Обзор Innostage IRP, автоматизированной системы управления ИБ


Обзор Innostage IRP, автоматизированной системы управления ИБ

Автоматизированная система Innostage IRP версии 2 является собственной разработкой группы компаний Innostage. Продукт позволяет автоматизировать ключевые процессы управления инцидентами в информационной безопасности, в том числе процессы мониторинга и реагирования. Innostage IRP может быть применён как в информационной инфраструктуре компании, так и в технологической, включая АСУ ТП. Среди заметных особенностей — наличие подсистемы управления ИТ-активами и возможность интеграции с системой оркестровки, а также поддержка информационных каналов связи со внешними сервисами ИБ и системой ГосСОПКА.

Сертификат AM Test Lab

Номер сертификата: 349

Дата выдачи: 29.08.2021

Срок действия: 29.08.2026

Реестр сертифицированных продуктов »

  1. Введение
  2. Функциональные возможности Innostage IRP
    1. 2.1. Подсистема управления ИТ-активами
    2. 2.2. Подсистема управления инцидентами в ИБ
    3. 2.3. Подсистема визуализации эффективности реализованной стратегии ИБ компании
    4. 2.4. Подсистема взаимодействия с центром ГосСОПКА
  3. Архитектура Innostage IRP
  4. Системные требования Innostage IRP
  5. Сценарии использования Innostage IRP
    1. 5.1. Основной интерфейс продукта
    2. 5.2. Работа с подсистемой «Учёт ИТ-активов»
    3. 5.3. Работа с подсистемой «Инциденты ИБ»
    4. 5.4. Работа с подсистемой «Визуализация ключевых показателей»
  6. Выводы

Введение

Неуклонное развитие, масштаб и частота кибератак злоумышленников на критические узлы информационных систем заставляют специалистов (администраторов, офицеров) по информационной безопасности (далее — ИБ) искать адекватные и эффективные меры противодействия, которые позволяли бы своевременно выявлять кибератаку, оперативно проводить сбор информации, необходимой для дальнейшего расследования инцидента в ИБ, и проводить локализацию и устранение последствий этих кибератак.

Помимо всего прочего, регулятор советует, а в некоторых случаях и предписывает использовать решения, которые давали бы возможность в полной мере своевременно управлять выявленными инцидентами в ИБ и вести актуальный учёт ИТ-активов компании. В частности, например, с недавнего прошлого и до сегодняшнего дня регулятор уделяет очень пристальное внимание объектам критической информационной инфраструктуры в предприятиях ключевых отраслей экономики РФ.

Потребность в использовании решений, которые позволяют своевременно выявлять кибератаки на ИТ-активы компании и оперативно обрабатывать данные из сторонних средств защиты, назрела уже давно и удовлетворяется применением IRP-систем.

IRP (Incident Response Platform, платформа реагирования на инциденты) — система позволяющая автоматизировать и оптимизировать действия по управлению, реагированию и по дальнейшему расследованию выявленных инцидентов в ИБ, тем самым экономя время сотрудников компании.

Innostage IRP от группы компаний Innostage является классическим представителем этого класса продуктов, но тем не менее у него есть и заметные отличия. В их числе — наличие (и возможности) подсистемы управления ИТ-активами компании и интеграция с системой оркестровки для выполнения автоматических действий в существующих средствах защиты информации и управления ИТ-инфраструктурой, а также поддержка дополнительных информационных каналов связи со внешними сервисами информационной безопасности, включая отдельный канал для системы ГосСОПКА.

Больше о ГосСОПКА можно узнать в ранее опубликованном нами обзоре «ГосСОПКА: что такое, зачем нужна и как устроена».

Функциональные возможности Innostage IRP

Функции, которые реализованы в решении Innostage IRP, обеспечивают выполнение ключевых задач специалистов по ИБ в центрах мониторинга. Функциональность продукта можно обобщить в следующие подсистемы:

  • управление ИТ-активами;
  • управление инцидентами в ИБ;
  • визуализация эффективности реализованной стратегии ИБ компании;
  • взаимодействие с центром ГосСОПКА.

