3. Вводные данные
• Распределенная структура организации,
есть ярко выраженные региональные
центры (РЦ);
• Организационные связи между РЦ слабые;
• Внедрение должно быть пошаговым;
• Интеграция в существующую систему
управления ИБ.
• Масштабы РЖД:
• 16 РЦ
• 835 тыс. сотрудников
5. • SOC в Санкт-Петербургском, Ярославском и Красноярском РЦ
2012 2013 2014 2015
Первые РЦ
6. • SOC в Самарском, Иркутском и Хабаровском РЦ
• Подключение Калининграда на существующие технические решения
2012 2013 2014 2015
Расширение
7. 2012 2013 2014 2015
• Подключение к локальным SOC смежных РЦ (которые по ряду причин не могут
быть сделать локальный SOC);
• Предоставление доступа к системе специалистам филиалов;
• Сбор статистики, балансировка дальнейшей нагрузки как техники, так и людей.
«Филиалы»
9. Центры компетенции (1/2)
• Каждый локальный SOC контролирует ИБ в
рамках своего подразделения;
• В рамках каждого SOC не всегда хватает
профильных специалистов;
• В организации есть распределенная группа
людей, обладающая необходимыми
компетенциями;
• «Центр компетенции» – распределенная
группа экспертов по определенному
направлению ИБ: сетевая безопасность,
НСД и др.
10. Центры компетенции (2/2)
• Центр компетенции контролирует ситуацию
по своему направлению в масштабах всей
организации;
• Технологической основой Центра
компетенций выбирается один из локальных
SOC.
12. Инциденты
• «Унифицированный контент» – Правила,
тиражируемые на все локальные SOC;
• Уникальный контент:
• Спец заказ команд локальных SOC
• Инструменты центров компетенций для общего
анализа информации.
13. Задачи и решения
• Полный пересмотр стандартных средств
сбора из БД Касперского;
• Отчетность по работам внешних
подрядчиков (на основе сетевого трафика,
внешних систем контроля);
• Аутсорсинг контроля работоспособности
системы СЦ «Информзащита».
14. Цифры
Метрика Значение
Типов выявляемых инцидентов 70+
«Унифицированных» из них 35+
Отчетов по состоятнию ИБ 80+
«Унифицированных» из них 35+
Обрабатываемая информация 3.5 млрд событий в день
Среднесуточный совокупный поток 40 000 EPS
15. Технологии
• HP ArcSight ESM;
• Визуализация – собственная разработка;
• Система управления заявками –
собственная разработка Заказчика;
• Дополнительные модули – в части
интеграции со смежными решениями,
предварительной обработки информации,
автоматизации задач по обслуживанию
компонентов.
17. Преимущества решения
В основе – решение Enterprise уровня,
один из признанных лидеров,
проверенный временем;
Дополнительная оснастка – полностью
кастомизируется для решения любых
задач;
Отсутствие единой точки отказа;
Распределение нагрузки.
19. Дальнейшие шаги
• Создание единого центра для обработки
сводной информации со всей страны,
локальных SOC, Центров компетенций;
• Визуализация комплексного состояния ИБ
для ТОП-менеджмента;
• Внедрение дополнительных внешних
сервисов и аналитических механизмов.