Заказчики: Пенсионный Фонд России (ПФР) Москва; Государственные и социальные структуры Подрядчики: Т1 Интеграция (ранее Техносерв) Продукт: Проекты построения ситуационных центровВторой продукт: IBM DB2 Третий продукт: R‑Vision SOAR (ранее R-Vision IRP) Дата проекта: 2018/10 — 2019/03
|
Технология: Ситуационные центры
Технология: ИБ - Управление информацией и событиями в системе безопасности (SIEM)
|
Содержание |
Центр управления информационной безопасностью - централизованный комплекс сил и средств, предназначенный для предупреждения, выявления, реагирования, ликвидации последствий и расследования инцидентов информационной безопасности в информационной инфраструктуре ПФР.
Основными целями ЦУИБ являются:
- прогнозирование, обнаружение и нейтрализация угроз безопасности информации;
- обеспечение устойчивого и бесперебойного функционирования информационных систем ПФР;
- обеспечение соответствия требованиям по безопасности информации;
- повышение доверия к ПФР за счет повышения уровня защищенности информационных ресурсов ПФР.
Центр управления информационной безопасности обеспечивает решение задач инвентаризации активов ПФР; централизованного сбора и анализа данных обо всех инцидентах ИБ ПФР с последующей визуализацией аналитических материалов и формированием отчетности; принятия решений и реагирования на различные типы инцидентов информационной безопасности с целью минимизации ущерба для основной деятельности ПФР; анализа защищенности ПФР; повышения осведомленности пользователей, а также взаимодействия со сторонними центрами мониторинга ИБ.Бизнес уходит в облако: стратегии и подходы
2019
Завершение создания ЦУИБ
26 апреля 2019 года компания «Техносерв», российский системный интегратор, сообщила о завершении проекта по созданию Центра управления информационной безопасностью (ЦУИБ) для Пенсионного фонда РФ.
ЦУИБ оперативно выявляет инциденты информационной безопасности Одно или несколько неожиданных или нежелательных событий в области ИБ, с которыми связана значительная вероятность компрометации процессов ПФР и создания угрозы информационной безопасности, и реагирует на них в информационной инфраструктуре ПФР. Внедренные процессы управления ИБ обеспечивают непрерывный рост уровня защищенности информационных систем и повышения культуры ИБ в целом.
Специалисты «Техносерва» выполнили полный цикл работ: от проектирования, поставки и настройки программно-аппаратного комплекса до разработки, внедрения и сопровождения запуска в операционную деятельность процессов управления ИБ.
Технологическая основа ЦУИБ построена на современных решениях:
- платформе управления инцидентами информационной безопасности (IRP),
- системе сбора и корреляции событий безопасности (SIEM),
- системе инвентаризации ИТ-активов,
- системе визуализации и отчетности.
Чтобы обеспечить максимально эффективную защиту информационных систем ПФР, вся платформа была интегрирована с уже существующими в системе ИТ- и ИБ-решениями включая службу технической поддержки и систему инвентаризации ИТ-активов.
В рамках проекта были подключены сотни источников событий и метаданных о сетевых взаимодействиях из федеральных государственных информационных систем и 85 субъектов РФ.
Проект для Пенсионного фонда РФ выделяется масштабом и тщательностью проработки вопросов ИБ. Построение централизованных процессов выявления и реагирования на все актуальные типы киберугроз в ПФР было сложным и нетривиальным. Алексей Копейкин, директор департамента по работе с государственными структурами компании «Техносерв»
|
Мы гордимся оценкой наших компетенций в построении этого SOC-центра Security Operation Center. Выполнение таких крупномасштабных проектов и обеспечение киберустойчивости предприятий является основным приоритетом работы и развития «Техносерва» по направлению информационной безопасности. В каждом проекте мы стремимся к тому, чтобы результат нашей работы максимально быстро начал приносить заказчикам пользу. Поэтому особое внимание уделяется выстраиванию процессов ИБ и взаимодействия между подразделениями ИТ/ИБ. Накопленный опыт аналогичных проектов позволил нам сформировать собственную методологию построения SOC, основанную на практиках и законодательстве РФ. При этом методология является гибкой и адаптируется под особенности каждого заказчика. Сергей Терехов, директор центра компетенций по информационной безопасности компании «Техносерв»
|
- Реализованы процессы идентификации и инвентаризации активов и внедрена база данных информационных ресурсов наполняемая и актуализируемая из нескольких ИБ и ИТ источников. В целевом состоянии база содержит более 90 000 записей, включая информацию о программном и аппаратном обеспечении активов, системных и сетевых настройках, параметрах безопасности и существующих уязвимостях;
- Подключены сотни источников событий и метаданных о сетевых взаимодействиях из двух федеральных государственных информационных систем и 85 субъектов Российской федерации, включая операционные системы, базы данных, активное сетевое оборудование, прикладное программное обеспечение, и средства защиты как зарубежных, так и отечественных производителей;
- Решена нетривиальная задача по выстраиванию централизованных процессов реагирования на несколько десятков типов киберугроз и инцидентов информационной безопасности ПФР – организован непрерывный цикл определения актуальных угроз, выработке детектирующих мер в отношении актуальных угроз, реализации правил отнесения событий к инцидентам ИБ, формализации процессов управления и разработка нескольких десятков планов реагирования на инциденты ИБ, получения обратной связи, статистических данных и прозрачной отчетности для руководства;
- ТЦМИБ глубоко интегрирован в существующую инфраструктуру Пенсионного фонда. Функциональные компоненты ТЦМИБ и технические и программные средства защиты взаимодополняют друг друга.
- Деятельность центра управления ИБ организована с учетом рекомендаций отечественных и международных организаций и адаптирована к существующим в ПФР процессам, организационно-штатной структуре и особенностям производственной деятельности.
- Налажено взаимодействие с ведущими сторонними центрами мониторинга, в том числе с FinCERT Банка России
- Обеспечение киберустойчивости деятельности ведомства в мире ежедневных кибератак: Центр приступил к обнаружению и предотвращения компьютерных атак, защите и обеспечению сохранности данных, которые собирает, хранит и обрабатывает Пенсионный фонд России.
Уникальность проекта
- Создан один из первых центров реагирования на киберугрозы, реализованный в государственном секторе в рамках программы «Цифровая экономика» и исполнения положений законодательства РФ по повышению защищенности государственных информационных ресурсов.
- Одно из крупнейших внедрений данного сегмента в федеральных ведомствах.
Второй этап
Ко второму этапу работ в ПФР имелись высокопроизводительные серверы IBM z13. Используемая операционная система — IBM z/OS, проприетарная 64-битная серверная ОС, разработанная компанией IBM для мэйнфреймов собственного производства. Задействованная СУБД — IBM DB2.
Также ИТ-инфраструктура ПФР включала ПО MaxPatrol Server, MaxPatrol Consolidation Server (консолидирует информацию с различных серверов MaxPatrol), ПО «Security Vision: центр интеллектуального мониторинга и управления информационной безопасностью» и ПО автоматизации процессов реагирования на инциденты ИБ IBM Resilient Incident Response Platform Standard. Для ПО создаваемого Центра необходимо было обеспечить совместимость со всеми этими средствами.
При этом, как уточнили в «Техносерве», упомянутые мэйнфреймы IBM z13 непосредственной частью Центра не является, а входят в состав автоматизированной информсистемы Пенсионного фонда следующего поколения (АИС ПФР-2). Мэйнфреймы в ПФР выступают активом, который Центр призван защищать.
Более того, интегратор заверяет, что для проекта никакое «железо» не закупалось в принципе.
На втором этапе «Техносерву» требовалось внедрить софт IBM для защиты мэйнфреймов — zSecure Audit и zSecure Alert, а также портальное решение Positive Technologies Reporting Portal, систему мониторинга R-Vision, «Security Vision: Центр интеллектуального мониторинга и управления информационной безопасностью». Три последних продукта являются российскими разработками. R-Vision и Security Vision включены в Реестр российского ПО.
Помимо этого интегратору нужно было провести установку и настройку антивирусного софта, ПО централизованного управления межсетевыми экранами и ПО управления активами. Конкретные вендоры этих программ в техзадании не прописаны.
2017: Победа в тендере и создание первой очереди ЦУИБ
Кроме того, в сентябре 2017 г. «Техносерв» вышел победителем из тендера на поставку в Центр программного обеспечения за 63,5 млн руб., обойдя на торгах компанию «Тегрус». По условиям контракта ПФР требовалось ПО мониторинга и управления ИБ из Реестра отечественного софта при Минкомсвязи — совместимое с находящимися в эксплуатации в ПФР программными комплексами мониторинга событий информбезопасности IBM QRadar.
Создание первой очереди Центра ранее также было осуществлено «Техносервом». Контракт на сумму в 44,6 млн рублей он получил в мае 2017 г. по итогам еще одного электронного аукциона, обойдя на торгах компанию «Единые системные технологии».[1]