Подсистема управления ИТ-активами

Функции подсистемы управления ИТ-активами заключаются главным образом в инвентаризации последних и в оперативном обновлении инвентаризационной информации. Цель — создание единой базы данных с актуальными сведениями об организационной структуре компании, используемых информационных системах и технических средствах, прикладном и общесистемном программном обеспечении, а также с обобщённой информацией о наличии взаимосвязей между различными ИТ-активами.

Функции по управлению ИТ-активами позволяют быстро формировать паспорта на информационные системы компании и проводить оценку критической важности активов, тем самым обеспечивая выполнение некоторых требований российского законодательства и отдельных требований регулятора, а именно: по уровню защиты ПДн (ПП РФ от 01.11.2012 № 1119), по классу ГИС (приказ ФСТЭК России от 11.02.2013 № 17), по классу АСУ ТП (приказ ФСТЭК России от 14.03.2014 № 31). Также есть возможность формировать необходимые отчётные документы.

Если рассмотреть более детально подсистему управления ИТ-активами Innostage IRP, то можно выделить следующие основные функции:

  • Создание и ведение единой базы данных, обеспечивающей хранение информации о компонентах ИТ-инфраструктуры и взаимосвязях между ними (бизнес-процессах, информационных / автоматизированных системах, технических средствах, ПО).
  • Инвентаризация ИТ-активов вручную и автоматически, а также автоматическая актуализация данных за счёт интеграции со средствами содержащими инвентаризационную информацию.
  • Обогащение инвентаризационной информации по ИТ-активу, полученной из разных систем инвентаризации. При этом для каждого поля / группы полей учётной карточки ИТ-актива может быть реализована возможность выбора доверенного источника инвентаризационной информации, предоставляющего наиболее полные и точные данные.
  • Формирование и поддержание в актуальном состоянии электронных технических паспортов ИТ-активов.
  • Возможность получения сведений о любом сотруднике компании благодаря интеграции с информационными системами кадровых подразделений.
  • Возможность создания изолированных баз данных с ИТ-активами обособленных подразделений организации.
  • Графическое отображение основных показателей управления ИТ-активами.

В Innostage IRP автоматический сбор и учёт ИТ-активов предприятия достигаются как путём использования встроенного сканера инвентаризации, так и интеграцией со внешними системами инвентарного учёта (PT MaxPatrol, MF uCMDB, Microsoft SCCM, Kaspersky SC). Информацию, которую невозможно собрать автоматически, система позволяет добавить вручную.

За счёт указанных возможностей Innostage IRP позволяет создавать и поддерживать сервисно-ресурсную модель ИТ-активов для нужд информационной безопасности, на верхнем уровне которой — бизнес-процессы компании, на среднем — информационные и автоматизированные системы, а на нижнем — технические средства (АРМ, серверы, сетевое оборудование) и программное обеспечение.

При необходимости в Innostage IRP может быть дополнительно активирована функциональность категорирования объектов КИИ, предназначенная для автоматизации работ по категорированию в рамках ФЗ-187 «О безопасности критической информационной инфраструктуры». В этом случае результаты категорирования в дальнейшем будут использоваться в рамках управления ИБ-инцидентами и взаимодействия с ГосСОПКА.

На текущий момент для многих российских предприятий наличие базы данных с ИТ-активами является нетипичным. При этом такая база позволяет оптимизировать взаимодействие между различными подразделениями. Ярким примером может быть эффективная организация сотрудничества ИТ и ИБ.

Подсистема управления инцидентами в ИБ

Подсистема управления инцидентами в ИБ направлена на автоматизацию реагирования и расследования, а также на обеспечение эффективного взаимодействия между средствами защиты и ключевыми элементами ИТ-инфраструктуры компании. Подсистема также позволяет собирать статистику, проводить расследования и подготавливать необходимые отчётные документы.

В Innostage IRP реализована функциональность автоматизации реагирования на инциденты и выполнения блокирующих операций за счёт передачи команд в отдельный компонент оркестровки. За счёт этого реализуется принцип сервисной изолированности: отсутствует необходимость хранить административные учётные записи от ключевых ИТ-сервисов и элементов ИТ-инфраструктуры в системе управления инцидентами, поскольку управляющие команды передаются в вынесенную подсистему оркестровки, где и осуществляется хранение административных УЗ. Таким образом запуск санкционированных управляющих команд под локальными административными учётными записями становится возможен только из среды оркестратора.

