"Техносерв" обеспечил ПФР центром управления
ГК "Техносерв" создала Центр управления информационной безопасностью (ЦУИБ) для Пенсионного фонда России (ПФР). ЦУИБ оперативно выявляет инциденты информационной безопасности и реагирует на них в информационной инфраструктуре ПФР. Как заявляют в "Техносерве", проект выделяется масштабом и тщательностью проработки вопросов информационной безопасности.
Как рассказали в пресс-службе ГК "Техносерв", проект по созданию Центра управления информационной безопасностью для Пенсионного фонда России был реализован в соответствии с тремя государственными контрактами на общую сумму 350 млн руб. Все работы, предполагаемые проектом, "Техносерв" выполнял в течение полутора лет - с мая 2017 г. по декабрь 2018 г. Первая очередь Центра управления информационной безопасностью ПФР создана в 2017 г., вторая - в 2018 г. В рамках каждой очереди "Техносерв" выполнил типовой цикл работ, предусмотренный группой стандартов ГОСТ 34. Данный цикл включает в себя рабочее проектирование, поставку технических и программных средств, пусконаладочные работы, проведение предварительных испытаний, сопровождение опытной эксплуатации и проведение приемочных испытаний. При этом в рамках второй очереди "Техносерв" также выполнил работы по актуализации Технического проекта. Это такой комплекс работ, как уточнение архитектурных и технических решений с учетом изменений в законодательстве, изменений инфраструктуры заказчика и ландшафта актуальных угроз информационной безопасности.
Основной сложностью при реализации проекта по созданию Центра, как отметили в пресс-службе "Техносерва", для компании было обеспечить интеграцию всех подсистем Центра между собой и с внешними системами на техническом и процессном уровне таким образом, чтобы подсистемы дополняли друг друга, взаимно обогащая информационные потоки и предлагая дополнительный функционал.
"Такая работа потребовала от нас создания полноценной тестовой среды, выстраивания процессов разработки и тестирования с постоянным участием специалистов по информационной безопасности. Масштабы инфраструктуры ПФР предъявляют особые требования к техническим решениям: многие технические проблемы, с которыми мы столкнулись, воспроизводились только у данного заказчика и решались в тесном взаимодействии с разработчиками технических и программных средств. Успешная интеграция подсистем ЦУИБ позволила еще больше автоматизировать деятельность по выявлению и реагированию на инциденты, выполнять более сложные корреляции, а также существенно упростило работу аналитиков", - рассказали в "Техносерве".
Внедренные в ПФР процессы управления ИБ, как указали в пресс-службе компании, обеспечивают непрерывный рост уровня защищенности информационных систем и повышения культуры ИБ в целом. Вместе с тем основными целями Центра управления информационной безопасностью ПФР, помимо реализации замкнутого цикла - выявления, предотвращения, реагирования и ликвидации последствий инцидентов ИБ и компьютерных атак, являются прогнозирование, обнаружение и нейтрализация угроз безопасности информации. Помимо того, Центр нацелен на обеспечение устойчивого и бесперебойного функционирования информационных систем ПФР; обеспечение соответствия требованиям по безопасности информации; роста доверия к ПФР за счет повышения уровня защищенности его информационных ресурсов.
"Иными словами, Центр создан для того, чтобы обеспечить максимальную эффективность работы решений по обеспечению информационной безопасности, координировать действия различных подразделений заказчика в ходе реагирования, предоставить заказчику инструмент, позволяющий понимать, что происходит в ПФР с точки зрения информационной безопасности, и позволить заказчику быстро отреагировать на нежелательные события, если они все-таки произошли. Дополнительно центр предоставляет аналитическую и статистическую информацию, которая позволяет заказчику более эффективно распределять человеческие ресурсы и планировать развитие системы безопасности всего ПФР", - проинформировали в пресс-службе "Техносерва", добавив, что в рамках проекта были подключены сотни источников событий и метаданных о сетевых взаимодействиях из федеральных государственных информационных систем и 85 субъектов России.
Относительно того, как именно Центр выявляет инциденты информационной безопасности в ПФР, в компании сказали следующее: "Выявление инцидентов информационной безопасности осуществляется с использованием специализированных программных средств в составе Центра. Программное обеспечение (ПО) Центра собирает информацию о событиях и метаданных сетевых взаимодействий, поступающую от рабочих станций, серверов, операционных систем, активного сетевого оборудования - маршрутизаторов, коммутаторов и т.д. - и средств защиты инфраструктуры и информационных систем ПФР. ПО Центра выявляет определенные последовательности в поступающих событиях. Например, событие А наступило пять раз в течение 1 минуты или в течение 5 минут наступило событие А, потом событие Б, далее событие В. Последовательности, которые необходимо искать, задаются правилами в настройках программного обеспечения. Настройка правил осуществлялась специалистами "Техносерва" в рамках работ по созданию Центра. В случае срабатывания правила ПО автоматически регистрирует инциденты в платформе управления инцидентами (Resilient). Далее на инцидент реагирует эксплуатирующий персонал заказчика - дежурная смена. Дополнительно инцидент может быть зарегистрирован по результатам обращения работника ПФР или при получении информации от другого центра мониторинга, например FinCERT Банка России".
Что касается непосредственно организации работы Центра, в "Техносерве" отметили, что его работа, как и всех подобных центров, основана на трех составляющих - "технологии", "процессы", "люди". С точки зрения "технологий", Центр является независимой автоматизированной системой, которая включает в себя собственную ИТ-инфраструктуру (серверы, коммутаторы, систему хранения данных, средства виртуализации вычислительных ресурсов, типовые операционные системы и общесистемное программное обеспечение); собственные средства обеспечения информационной безопасности; специализированное программное обеспечение, реализующее функции Центра, включая PTReportingPortal (Россия; визуализация и отчетность), R-Vision (Россия; инвентаризация ИТ-активов), SecurityVision (Россия; выявление инцидентов ИБ) и IBMResilient - управление инцидентами ИБ.
"Процессы" в данном контексте - это перечень формализованных и упорядоченных действий, определяющих, как "команда" -работники ПФР - должна выполнять действия и задачи, решаемые в рамках деятельности Центра. В рамках работ были формализованы и совместно с заказчиком запущены в операционную деятельность следующие группы процессов: инвентаризация активов, анализ защищенности, управление инцидентами, повышение осведомленности, аудит и оценка эффективности, взаимодействие со сторонними Центрами, формирование отчетности, развитие Центра. Перечисленные процессы описаны в различных организационно-распорядительных документах - политиках, регламентах, инструкциях и т.д. Также в рамках процессов реагирования на инциденты для каждого типа инцидентов разработаны специфические документы - playbooks, подробно описывающие процесс реагирования на инцидент, включая последовательность шагов, которые необходимо выполнить, подробное описание действий в рамках каждого шага, - рассказали в пресс-службе "Техносерва". - "Люди" - это работники заказчика, которые осуществляют свою деятельность согласно "процессам" (руководствуясь разработанными документами) с использованием "технологий", внедренных технических и программных средств".
В "Техносерве" также отметили, что с технической точки зрения уникальность проекта обусловлена несколькими факторами. Во-первых, это объемы данных, которые обрабатывает технологическая платформа Центра. "В России единицы организаций с такими же масштабами инфраструктуры. Уникальные объемы требуют уникальных технических решений, так как обычные средства перестают справляться, - указали в пресс-службе компании. - Во-вторых, это упор на максимальную автоматизацию и оптимизацию работы персонала ЦУИБ. Например, был реализован следующий функционал: автоматизированные сценарии реагирования на инциденты (для более чем 25 типов инцидентов) - каждый шаг по реагированию заранее определен в системе с учетом организационной модели и инфраструктуры заказчика; автоматическое формирование и обогащение базы ИТ-активов на основании данных из различных источников, включая данные об уязвимостях активов; обогащение карточки инцидента данными об ИТ-активах; корреляция событий безопасности на основании бюллетеней FinCERT. В-третьих, для центра была разработана с нуля система визуализации и отчетности SOC, включающая аналитические панели по разным направлениям деятельности ЦУИБ. Данная система агрегирует огромные массивы информации включая данные об инцидентах, уязвимостях, сетевых атаках и т.п., позволяя аналитику одним взглядом оценить состояние информационной безопасности в выбранном регионе или информационной системе".
Вместе с тем в "Техносерве" обратили внимание, что технологическая основа ЦУИБ построена на современных решениях - платформе управления инцидентами информационной безопасности (IRP), системе сбора и корреляции событий безопасности (SIEM), системе инвентаризации ИТ-активов, системе визуализации и отчетности. Чтобы обеспечить максимально эффективную защиту информационных систем ПФР, вся платформа интегрирована с уже существующими в системе ИТ- и ИБ-решениями включая службу технической поддержки и систему инвентаризации ИТ-активов.
Что касается перспектив развития созданного "Техносервом" для ПФР Центра, в пресс-службе компании отметили, что идеология и логика функционирования подобных Центров предполагает непрерывное развитие и совершенствование как запущенных в операционную деятельность процессов, так и внедренных технических средств. "В настоящий момент в составе центра внедрены все необходимые технические средства, формализованы и документированы процессы обеспечения информационной безопасности. Дальнейший вектор развития предполагает поступательное и качественное развитие. Количественное развитие подразумевает подключение новых источников событий. Качественное развитие может включать формализацию и запуск дополнительных процессов, настройку новых правил выявления инцидентов, внедрение дополнительных специализированных средств для повышения эффективности отдельные функций Центра. Сроки и объем дальнейших работ по развитию определяются заказчиком. При объявлении конкурсов или аукционов на работы данной тематики компания "Техносерв" будет в них участвовать", - проинформировали в пресс-службе "Техносерва".
При этом в компании отметили, что на момент начала работ по созданию Центра в Пенсионном фонде уже были внедрены и функционировали средства защиты в составе подсистем обеспечения информационной безопасности (ПОИБ) информационных систем, оператором которых является ПФР. "Функционирующие средства реализуют все необходимые функции защиты - антивирусную защиту, управление доступом, выявление уязвимостей, межсетевое экранирование, криптографическую защиту каналов связи, специализированные средства защиты веб-приложений и т.д. Эксплуатация данных средств осуществляется профильными подразделениями исполнительной дирекции ПФР и его территориальных органов. Созданный Центр не отменяет необходимости использования данных средств, но дополняет их, агрегируя и обрабатывая поступающую от них информацию, для обеспечения показателей назначения Центра. При этом аналитическая информация, получаемая по результатам работы Центра, используется для уточнения (донастройки) параметров функционирования средств защиты и также может использоваться при принятии решений о дальнейшем развитии систем защиты ПФР", - рассказали в пресс-службе "Техносерва".
Касательно причин создания Центра в компании заметили, что его создание явилось логичным продолжением предыдущих проектов по повышению уровня информационной безопасности. "Статическая защита - в виде развернутых средств межсетевого экранирования, антивирусной защиты, управления доступом и т.д. - не позволяет противостоять современным угрозам информационной безопасности и подготовленным внутренним и внешним нарушителям. Потребностью в создании центров мониторинга и реагирования на угрозы ИБ сейчас очевидна всему ИТ-рынку: как частным, так и государственным организациям. Для ПФР это особенно актуально из-за масштабов инфраструктуры: 100 тыс. пользователей работают на более чем 2,5 тыс. площадок, распределенных по всей стране", - пояснили в пресс-службе "Техносерва".
