Февраль 2013 «Газпромбанк» (Открытое акционерное общество) Опыт создания Центра управления инцидентами информационной безопасности (Security Operation.

Презентация:



Advertisements
Похожие презентации
Практический опыт построения системы централизованного мониторинга ИБ в банковской организации на базе решений Oracle Информационная безопасность для компаний.
Advertisements

Построение отказоустойчивой распределенной системы резервного копирования Бакшеев Дмитрий, Старший специалист Департамента систем управления.
«Антивирусные решения» Информационная Безопасность Офиса.
Практика проведения в ГУ Банка России по Оренбургской области оценки соответствия информационной безопасности требованиям Стандарта Банка России, в т.ч.
О компании Наши сертификаты Сфера компетенций Системная интеграция DBI Технические отделы Системы мониторинга Администрирование Unix-систем Администрирование.
ОАО Инфотекс Использование сетевых средств защиты информации при создании АС информирования населения Дмитрий Гусев Заместитель генерального директора.
Саперион ECM - Саперион Поиск: От управления корпоративным контентом, к объединенным данным и документам. Шмайлов Дмитрий, Начальник отдела развития ECM.
Практика проведения аудитов информационной безопасности на крупных предприятиях Виктор Сердюк, к.т.н., CISSP Генеральный директор ЗАО «ДиалогНаука»
Опыт реализации отказоустойчивого сервера приложений и хранилища данных на базе СУБД ЛИНТЕР Михаил Ермаков, Дмитрий Мухоедов, РЕЛЭКС.
Практический опыт оценки соответствия стандарту БАНКА РОССИИ СТО БР ИББС–1.0–2010 ( CNews FORUM 2010, 10 ноября) Лысенко Юрий Начальник Управления информационной.
Токарева Ольга Михайловна, ГОУ ВПО МО Университет природы, общества и человека «Дубна» IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э.
Осенний документооборот 2014 Москва, 17 октября Вопросы информационной безопасности при использовании мобильных устройств для работы с корпоративными информационными.
Интегрированная информационная система «КВАРТА». Компания КВАРТА Компания КВАРТА имеет 14-летний опыт работы в следующих областях: Реализация «под ключ»
Проблемы безопасности автоматизированных информационных систем на предприятиях
СОВЕРШЕНСТВОВАНИЕ СИСТЕМ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ И КОМПАНИЙ НА ОСНОВЕ ПРИМЕНЕНИЯ ПРОЦЕССНЫХ СТАНДАРТОВ «Уверенность в себе.
«Создание и внедрение автоматизированной системы управления ИТ-услугами в ОАО «Белинвестбанк» ОАО «Белинвестбанк» Начальник отдела поддержки пользователей.
«Подготовка объектов автоматизации к внедрению и опытной эксплуатации» С.В. Власов Начальник отдела ФГУП НИИ «Восход»
П РИМЕНЕНИЕ СИСТЕМ МОНИТОРИНГА СОБЫТИЙ В ИНФОРМАЦИОННОЙ СИСТЕМЕ Выполнил: студент 5 курса Зенчик Николай Руководители: Воротницкий Ю. И. Позняков А. М.
Построение политики безопасности организации УЦ «Bigone» 2007 год.
Специальность « Организация защиты информации»
Транксрипт:

Февраль 2013 «Газпромбанк» (Открытое акционерное общество) Опыт создания Центра управления инцидентами информационной безопасности (Security Operation Center – SOC) в крупном Российском Банке.

Предпосылки проекта 2 1. Большое количество оборудования 2. Сложность ИТ - ландшафта 3. Различный возраст программных и технических средств (создание Банка в июле 1990 г.) Более 6000 АРМ; Более 1500 серверов; Более 600 объектов активного оборудования; Более 500 автоматизированных систем и приложений. Разнообразные ОС (ОС Novell, ОС Windows Server, ОС Red Hat Enterprise Linux, ОС SUSE Linux Enterprise Server, ОС HP-UX, ОС Solaris, ОС AIX, ОС OS/400, ОС QNX, ОС SecurePlatform); Разнообразные СУБД (Oracle, Sybase, Microsoft SQL, Pervasive SQL, DB2, MySQL, Paradox, Interbase).

Предпосылки проекта 3 по ДОСТУПНОСТИ: по КОНФИДЕНЦИАЛЬНОСТИ: по ЦЕЛОСТНОСТИ: сбои в работе серверов; сбои в работе активного сетевого оборудования; нарушение работоспособности автоматизированных систем и приложений. несанкционированный доступ к информационно-техническим средствам; неконтролируемая работа с внешними устройствами. 4. Большое количество «не контролируемых» инцидентов несанкционированная модификация БД; внесение несанкционированных изменений в транзакции; внесение несанкционированных изменений в описание клиента.