В подсистеме управления ИБ-инцидентами можно выделить следующие функции:

  • Ручная и автоматическая регистрация инцидентов, в т. ч. поступивших через почтовые сообщения.
  • Автоматическое определение приоритета инцидента при его регистрации.
  • Автоматическое и ручное назначение ответственных за реагирование и расследование инцидентов в ИБ. Есть возможность автоматического назначения инцидента на группу ответственных сотрудников, что позволяет организовать оперативное реагирование или расследование.
  • Возможность добавления и хранения комментариев (командный чат) при работе группы ответственных лиц над инцидентом.
  • Возможность настройки автоматического назначения ответственных сотрудников на определённый тип инцидентов / компьютерных атак.
  • Возможность настройки допустимого времени обработки и решения выявленного инцидента в ИБ или его отдельного этапа (SLA) в зависимости от их критической значимости, а также отслеживание нарушений установленного времени.
  • Создание и изменение сценариев реагирования (плейбуков) на разные типы инцидентов в ИБ с помощью встроенного конструктора с возможностью установки SLA по каждому блоку сценария.
  • Реализация «сквозных» сценариев реагирования на инциденты, предусматривающих возможность разделения на отдельные блоки, выполнение которых поручается разным рабочим группам (например, 1-я и 2-я линии SOC) либо разным подразделениям компании. При этом работа осуществляется в рамках одной карточки инцидента без необходимости его передачи между рабочими группами.
  • Группировка однотипных инцидентов в ИБ, связанных единым признаком, назначение родительского и дочернего инцидентов, одновременная работа с группами однотипных инцидентов.
  • Поддержка иерархической архитектуры системы с центральной инсталляцией в головном офисе компании и самостоятельными подчинёнными инсталляциями на уровне филиалов. Такая архитектура предполагает возможность обмена информацией между инсталляциями (включая постановку задач из головного офиса в филиалы, распространение сценариев реагирования из головного офиса на филиалы и обратно), а также консолидации данных об инцидентах в ИБ и ИТ-активах на уровне головного офиса.
  • Автоматическая проверка индикаторов компрометации для выявленных инцидентов.
  • Оповещение ответственных сотрудников по электронной почте об обнаружении инцидента.
  • Хранение результатов реагирования и расследования ранее выявленных инцидентов в ИБ.
  • Поддержка различных инструментов визуализации и графических представлений по ключевым показателям процесса управления инцидентами: встроенных в систему информационных панелей с набором интерактивных блоков, а также отдельной среды визуализации с отображением ключевых трендов и показателей для вывода на крупные экраны центров мониторинга ИБ.
  • Автоматическое создание и выгрузка отчётов о деятельности в области управления ИБ-инцидентами на уровне ЦА и филиалов, включая детализированный отчёт по конкретному инциденту и отчёт по инцидентам за выбранный период.

Автоматическая регистрация ИБ-инцидентов в Innostage IRP достигается путём интеграции с системой автоматического сбора и корреляции событий (SIEM), а автоматическая проверка индикаторов компрометации (IoC) для выявленных инцидентов — за счёт связи со внешней системой киберразведки (Threat Intelligence).

Подсистема визуализации эффективности реализованной стратегии ИБ компании

Подсистема визуализации обеспечивает отображение в виде диаграмм, графиков, таблиц и текста соответствующих её названию показателей, включая информацию:

  • об общем количестве зарегистрированных инцидентов в ИБ (на уровне головного офиса, каждого отдельно взятого территориального органа, а также на уровне всей ИТ-инфраструктуры компании);
  • о распределении инцидентов по способам регистрации (автоматическая регистрация или регистрация в ручном режиме);
  • о распределении инцидентов по статусам, приоритетам и типам;
  • о распределении инцидентов по территориальным органам компании, включая головной офис;
  • о динамике возникновения инцидентов в ИБ по типам;
  • о сравнении количества зарегистрированных инцидентов по типам;
  • о сравнительном анализе динамики возникновения инцидентов в ИБ за определённый период времени и др.

