, правилам корреляции событий и классификации файлов, ввод в эксплуатацию получается максимально быстрым и нетрудозатратным. Дополнительно вендор организованы обучение всех специалистов СБ, настройке, управлению и использованию систем, а для руководителей СБ проведено углубленное изучение возможностей применения систем. Дополнительных затрат для доработки или расширения функционала систем не требовалось.

Описание проекта
В 2015 году в «ИнфоТеКС Интернет Траст» создана служба безопасности для выявления, предупреждения и пресечения негативных тенденций и угроз, способных нанести экономический, информационный и деловой ущерб организации. В целях более широкого охвата информационных потоков, а также обеспечения функционирования службы безопасности, в марте 2016 для тестирования приобретена DLP-система «СёрчИнформ КИБ»: ее основные функции: контроль активности пользователей за ПК, выявление нарушений и пресечение возможной утечки конфиденциальной информации. Под контролем системы – 350 рабочих станций в 12 филиалах и обособленных подразделениях. В 2017 году с целью усиления контроля, в частности, за привилегированными пользователями, а также расширения возможностей мониторинга угроз поставлена «СёрчИнформ SIEM». Система защищает около 100 узловых хостов и позволяет сопоставлять между собой события ИБ в разных точках ИТ-инфраструктуры, находить угрозы по взаимосвязи событий. В 2022 году развернута «СёрчИнформ FileAuditor» - DCAP-система для контроля файловой системы.
Комплексный подход обеспечил быстроту расследований и реагирования на угрозы, это сыграло дисциплинирующую роль. По сравнению с 2015 годом, к 2022-му количество инцидентов сократилось в 20 раз. По подсчетам службы безопасности, компания уже в первый год окупила стоимость системы – за счет предотвращенных нарушений, а также компенсаций вреда по инцидентам, расследованным с помощью ИБ-решений.
Итого за время эксплуатации систем «СёрчИнформ» удалось добиться таких результатов:
• Увеличение результативности мониторинга нарушений политик ИБ (эффективность выявления инцидентов): 95%
• Снижение трудовых и временных затраты на расследование выявленных инцидентов ИБ: 75%
• Снижение количества свершившихся (непредотвращенных) инцидентов ИБ: 95%
• Снижение количества фиксируемых попыток нарушения сотрудниками норм по ИБ (в т.ч. со стороны привилегированных пользователей): 95%
• Снижение количества ошибок конфигурации, эксплуатации, обновления IT-оборудования и ПО: 70%
• Увеличение скорости устранения уязвимостей, реагирования на инциденты: 80%
• Окупаемость системы (за счет снижения финансового ущерба от инцидентов ИБ, компенсаций за нарушения): в течение 1 года.

География проекта
12 филиалов и обособленных рабочих мест в Москве, Воронеже, Саратове, Ростове-на-Дону, Краснодаре, Уфе, Санкт-Петербурге, Владивостоке, Перми, Махачкале и Республике Крым, Волгограде, Тюмени; распределенная сеть удаленных сотрудников и партнеров.

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

фильтр
Год
Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.