ИТ-риски

// // Интересное в сети //

Корпоративная сеть - сложная структура, а любая ее поломка способна парализовать работу либо всей компании, либо отдельных ее подразделений. Чтобы не допустить поломок следует заранее контролировать ситуацию, изучая возможные проблемы. На профессиональном языке этот процесс называется управлением ИТ-рисками.

Настоящий профессионал легко сможет предугадывать ИТ-риски и не допускать серьезных сбоев. В больших корпоративных информационных системах (КИС) присутствует достаточно большое количество средств защиты и операционных систем, регистрирующих события в лог-файлах, что порождает громадные объемы анализируемой информации. Чем больше объем регистрационных данных (событий), тем труднее осуществлять анализ и, следовательно, больше вероятность ошибок, допущенных аналитиками при анализе.

ИТ-риски можно предсказать исходя из информации, получаемой из различных источников, являющихся элементами сети. Есть и специализированные программно-аппаратные комплексы, способные помочь в управлении ИТ-рисками. Задача централизованного анализа событий, поступающих от межсетевых экранов, маршрутизаторов, сетевых и локальных сенсоров (IDS/IPS), операционных систем, информационных узлов и сканеров безопасности, является непосильной для ИТ-специалистов. Поэтому необходимо предусмотреть в КИС специализированные средства, которые решают задачу автоматизации процесса анализа содержимого регистрационных файлов и управления информационными рисками, т.е. создать Подсистему Управления Информационными Рисками (ПУИР), которая обеспечивает:

  1. просмотр и сбор информации из регистрационных файлов, создаваемых источниками событий (средства защиты, приложения, операционные системы и т.д.);
  2. фильтрацию и выборку событий в соответствии с правилами обработки событий;
  3. анализ и согласование (корреляцию) собранных данных;
  4. посылку наиболее важных событий на консоль администратора безопасности или осуществление запрограммированных действий (отключение сетевого соединения, запрет определенных правил фильтрации и т.д.) в случае наличия определенных событий (DoS-атака, попытка НСД и т.д.);
  5. исторический анализ (ведение базы данных) обработанных событий.

В состав ПУИР входят следующие компоненты:

  1. Средства (агенты), обеспечивающие локальный сбор информации (из регистрационных данных), их первоначальную фильтрацию и преобразование в формат, необходимый для последующего анализа (корреляции) на сервере обработки событий;
  2. Сервер обработки событий (СОС) принимает преобразованные данные (события) от всех агентов, входящих в ПУИР, обеспечивает корреляционный анализ полученных событий и помещает результаты анализа в базу данных;
  3. База данных (хранилище событий) обеспечивает хранение обработанных на СОС данных, позволяет осуществлять комплексный анализ на основе хранимых событий;
  4. Графическая консоль – средство графического отображения результатов анализа событий.

Подсистема управления рисками, представленная в этом решении, является удобным средством отображения информации о состоянии безопасности КИС, предоставляет возможность принятия решений и быстрого реагирования в случае обнаружения подозрительных событий. Использование продуктов IBM Tivoli Risk Manager делает возможным иерархическое построение ПУИР (с несколькими СОС).