Госсистема противодействия компьютерным атакам на основе SIEM

1 Отзыв

«Врага не прогонишь от ворот города, где защита слаба» (Шумерская пословица)
netrunner-netwatch-operations-office

15 января Президент России подписал новый Указ №31с  «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ». Все полномочия по созданию данной системы, разработке методики обнаружения атак, обмену информацией между госорганами об инцидентах ИБ, оценке степени защищенности критической информационной инфраструктуры возложены на ФСБ России.

Как могла бы выглядеть такая система? Возможно, элементы этой системы уже реализованы?

В Указе речь идет об информационном ресурсе РФ, и под этим термином понимается:

  • информационные системы
  • информационно-телекоммуникационные сети

Если, к примеру, брать телекоммуникационную группу «Ростелеком» как основу информационно-телекоммуникационной сети для функционирования информационных систем, то очевидными мероприятиями будут:

  1. Повышение устойчивости каналов к воздействиям за счет тотального удвоения, утроения и т.д.
  2. Повышение пропускной способности каналов для улучшения той же устойчивости и возможности передачи многочисленных данных управления, мониторинга и т.д.
  3. Установка системы противодействия специфическим атакам (DDOS).
  4. Внедрения единого сетевого ситуационного центра.

Интересным предположением является, что ядро высокоуровневой  системы противодействия компьютерным атакам (ПРОКОМАТ) может быть установлено на площадках «Ростелекома». Большое количество гос. ресурсов хостится в «Ростелекоме».

procomat

Однако государственный сайт может располагаться где угодно, и в этих условиях должны быть выработаны обязательные мероприятия согласно закону для такого сайта. Например, рассмотрим установку системы ПРОКАМАТ нижнего уровня. Можно определить функции такой системы:

  • собирать данные из всех источников,
  • собирать, хранить  и осуществлять поиск информации о событиях,
  • иметь в своем составе систему обнаружения вторжений (СОВ),
  • иметь возможность интеграции с модулями-поставщиками событий,
  • поддерживать связь по информированию-управлению  с вышестоящей системой,

Эти функции с успехом может выполнять сертифицированная система SIEM-система, например, наша разработка КОМРАД.

 

procomat1

 

Таким образом, мы получили иерархическую систему управления событиями ИБ на основе SIEM, как основу ПРОКОМАТ. Все первичные данные обрабатываются на нижнем уровне системы, в систему верхнего уровня поступают  сигналы о явных аномалиях и атаках. Такое взаимодействие позволяет выполнить пункт 2б (обеспечение взаимодействия владельцев информационных ресурсов Российской Федерации, операторов связи, иных субъектов…). Для выполнения пункта 2а (прогнозирование ситуации в области обеспечения информационной безопасности Российской Федерации), возможно, потребуется реализация систем, подобных системам технического анализа на рынке ценных бумаг.

Безусловно, требуется упомянуть, что:

  • за выполнение мероприятий на местах должны отвечать соответствующие специалисты,
  • возможно, будет выработан список СЗИ, рекомендованных для установки (лицензия ФСБ?),
  • необходима разработка методики построения архитектуры защищенной информационной системы с различным уровнем нагруженности и доступности.

 

Possibly Related Posts:


Эксперт сообщества Александр Клянчин

Рубрика: Законодательство, информационная безопасность, Новости. Метки: , , . Вы можете следить за отзывами через RSS 2.0. Вы можете оставить отзыв, или трекбек со своего сайта.

1 Отзыв на «Госсистема противодействия компьютерным атакам на основе SIEM»


  1. Andy

    Так сертификат получен или нет? На все компоненты?