XIX Международном Форуму iFin-2019
ПАО Банк «Открытие», Глинский Андрей
Security Vision, Рахметов Руслан
НЕОБХОДИМОСТЬ СИСТЕМЫ КЛАССА INCIDENT RESPONSE
PLATFORM ДЛЯ БАНКА
Необходимость в программном продукте способном обеспечить автоматизацию
действий по реагированию на инциденты кибербезопасности, в вопросах:
• автоматическое выполнение дежурных процедур в режиме реального
времени;
• снижение риска человеческого фактора и ошибок персонала, привлекаемого
на реагирование инцидентов кибербезопасности;
• снижение времени реагирования и воздействия инцидентов
кибербезопасности за счёт автоматизации набора заранее разработанных
процедур и сценариев реагирования.
2
ФУНКЦИОНАЛЬНЫЕ ТРЕБОВАНИЯ ПРЕДЪЯВЛЯЕМЫЕ
БАНКОМ К СИСТЕМАМ IRP
• Учет активов в собственной базе CMDB системы
• Контроль соответствия стандартам СТО БР ИББС, PCI DSS
• Системы с которыми необходима двусторонняя интеграция: Active Directory,
Cisco ASA, CMDB iTop, Microsoft DNS, Cisco FirePower, Forinet FortiMail, Gigamon
Platform, HP Service Manager, Imperva Secure Sphere, InfoWatch Traffic Monitor,
Cisco IronPort, Kaspersky Security Center, Lieberman ERPM, MaxPatrol 8,
Microsoft Exchange, Microsoft SQL, Microsoft TMG, MySQL, OpenStack, Oracle
database, Palo Alto, PostgreSQL, QlikView, IBM QRadar, ArcSight ESM, Microsoft
System Center Configuration Manager, Splunk, Symantec Critical System
Protection, Symantec Endpoint Protection, Linux / Unix, VMware ESXi, VMware
vCenter, Microsoft Windows Server, Zabbix, FinCERT, Skybox, Tripwire, FireEye,
OTRS и другие.
3
ФУНКЦИОНАЛЬНЫЕ ТРЕБОВАНИЯ ПРЕДЪЯВЛЯЕМЫЕ
БАНКОМ К СИСТЕМАМ IRP
• Построение картинки активных инцидентов на географической карте
• Построение графических схем инцидентов (взаимосвязь объектов в рамках
расследования)
• Автоматическое насыщение инцидента информацией об событиях
• Интеграция с более чем одной SIEM системой, зонтичная технология
• Построение отчетов и дашбордов для разных ролей
• Оповещение о критичных инцидентах – email, sms, IM
4
Security Vision Incident Response Platform [IRP] – автоматизация действий по
реагированию на инциденты кибербезопасности.
5
SECURITY VISION: ПРОДУКТЫ
Security Vision Incident Response Platform [IRP] – автоматизация
действий по реагированию на инциденты кибербезопасности.
Security Operation Center [SOC] – построение ситуационного центра
информационной безопасности (SOC) в масштабе организации или
страны.
Cyber Risk System [CRS] – автоматизация процессов управления
рисками кибербезопасности, обеспечения оперативного принятия
решений в вопросах кибербезопасности в стратегических инициативах
компании.
Security Governance, Risk Management and Compliance [SGRC] –
автоматизация построения системы управления информационной
безопасностью в организации с оцифрованными данными,
позволяющими принимать управленческие решения оперативно
основываясь на объективных данных.
6
SECURITY VISION IRP: АРХИТЕКТУРА
Визуализация и принятие решений
Обратная реакция
7
SECURITY VISION IRP: ФУНКЦИОНАЛЬНЫЕ
КАЧЕСТВА
Security Vision [IRP] – платформа-конструктор с возможностью
выстроить свой уникальный процесс управления реагированием:
Конструктор управления реагированием, представляющий собой
полнофункциональный рабочий процесс реакции на инциденты
кибербезопасности в рамках жизненного инцидента:
Идентификация;
Локализация;
Уничтожение;
Восстановление.
Конструктор содержит подсистемы, такие как:
Конструктор рабочих процессов;
Конструктор сценариев реагирования;
Механизмы обогащения инцидентов кибербезопаности;
Инструменты контроля политик;
Инструменты управления изменениями.
8
SECURITY VISION IRP: ФУНКЦИОНАЛЬНЫЕ
КАЧЕСТВА
Универсальные коннекторы имеют самый широкий спектр механизмов
взаимодействия с источниками данных, апробированы на более чем 2000
источников.
Конструктор активов представляющий собой базу активов с настраиваемыми
атрибутами и взаимозависимостями.
Конструктор заявок/инцидентов представляет собой инструмент построения
полного жизненного цикла управления заявками/инцидентами.
Конструктор рабочих процессов представляет собой графический конструктор
процессов.
Конструктор/витрина дашбордов
Конструктор отчётов
Конструктор оповещений
9
SECURITY VISION IRP: СХЕМА ВНЕДРЕНИЯ
10
SECURITY VISION IRP: СХЕМА ВНЕДРЕНИЯ
11
SECURITY VISION IRP: ПРИМЕНЕНИЕ
Продукт применяется в таких направлениях как:
• Подключение к Государственной системе обнаружения,
предупреждения и ликвидации последствий компьютерных атак
(ГосСОПКА);
• Автоматизация реагирования на инциденты кибербезопасности в
финансовой отрасли;
• Выстраивание системы управления информационной безопасностью в
соответствии со стандартом ISO серии 27ххх;
• Выстраивание системы управления информационной безопасностью в
соответствии с лучшими международными стандартами и практиками;
• Соответствие Общеевропейскому регламенту о персональных данных
(General Data Protection Regulation, GDPR);
• Построение центров мониторинга информационной безопасности
(SOC);
• Взаимодействие с FinCERT.
12
CYBER RISK SYSTEM IRP: КАК ВЫГЛЯДИТ
13
SECURITY VISION IRP: СЕРТИФИКАЦИЯ
Идет сертификация по 4 уровню
контроля отсутствия НДВ. Получено
решение во ФСТЭК и положительное
заключение лаборатории.
Включен в Единый реестр российских
программ для электронных
вычислительных машин и баз данных.
14
SECURITY VISION IRP: ПРИМЕРЫ ЗАКАЗЧИКОВ
Среди клиентов компании: Банк Открытие, Сбербанк
России, РОСТЕХ, Мультикарта, Федеральная служба
охраны Российской Федерации, СДМ Банк, Министерство
спорта России, Газпроммедиа Холдинг, Майтро
Интернейшнл, Гидромашсервис.
15
Контакты
Рахметов Руслан
E: [email protected] | M: +7 (903) 561-60-49
www.securityvision.ru
Видео о продукте:
https://www.youtube.com/watch?v=AbLrdJFn4Io
16
