Информационный портал по безопасности » Информационная безопасность » Как мы обобщили информационную безопасность

 

Как мы обобщили информационную безопасность

Автор: admin от 29-10-2019, 10:50, посмотрело: 77

Большой компании нужен целый ворох разного рода скриптов для инвентаризации компьютерного хозяйства. Это и понятно: если в организации больше 1000 сотрудников, доменная структура имеет достаточно затейливую структуру. А если рабочих мест в несколько раз больше?



На балансе нашего заказчика из банковской сферы – десяток–другой серверов, несметное количество разного рода принтеров и рабочих станций. Помимо этого необходимо управлять разграничением доступа сотрудников и предоставлять сетевые ресурсы по мере служебной необходимости. Отдельный и немаловажный пункт в этой информационно-человеческой архитектуре – обеспечение информационной безопасности.



Когда человеческие ресурсы отдела ИБ были уже на пределе, стало понятно, что банку нужна единая, централизованная система для управления ИБ и средствами защиты. Нашей задачей и стало создать такую систему, которая бы учла все особенности банка и позволила бы расширять функционал вместе с ростом потребностей. О том, как мы решили этот кейс, начав с отдельных модулей, я и расскажу в этой статье.



Как мы обобщили информационную безопасностьИсточник

Источник



Через пару лет в систему интегрировали полноценный документооборот. На данный момент учет любого ПК от его постановки на баланс до списания проходит цепочку согласований и утверждений. На любом шаге возможно распечатать заполненный акт или заявку, подписать у начальника или ведомства, затем отсканированную копию прикрепить к их электронным копиям. В общем, это удобно и здорово экономит время.



Был также интересный опыт по «обузданию» USB-накопителей информации. Есть отделы, где использование внешних накопителей информации ограничено и можно работать только с учтенными накопителями. Теперь наш Агент при каждом подключении накопителя проверяет, допустимо ли конкретному пользователю на конкретном ПК использовать этот накопитель. Если нет соответствующей заявки, которую заранее утвердили (иначе говоря, накопитель не закреплен за работником и не зарегистрирован для работы на определенном ПК), Агент блокирует накопитель, а безопаснику приходит оповещение. Это же происходит и в том случае, если срок действия заявки истек. Одновременно администратору автоматически предлагается создание акта о несанкционированном использовании накопителя. Данные о ПК, работнике и накопителе в документ вносит система.



Архитектура системы



Структурная схема нашей информационной системы (которую мы назвали «Кобальт») в итоге выглядит следующим образом:



Как мы обобщили информационную безопасность

Базовыми являются модули взаимодействия с рабочими станциями и средствами защиты. Они передают информацию автоматизированной системе и формируют целостную картину состояния информационной безопасности в защищаемой системе.



В состав модуля взаимодействия с рабочими станциями включена специальная служба, устанавливаемая на рабочее место каждого пользователя и серверы организации и собирающая данные об их защищенности. 



Модуль взаимодействия со средствами защиты представляет собой специальный коннектор к типовым средствам защиты информации. Он предназначен для оперативного получения данных об инцидентах ИБ.



Модуль документооборота – дополнительно настраиваемая часть системы. Документы формируются по шаблонам, которые мы завели в систему. Работали бы мы с другим заказчиком – использовали бы его шаблоны.



Изменили процессы, не меняя систем



Самое классное, что для того, чтобы облегчить жизнь администратора, нам не пришлось менять существующие средства SIEM и DLP. Мы просто обобщили технические и организационные компоненты обеспечения информационной безопасности. А в результате у ИТ-службы банка исчезло несколько проблем.



Во-первых, проблемы с инвентаризацией. 



Теперь они всегда знают, где у них что стоит, в каком состоянии техника и могут в любой момент нажать ctrl+P, чтобы положить на стол начальника отчет с детализацией до каждого сетевого элемента.



Когда в штат вычислительной техники поступает новый компьютер, администратор вместе с необходимым пользовательским ПО также устанавливает агента «Кобальт». После загрузки ПК и его подключения к локальной вычислительной сети система автоматически опознает новый компонент. Администратору будет предложено создать документ о введении в эксплуатацию нового средства вычислительной техники. При этом поля с технической информацией, например, перечнем установленного ПО и конфигурацией аппаратных средств, заполняются автоматически. Администратор также указывает в системе работника организации, за которым закреплен данный ПК. Теперь администратор в режиме реального времени будет получать уведомления об изменении состава ПО, конфигурации аппаратных средств и событиях ИБ от средств защиты информации, установленных на компьютере. При возникновении инцидента безопасности Администратору будет предложено создать типовой документ, в котором автоматически будет описана основная суть произошедшего события.



Во-вторых, больше нет проблем с управлением доступов к локальным сетевым ресурсам.



Для каждого работника необходимо составить и утвердить заявку на пользование сетевыми папками. Если сотрудник попробует открыть тот или иной ресурс, доступ к которому не разрешен, администратор получит оповещение о произошедшем инциденте безопасности. АС «Кобальт» предложит создать соответствующий документ – акт о несанкционированном доступе.



Как мы обобщили информационную безопасностьИсточник



В-третьих, нет проблем с поддержкой крупных аттестованных систем.



Оборудование и программное обеспечение крупных информационных систем довольно часто меняется, его приходится модернизировать в связи с новыми потребностями или менять вышедшее из строя. Учет таких изменений особенно критичен для аттестованных систем, поскольку для переаттестации нужно готовить новый комплект документов. А модули системы автоматически отслеживают изменения и формируют необходимый комплект документов для подготовки к переаттестации. 



* * *



Есть и пока не решенные проблемы. Например, при контроле USB-накопителей пока не получилось определять телефон, подключенный к рабочей станции как накопитель. При мониторинге сетевых ресурсов в журнал попадает слишком много событий; в первом приближении «схлопнуть» из пяти однотипных событий в одно – получилось, но все еще требуется более глубокая и умная аналитика, для выявления действительно значимых событий. Мы сейчас как раз работаем над ее алгоритмом.

Кроме того, некоторое время назад заказчик решил расширить функционал платформы. Речь не только о новых отчетах, но и о контроле доступа работников к установленным на их ПК автоматизированным системам. 



ПО, в соответствии с внутренними протоколами банка, устанавливается сотрудникам только на основании служебных записок. Агент собирает информацию об установленном ПО и, следовательно, знает, какие автоматизированные системы установлены. Серверная часть сверяет, есть ли заявка на этот софт. Если ПО установлено, а заявки нет, администратору должно приходить оповещение. Если действующая заявка есть, а ПО  – нет, – аналогично. 



Надеюсь, это далеко не последний виток развития системы. 



Как мы обобщили информационную безопасностьИсточник



Не забывайте о наших вакансиях!


Источник: Хабр / Интересные публикации

Категория: Информационная безопасность

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent