ОКБ САПР Агрегация и визуализация событий средств защиты информации.

Презентация:



Advertisements
Похожие презентации
Secret Net 5.0 сетевой вариант Система защиты информации от несанкционированного доступа нового поколения.
Advertisements

Использование сертифицированных СЗИ от НСД для Linux при построении защищенных автоматизированных систем Инфофорум-2012 Юрий Ровенский Москва, 7 февраля.
Москва, 2005 АККОРД-АМДЗ Аккорд. Надежность в ненадежном мире. ОКБ САПР
Аккорд-В. Владислав Корсун ЗАО «ОКБ САПР». ПАК Аккорд-В. Программно-аппаратный комплекс Аккорд-В предназначен для защиты инфраструктур виртуализации VMware.
Как выполнить требования регуляторов по защите среды виртуализации в государственных информационных системах и при обработке персональных данных ИНФОФОРУМ-2013.
Москва, 2012 АККОРД-АМДЗ Аккорд. Надежность в ненадежном мире. ОКБ САПР
система защиты рабочих станций и серверов на платформе Windows XP/2003/2008R2/Vista/7 модуль доверенной загрузки операционной системы Windows 2000/XP/2003/Vista/7/2008.
ЛАБОРАТОРНАЯ РАБОТА 3 РАЗРАБОТКА ДОЛЖНОСТНОЙ ИНСТРУКЦИИ АДМИНИСТРАТОРА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Студент группы 4731 Смуров Александр Владимирович.
1 Критерии и классы защищенности средств вычислительной техники и автоматизированных систем Подготовила: студентка гр.И-411 Сартакова Е.Л.
Защита Информации. эффективность защиты информации в автоматизированных системах достигается применением средств защиты информации (СЗИ). Под средством.
W w w. a l a d d i n. r u Владимир Здор, Руководитель направления аутентификации и защиты информации Корпоративная система защиты конфиденциальной информации.
КОНЦЕПЦИЯ ДОВЕРЕННОЙ ВЫЧИСЛИТЕЛЬНОЙ СИСТЕМЫ: СОДС МАРШ!
Локальная компьютерная сеть Локальная компьютерная сеть – это система взаимосвязанных компьютеров, работающих в пределах одного помещения, здания, одной.
Москва, 2008 ОКБ САПР Если Вам есть что скрывать ОКБ САПР
Card Expert Card Expert - это автоматизированная система электронного контроля над прохождением документов и исполнением поручений в органах государственной.
Раздел 3 Сетевые модели. Тема 3.1 Понятие сетевой модели. Архитектура сети определяет основные элементы сети, характеризует ее общую логическую организацию,
Интегрированная информационная система «КВАРТА». Компания КВАРТА Компания КВАРТА имеет 14-летний опыт работы в следующих областях: Реализация «под ключ»
Сенаторова Безопасность ОС (Windows) и Web-сервер (IIS). Сама система NetSchool. «Человеческий фактор».
Конфигурация ЛВС (локальные сети одноранговые и с выделенным сервером) По административным отношениям между узлами можно выделить сети с централизованным.
Методы и средства обеспечения информационной безопасности в системе 1С:Предприятие 8.1 П.Б.Хорев доцент кафедры информационной безопасности РГСУ.
Транксрипт:

ОКБ САПР Агрегация и визуализация событий средств защиты информации

Задачи ПАК СЗИ НСД При разработке АС необходимо задуматься о защите обрабатываемой в ней информации. Для защиты АС используются ПАК СЗИ НСД, которые решают следующие задачи: Обеспечение доверенной среды функционирования Разграничение доступа пользователей к РС, ТК, ТС.

ПАК СЗИ НСД «Аккорд» «Аккорд-NT/2000» (до ОС Vista) «Аккорд-Win32» (все 32-х битные ОС Windows) «Аккорд-Win64» (все 64-х битные ОС Windows) Данные комплексы могут работать как на автономных ПК, так и в терминальном режиме (TSE).

