ОАО «РЖД» является лидером российского рынка перевозок и одним из крупнейших транспортных операторов мира. Компания основана в 2003 году со 100% государственным участием и оказывает полный комплекс услуг в сферах: пассажирских и грузоперевозок, локомотивной тяги, инфраструктуры, ремонта подвижного состава, логистики, научных исследований, опытно-конструкторской и других видов деятельности. ОАО «РЖД» является участником международных проектов по строительству и управлению железными дорогами в Германии, Иране, Ливии, Китае, Финляндии, Армении, Монголии и Северной Корее.
Потребности бизнеса
В ОАО «РЖД» эксплуатируется один из самых крупных в стране информационных комплексов, состоящий из 64 мейнфреймов (высокопроизводительных компьютеров со значительным объемом оперативной и внешней памяти, предназначенных для организации централизованных хранилищ данных большой емкости и выполнения интенсивных вычислительных работ), более 300 корпоративных серверов, более 200 тысяч ПК. Компанией используются около 4 тысяч информационных систем, среди которых есть системы, беспрецедентные по размеру и не имеющие аналогов в мире. Одним из самых крупных информационно-вычислительных центров в структуре ОАО «РЖД» является Санкт-Петербургский ИВЦ (подразделение ГВЦ, филиал ОАО «РЖД»).
В связи с наличием сложной инфраструктуры, сотрудники Санкт-Петербургского ИВЦ постоянно сталкивались с трудностями при выявлении инцидентов ИБ. Для проведения анализа нужно было выполнять много ручных операций и обращений за дополнительной информацией. По этой причине не проводилось проактивной работы с инцидентами ИБ, а расследование выполнялось зачастую уже по факту свершившегося события.
Задача:
В рамках проекта перед специалистами компании «Информзащита» ставились три ключевые задачи:
- Выбрать для построения системы платформу, которая бы, с одной стороны, обладала богатым встроенным функционалом, чтобы минимизировать затраты на интеграцию, а с другой стороны, могла бы легко масштабироваться для работы с большими объемами данных.
- Оптимизировать работу с инцидентами ИБ, особенно в контексте дефицита времени и ресурсов сотрудников, ответственных за работу с ними.
- Разработать и внедрить в практику новые способы обнаружения инцидентов ИБ с помощью корреляции событий и поведенческого анализа сетевой активности.
Решение
К выбору платформы для создания автоматизированной системы обработки и корреляции событий ИБ участники проекта подошли очень ответственно. Продукт HP ArcSight, входящий в общий пакет решений HP Enterprise Security, существует на рынке систем мониторинга и управления событиями информационной безопасности уже более 12 лет. HP ArcSight является лидером в данной области и используется более чем в 2000 организаций в мире. Немаловажно и то, что с 2007-го года уже на протяжении пяти лет, он увеличивает свою популярность и среди отечественных компаний. Обладая самым большим в индустрии количеством встроенных шлюзов для интеграции с информационными системами и средствами защиты информации (более 350 различных систем, из них SAP, Checkpoint, Cisco, Oracle), HP ArcSight действительно помогает сократить время и стоимость внедрения и дальнейшего развития. Немаловажно, что за счет активной эксплуатации на территории РФ набор успешных интеграций пополнился еще и целым рядом отечественных систем (например, Kaspersky, DeviceLock, 1С:Предприятие).
Результат
Встроенные возможности платформы HP ArcSight позволили специалистам компании «Информзащита» в краткие сроки выполнить интеграцию с 13-ю информационными системами и системами защиты информации Санкт-Петербургского ИВЦ, разработать логику и реализовать более 100 правил, отчетов и графических представлений для обнаружения инцидентов ИБ. Этот функционал в руках команды квалифицированных специалистов ОАО «РЖД» позволил добиться значительного улучшения показателей защищенности Санкт-Петербургского ИВЦ, обнаружить несколько инцидентов, которые невозможно было выявить имеющимися средствами защиты.
Внедренное решение, выполняемые и предложенные к реализации работы по его развитию охватывают значительный объем актуальных задач по обеспечению безопасности информации объектов инфраструктуры, сохранение конфиденциальности, целостности и доступности информации, а также единства информационного пространства Санкт-Петербургского ИВЦ. Это стало возможным за счет своевременного выявления и реагирования на инциденты информационной безопасности, появления новых возможностей по корреляции и визуализации событий ИБ, созданию новых методик выявления злонамеренной активности и оптимизации работы ответственных сотрудников.