Директор департамента по работе с государственными структурами "Техносерва" Алексей Копейкин о созданном компанией для ПФР Центре управления информационной безопасностью сказал следующее: "Техносерв" много лет лидирует в области создания ИТ-решений и предоставления услуг для государственных структур. Мы понимаем не только ИТ-задачи таких заказчиков, но и особую ответственность. Проект для Пенсионного фонда Российской Федерации выделяется масштабом и тщательностью проработки вопросов ИБ. Построение централизованных процессов выявления и реагирования на все актуальные типы киберугроз в ПФР было сложным и нетривиальным".
В свою очередь, директор центра компетенций по информационной безопасности "Техносерва" Сергей Терехов заявил, что компания гордится оценкой ее компетенций в построении SOC-центра ПФР (Центра управления информационной безопасностью ПФР). "Выполнение таких крупномасштабных проектов и обеспечение киберустойчивости предприятий является основным приоритетом работы и развития "Техносерва" по направлению информационной безопасности. В каждом проекте мы стремимся к тому, чтобы результат нашей работы максимально быстро начал приносить заказчикам пользу. Поэтому особое внимание уделяется выстраиванию процессов ИБ и взаимодействия между подразделениями ИТ/ИБ. Накопленный опыт аналогичных проектов позволил нам сформировать собственную методологию построения SOC, основанную на лучших практиках и законодательстве РФ. При этом методология является гибкой и адаптируется под особенности каждого заказчика", - указал Сергей Терехов.
В пресс-службе "Техносерва" отметили, что компания уже реализовала ряд контрактов по проектированию, внедрению технических средств и формализации процессов, характерных для центров, подобных Центру ПФР, для заказчиков в коммерческом и государственном секторах. Однако проект в Пенсионном фонде является первым проектом, в рамках которого в полном объеме был выполнен полный цикл работ и внедрены все технические средства, необходимые для работы Центра.
Относительно планов по созданию подобных Центру ПФР центров для государственных структур, в пресс-службе "Техносерва" заметили, что в настоящий момент у компании нет действующих контрактов по данной тематике с государственными заказчиками. "При объявлении конкурсов или аукционов на работы данной тематики компания будет рассматривать возможность участия в них", - заявили в Техносерве.
Что касается в целом актуальности подобных Центру ПФР центров, в компании сказали, что интерес к ним коммерческих и государственных структур стабильно растет в последние несколько лет. "Это обусловлено следующими факторами: развитие систем безопасности у государственных заказчиках в целом; повышение роли и важности информационных технологий в деятельности госструктур (прежде всего по причине развития электронных услуг, предоставляемых населению); требования законодательства (187-ФЗ "О безопасности КИИ РФ") и необходимость организации непрерывного обмена информацией с НКЦКИ (Национальным координационным центром по компьютерным инцидентам); рост количества компьютерных атак на государственные информационные системы в мире в целом", - объяснили в пресс-службе "Техносерва".
По словам руководителя отдела продвижения продуктов ООО "Код Безопасности" Павла Коростелева, создание таких, как Центр управления информационной безопасностью ПФР, центров крайне актуально. "Актуальность определяется как значительно возросшей вероятностью вредоносной активности, так и требованиями законодательства в области защиты критической информационной инфраструктуры. Потребность в создании подобных центров есть, как у государственных, так и у частных организаций", - указал Павел Коростелев.
При этом он отметил, что создание центра наподобие созданного "Техносервом" для ПФР позволяет вовремя обнаружить признаки инцидента и его предотвратить либо своевременно отреагировать на случившийся инцидент. "Это позволяет значительно снизить затраты на расследование и ликвидацию последствий инцидента и повысить эффективность работы внедренных средств защиты", - заявил Павел Коростелев.
Относительно того, реализует ли "Код безопасности" для государственных структур проекты, подобные Центру управления информационной безопасностью ПФР, Павел Коростелев сказал следующее: "Более 20 тыс. государственных организаций в России доверяют продуктам компании "Код Безопасности" и используют наши решения для обеспечения безопасности рабочих станций, серверов, виртуальных инфраструктур, мобильных устройств и сетевого взаимодействия всех компонентов информационных систем. Компанией реализовано очень большое количество проектов".