Контакты
Подписка
МЕНЮ
Контакты
Подписка

Не думай о событиях свысока

Не думай о событиях свысока

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Не думай о событиях свысока

Антон Марков
генеральный директор НТЦ "Вулкан"
Финансовый кризис, сделавший IT-бюджеты больше операционными, нежели инвестиционными, постепенно сходит на нет. Кажется, теперь можно подумать о развитии вверенного IT-хозяйства? CIO погружается в размышления: что там у нас в категории отложенного "на потом"?

Так. Эксплуатационники хотят дословно выполнить требование IT-стратегии – "вести постоянный мониторинг корпоративной сети, включая телекоммуникационное оборудование, средства вычислительной техники, системное ПО и приложения, отслеживать важные события на IT-инфраструктуре".

Менеджер по ИБ давно выходит с предложением о создании SOC, и, похоже, этот вопрос действительно назрел.

Синергия управления IT и ИБ состоит в эффективной обработке информации о событиях. Факт насколько простой, настолько и важный.

Провели работы  по  "приведению ИСПДн в соответствие". И как   там   она теперь работает, пресловутая  система    защиты персональных данных? Проекту по внедрению процессов ITSM явно чего-то не хватает в плане информационно-технической поддержки.

Заместитель генерального, курирующий вопросы ИБ, требует ежемесячно докладывать о соответствии IT-хозяйства его любимому детищу – политике ИБ.

Считаем… Три пишем – два в уме… Многовато!

Оставим IT-директора наедине с мыслями о вечном и попробуем помочь ему в выборе методологии и инструмента ее реализации. Что может объединять перечисленные задачи? Очевидно, общим фактором здесь является сбор и обработка информации о событиях. Именно события в IT-инфра-структуре (в том числе сгенерированные средствами защиты) являются элементами паз-ла, из которых можно сложить целостную картину текущей обстановки и построить прогноз ее изменения.

Именно события в IT-инфраструктуре являются элементами пазла, из которых можно сложить целостную картину текущей обстановки и построить прогноз ее изменения.

Сразу становятся очевидными три проблемных обстоятельства. Во-первых, задачи, стоящие перед описанным выше IT-руководителем, произрастают из двух смежных областей – IT и ИБ. Во-вторых, масштабная сеть – это сотни или даже тысячи источников событий. В-третьих, потоки информации о событиях в такой сети могут достигать интенсивности до нескольких сотен и тысяч сообщений в минуту, и "классические" методы мониторинга теряют смысл.

Ограничив приведенную в качестве примера область целеполагания "нашего" CIO только вопросами ИБ, мы сразу вспомним о решениях класса SIEM (Security Information and Event Management). В самом деле, современные SIEM-системы не испытывают проблем ни с большим числом источников, ни с интенсивным потоком сообщений. Но задача поставлена гораздо шире и не ограничивается только вопросами обеспечения ИБ. По сути, заданным условиям отвечает нечто, условно называемое SIEM+Log-Management. Бывает ли такое в природе? Да, бывает. Речь идет о решении RSA enVision.

Производитель (RSA, The Security Division of EMC) позиционирует enVision как платформу, предоставляющую организации единое интегрированное решение по управлению журналами регистрации событий, позволяющее:

  • упростить соблюдение нормативов и обеспечение соответствия;
  • повысить безопасность и снизить риски;
  • оптимизировать IT-инфраструктуру и упростить ее обслуживание.

Возможности платформы RSA enVision позволяют широко применять ее в задачах управления процессами IT и ИБ. К ключевым особенностям RSA enVision, с учетом которых "наш" IT-директор обеспечит решение всех или большинства поставленных задач, относятся:

  • сбор всех сообщений без установки каких-либо агентов на источники событий;
  • поддержка сбора и обработки событий с компонентов VMware.
  • хранение информации о событиях в "сыром" виде;
  • автоматическая и ручная регистрация инцидентов, их эскалация во внешние системы обработки заявок;
  • широкий спектр встроенных отчетов в графической и табличной форме с возможностью произвольной модификации и создания собственных форм;
  • встроенные контроли (заданные реакции на определенные наборы событий) и корреляционные правила;
  • подготовка отчетов на соответствие нормативным требованиям (ISO 27002, PCI DSS и т.п.);
  • мониторинг и контроль соответствия требованиям 152-ФЗ, СТО БР, требованиям и политикам в области ИБ;
  • неограниченное масштабирование и поддержка отказоустойчивых конфигураций;
  • дифференцируемые планы внедрения в зависимости от уровня зрелости IT.

Приведенный перечень далеко не полный, да и формат публикации не предполагает детального описания решения. Но основные векторы обозначены и акценты расставлены. Внушительный набор возможностей RSA enVision скрывает в себе огромный потенциал для реализации самых разных требований по организации управления IT-инфраструкту-рой и ИБ. Является ли RSA enVision универсальным инструментом IT/ИБ? Да, если правильно использовать простой, но очень важный принцип работы этой системы: что настроишь, то и получишь. Тогда ожидания "нашего" IT-директора будут оправданы!

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2010
Посещений: 7507

Приобрести этот номер или подписаться
  Автор

Антон Марков

Антон Марков

Генеральный директор НТЦ "Вулкан"

Всего статей:  1

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций