Оказание услуг по мониторингу инцидентов информационной безопасности и взаимодействию с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак.
Решение
Для осуществления данного проекта было принято решение использовать следующую систему сбора и обработки событий информационной безопасности (далее - SIEM) - RuSIEM.
В рамках реализации данного проекта к SIEM были подключены следующие источники событий ИБ:
- Системы обнаружения/предотвращения вторжений;
- Антивирусные средства;
- Почтовые сервера;
- Контроллеры домена;
- Прокси сервер;
- Активное сетевое оборудование;
- Критичные рабочие станции.
Контракт осущетвлялся в два этапа:
1 этап - Предпроектное обследование инфраструктуры Заказчика;
2 этап - Мониторинг инцидентов ИБ, зафиксированных центром мониторинга АО "Калуга Астрал" и предоставление интерфейса визуализации информации об инцидентах ИБ Заказчику.
Особенности решения
На первом этапе реализации проекта проведилось сканирование локальной сети Заказчика, в результате чего были составлены:
- общая топологическая схема сетевой инфраструктуры Заказчика;
- детализированная топологическая схема сетевой инфраструктуры Заказчика.
На втором этапе было принято решение использовать для обеспечения функционирования SIEM системы оборудования (сервера), выполняющего роль сборщика журналов событий от источников событий ИБ инфраструктуры Заказчика (далее - коллектор логов), который должен быть установлен непосредственно в инфраструктуру Заказчика, по месту нахождения технических средств. В качестве коллектора логов использовался RvSIEM, который непосредственно подключался к RuSIEM на базе АО "Калуга Астрал".
При продлении договора на следующий 2021 год было принято решение перейти на RuSIEM Заказчика, благодаря гибкости системы стало возможным перенести необходимые данные с одной SIEM на другую. Так же хочется отметить возможность подключения новых типов источников событий ИБ к SIEM совместно с техподдержкой RuSIEM. Нельзя обойти стороной и тот факт, что к SIEM можно подключать неограниченное количествво RuSIEM-агентов на АРМ пользователей Заказчика (ограничивается только лицензией на EPS!).
Для информации об АО "Калуга Астрал":
- В 2019 г получена лицензия ФСТЭК России на один из видов деятельности по технической защите конфиденциальной информации — на услуги по мониторингу информационной безопасности средств и систем информатизации.
- В 2020 г подписано соглашение о взаимодействии с ФСБ России в области обнаружения, предупреждения и ликвидации последствий компьютерных атак.