Разнородные системы информационной безопасности не только плохо взаимодействуют (а порой и конфликтуют) друг с другом, но и порождают огромное количество сообщений, log-записей и информационных сигналов. Возникает необходимость во все большем количестве специализированных администраторов информационной безопасности, каждый из которых обслуживает и анализирует сообщения отдельной системы. Система информационной безопасности рассыпается на отдельные независимые подсистемы. У менеджеров отсутствует возможность управлять ИБ из единого центра, иметь комплексную информацию об уровне защищенности ключевых ИТ-систем. Российские энергетические компании должны, помимо прочего, выполнять требования федеральных и отраслевых стандартов в области информационной безопасности, в том числе ставшего для многих головной болью 152-ФЗ «О персональных данных». Это приводит к необходимости внедрения отечественных сертифицированных средств защиты информации, что только усугубляет сложившуюся ситуацию.
Работа с такими компаниями, как ОАО «Сахаэнерго», ГУП «Моссвет», ОАО «РусГидро», ОАО «Иркутск-энерго», позволила нам сделать вывод о том, что крупные энергетические компании приходят к пониманию того, что только комплексный подход к задаче обеспечения информационной безопасности может быть достаточно эффективным для противостояния современным угрозам ИБ (как внешним, так и внутренним). Все средства защиты информации должны взаимодействовать друг с другом и управляться из единого центра безопасности. Но одного понимания того, что процесс управления информационной безопасностью не может иметь случайный, неуправляемый характер, мало. Поэтому современные компании обратились к стандартам в области менеджмента информационной безопасности, таким как ГОСТ Р ИСО/МЭК 27001-2006 и ГОСТ Р ИСО/МЭК 17799-2005, описывающим международный опыт в области организации систем управления ИБ.
Реализация данного подхода должна приводить не к дополнительному раздуванию штатов и бюджетов, а к созданию прозрачной системы управления информационной безопасностью, предоставляющей информацию различного уровня детализации и рычаги управления для специалистов всех уровней, начиная от рядового администратора и заканчивая топ-менеджерами компании. В этом может помочь автоматизированная система управления информационной безопасностью (АСУИБ), берущая на себя множество рутинных задач и предоставляющая информацию в реальном времени.
АСУИБ позволяет организовать сбор данных от различных подсистем обеспечения информационной безопасности, автоматизировать анализ и хранение событий безопасности, обработку инцидентов ИБ, обеспечивает управление системой информационной безопасности из единого центра, формирует отчеты различной степени детализированности для руководителей и специалистов, хранит в структурированном виде и актуализирует документы по информационной безопасности организации, базы событий, инцидентов и рисков ИБ, перечни активов и прочее.
Условно подобную систему можно разделить на 3 функциональных уровня: уровень сбора, уровень ядра и уровень управления.
Уровень сбора предназначен для сбора, нормализации и отправки на уровень ядра событий безопасности, поступающих как от традиционных ИТ-систем, так и от систем физической защиты, промышленной безопасности и т.д. Уровень ядра предназначен для анализа и корреляции событий безопасности. На этом уровне происходит проверка на соответствие политике управления инцидентами безопасности компании и передачи информации об инцидентах безопасности на уровень управления.
Уровень управления предназначен для автоматизации процесса управления информационной безопасностью и должен иметь некий портал отчетности. Портал отчетности в режиме реального времени позволяет управлять инцидентами безопасности предприятия в соответствии с принятой в компании политикой информационной безопасности. Портал отчетности должен позволять выдавать актуальные сводки и рекомендации по состоянию информационной безопасности предприятия в целом и по отдельным системам безопасности в частности.
Ясно, что сложная система, ориентированная на специфику конкретной организации, подобная АСУИБ, не может являться коробочным решением. Необходима адаптация, настройка, разработка коннекторов для специализированных, в том числе самописных, систем, большое количество которых характерно для энергетического сектора. Однако и разрабатывать подобную систему с нуля слишком затратно и долго. Существует значительное количество систем различного уровня, которые могут лечь в основу АСУИБ предприятия, стать ее ядром. Например, к подобным системам относятся ArcSight ESM, Cisco Security MARS, Security Vision, Symanteс SIM, Enterasys SIEM и другие. Выбор решения, на базе которого будет строиться АСУИБ предприятия, зависит от используемых организацией средств защиты и должен быть направлен на минимизацию работ по построению АСУИБ.
По мере усложнения систем защиты информации, роста количества подсистем ИБ все больше крупных организаций, в том числе и в энергетическом секторе, приходят к необходимости построения в том или ином виде подобных систем управления информационной безопасностью. По всей видимости, в ближайшем будущем АСУИБ ждет судьба систем электронного документооборота и CRM-систем. Они превратятся из модных новинок, осваиваемых самыми передовыми организациями, в стандарт для крупных компаний. Стремительный рост рынка подобных решений показывает, что процесс этот уже начался.