Концепция создания SOC 4 Объекты мониторинга Сервера, рабочие станции Активное сетевое оборудование Сетевые сервисы Операционные системы СУБД Автоматизиров анные системы и приложения СЗИ Средства мониторинга HP Network Node Manager Nagios ArcSight Tivoli A r c S I g h t Средство сбора и агрегирова- ния Атомарные события с признаками инцидента Система визуализации Климатические показания Cacti Nagvis Ipswitch whatsup gold (WUG) ИНЦИДЕНТыИНЦИДЕНТы Система расследования (содержание, место, объект ИБ, ущерб и т.д.) Локализация, противодействие, минимизация ущерба

Технология работы 5 сбор информации; выявление корреляционных связей; формирование новых правил корреляции; расследование инцидентов; проведение мероприятий, связанных с устранением последствий инцидентов или условий, вызвавших инцидент. Основные этапы процесса выявление инцидентов ИБ:

Технология работы 6 Осуществляется выявление корреляционных связей. Осуществляется агрегирование всех правил в матрице разработанной на базе СТО БР, используя модель математической индукции.

Технология работы 7 Осуществляется визуализации уровня оператора.

Технология работы 8 Осуществляется визуализации уровня руководителя.

Технология работы 9 Осуществляется визуализации уровня технологического процесса на примере РЦ. Входящая информация электронных расчетов для юридических лиц АС «РЦ» Адаптеры РЦ

Технология работы 10 Осуществляется визуализации уровня технологического процесса на примере РЦ. Исходящая информация электронных расчетов для юридических лиц АС «РЦ» Адаптеры РЦ

Технология работы 11 Проведение расследования. стандартные запросы дежурного оператора новые инциденты стандартные запросы дежурной смены основная панель при классификации и расследовании инцидентов ИБ

Технология работы 12 Проведение расследования. параметры событий, заполняются автоматически параметры событий, заполняются вручную параметры событий, классифицируются

Технология работы 13 Проведение расследования. Возможность оперативно (используя технологию DRILL DOWN) оценивать состояние инцидента ИБ

Технология работы 14 Утверждены/идет разработка внутренних нормативных документов: Политика информационной безопасности; Частная Политика управления инцидентами ИБ; Регламент взаимодействия ССП в рамках мониторинга информационных программно-технических систем; Методические рекомендации по описанию инцидентов ИБ (идет разработка); Классификатор инцидентов, разработанный на основе СТО БР ИББС ; Регламент сбора информации об инцидентах ИБ не автоматизированными средствами. Совершенствование внутренней нормативной базы.

Результаты работы 15 В результате совершенствования системы менеджмента инцидентов информационной безопасности выполняются следующие задачи: 1.Совершенствуется нормативная база Банка в области менеджмента инцидентов ИБ; 2.Совершенствуются процедуры мониторинга ИБ (технические, организационные); 3.Совершенствуются механизмы обнаружения, анализа, сбора и управления инцидентов ИБ; 4.Совершенствуются правила выявления инцидентов ИБ (корреляции).

Результаты работы 16 За 2012 год выявлено и обработано более подозрений на инциденты ИБ (на основе 127 млрд. атомарных событий), из них подтверждено: 1. Общее количество контролируемых АС – Настроено более 350 правил выявления инцидентов ИБ СЗИ, являющиеся источником информации утвержденных и контролируемых профилей защиты. 5. Ежедневное выявление более 20 инцидентов (из них около 5 уникальных).

Перспективы развития 17 1.физические объекты (линии связи, аппаратные средства и пр.); 2.сетевое оборудование (маршрутизаторы, коммутаторы, концентраторы и пр.); 3.сетевые приложения и сервисы; 4.операционные системы (ОС); 5.системы управления базами данных (СУБД); 6.банковские технологические процессы и приложения (модули банковских автоматизированных систем, банковские автоматизированные системы, банковские информационные процессы и банковские платежные процессы ). Обрабатываемые типы объектов среды (в соответствии со СТО БР): система контроля финансовых транзакций (Anti-Fraud). Новое СЗИ в качестве источника событий ИБ:

Спасибо за внимание 18 Вопросы ??? Контактная информация: Бабкин Александр Владимирович – начальник Центра оперативной поддержки информационной безопасности Департамента защит информации ГПБ (ОАО) Телефон: +7 (495)