Функции ПАК СЗИ НСД «Аккорд» Защита от несанкционированного доступа Обеспечение доверенной загрузки ОС Контроль целостности программ и данных Защита программ и данных от несанкционированных модификаций Разграничение доступа пользователей Ведение журнала регистрируемых событий СЗИ

Состав журнала событий СЗИ Дата и время регистрации события Детальность журнала, установленная на момент регистрации события Имя рабочей станции Тип операции Наименование объекта доступа (файла, каталога, диска, устройства) Имя процесса Результат события (ОК, НСД, ошибка доступа)

Программа LOGVIEW В состав ПАК «Аккорд» входит программа LOGVIEW. Возможности LOGVIEW: просмотр вывод на печать архивация журнала событий СЗИ

Обязанности администратора информационной безопасности (ИБ) В обязанности администратора ИБ входит: Просмотр и анализ событий в журнале СЗИ Определение причины возникновения попытки НСД или ошибки В обязанности администратора ИБ не входит: Администрирование системы Установка и настройка ПО, защиту которого выполняет ПАК «Аккорд»

Сложности при сборе и анализе событий СЗИ Журнал событий СЗИ состоит из огромного количества строк В реальной системе достаточно много пользователей Эти факты делают задачу анализа событий СЗИ для АИБ достаточно сложной. Если необходимо сделать сводку о попытках НСД с классификацией по типу события в определенный период времени, то эта задача становится еще более сложной. Если же необходимо проанализировать статистику событий НСД по нескольким отделениям организации, то эта задача становится почти нереальной.

Технология Business Intelligence (BI) Одним из способов решения озвученной проблемы является использование технологии Business Intelligence (BI). В ее основе лежат следующие принципы: организация доступа конечных пользователей (руководителей, аналитиков, администраторов) к данным, структурированным определенным образом анализ полученных структурированных данных получение на основе структурированных данных информации о процессах, происходящих в системе Технология BI может быть использована для любых агрегированных данных, в том числе и для журналов событий СЗИ.

Contour BI Технология BI используется в продукте Contour BI, одна из модификаций которого предназначена для обработки и анализа событий СЗИ, полученных в результате функционирования ПАК «Аккорд». Возможности Contour BI: быстрое создание интерактивных отчетов анализ содержащихся в отчетах данных силами конечных пользователей (руководителей организации и ее подразделений, аналитиков, администраторов ИБ) Входные данные - общий журнал событий СЗИ от различных подразделений организации. Выходные данные - графики и диаграммы, на основании которых можно отфильтровать нужные данные или выполнить сортировку по выбранному событию, выделить N лучших или худших событий.

Корреляционный анализ данных Contour BI также предоставляет возможность корреляционного анализа данных: журналов событий СЗИ, полученных в результате функционирования ПАК «Аккорд» и других подсистем, одновременно функционирующих в рассматриваемой системе, например: подсистемы регистрации доступа пользователей в помещение подсистемы антивирусной защиты подсистемы обновления ОС подсистемы обновления прикладного ПО

IBM Tivoli Security Operation Manager (TSOM) Для агрегации, визуализации событий СЗИ, анализа корреляций можно использовать TSOM. Возможности TSOM: централизованное выполнение действий по обеспечению безопасности для различных подразделений, технологий и процессов управление событиями, связанными с IT- безопасностью агрегация в единый журнал событий СЗИ, полученных в процессе функционирования ПАК «Аккорд» анализ единого журнала событий СЗИ на предмет корреляции с событиями других систем безопасности

Преимущества средств сбора и анализа статистики по событиям СЗИ Более качественный анализ событий СЗИ, чем при использовании стандартных средств просмотра журналов Возможность рассмотрения событий СЗИ в совокупности с событиями других подсистем безопасности Возможность анализа корреляций различных событий Получение большего количества информации и более верных выводов о корректности функционирования системы в целом

ОКБ САПР Агрегация и визуализация событий средств защиты информации