Есть возможность оперативного перехода от обобщённых данных к детализированным. Поддерживается разграничение прав доступа к информационным панелям и показателям эффективности на основе ролевой модели.

Подсистема взаимодействия с центром ГосСОПКА

В части взаимодействия с центром ГосСОПКА Innostage IRP обеспечивает выполнение следующих функций:

  • автоматическая передача информации о субъекте (наименование, тип, физический и юридический адреса, ответственные лица и т. д.) и данных об объекте КИИ, на котором был обнаружен инцидент;
  • автоматическая передача сведений о выявленных инцидентах (описание, тип, статус и т. д.);
  • ведение журнала взаимодействия, в котором отображается статус передачи информации.

Все функции в решении Innostage IRP направлены на привлечение специалистов различного уровня для оперативного и эффективного выявления, локализации, минимизации последствий инцидентов в ИБ, а также для дальнейшего их расследования.

Архитектура Innostage IRP

Innostage IRP является программным продуктом. Внутренние подсистемы позволяют максимально эффективно интегрироваться в существующую информационную инфраструктуру компании. На рисунке 1 схематично показана общая архитектура решения.

 

Рисунок 1. Архитектура Innostage IRP

Архитектура Innostage IRP

 

В Innostage IRP выделяют четыре внутренних подсистемы и одну внешнюю. К числу внутренних относятся те, которые мы только что разобрали: управление ИТ-активами, управление инцидентами в ИБ, визуализация эффективности, взаимодействие с центром ГосСОПКА.

Внешней является подсистема выполнения управляющих воздействий (система оркестровки). Она обеспечивает управление в рамках реагирования на выявленные инциденты в ИБ по запросу, поступающему из IRP. Такой подход реализует принцип сервисной изолированности, предполагающий отсутствие необходимости хранить административные учётные записи от ключевых ИТ-сервисов и элементов ИТ-инфраструктуры в IRP. Вместо этого привилегированные учётные записи хранятся в защищённом виде в вынесенной системе оркестровки, которая может функционировать под контролем ИТ-служб.

Доступ к подсистемам также организован при помощи ролевой модели, которая включает в себя роли «Куратор ИБ», «Ответственный за реагирование и расследование инцидентов» и «Ответственный за регистрацию инцидентов». Доступ ко внутренним подсистемам решения, как и к используемой совместно SIEM-системе, как правило, предоставляется специалистам или подразделениям, которые отвечают за управление и реагирование на инциденты в ИБ.

Innostage IRP взаимодействует с существующей в компании SIEM-системой, внешними сервисами ИБ и ИТ-инфраструктурой компании.

Взаимодействие с SIEM-системой обусловлено необходимостью получения и автоматической обработки актуальной информации о выявленных инцидентах в ИБ. Взаимодействие с ИТ-инфраструктурой компании нужно в первую очередь для создания актуальной базы данных по используемым ИТ-активам — с целью дальнейшего её применения для оперативного расследования и эффективного запуска сценария реагирования на выявленный инцидент. Что же касается взаимодействия со внешними сервисами информационной безопасности, то оно даёт возможность более эффективно проводить анализ выявленных инцидентов в ИБ, а также оперативно и в автоматическом режиме взаимодействовать по выделенному информационному каналу с системой ГосСОПКА.

Архитектурные возможности позволяют развёртывать Innostage IRP как в виде единой централизованной инсталляции с предоставлением доступа удалённым подразделениям и поддержкой режима мультиарендности, так в иерархической распределённой архитектуре с подчинёнными инсталляциями на уровне крупных подразделений / филиалов.

Системные требования Innostage IRP

Отдельные компоненты Innostage IRP — сервер приложений, база данных и подсистема визуализации — для корректного функционирования требуют различного количества системных ресурсов. Минимальные и рекомендуемые требования приведены в таблице 1.

 

Таблица 1. Минимальные и рекомендуемые системные требования Innostage IRP

КомпонентМинимальные требованияРекомендуемые требования
Сервер приложенийЦП: 8 шт.
ОЗУ: 8 ГБ
ПЗУ: 150 ГБ
ЦП: 8 шт.
ОЗУ: 16 ГБ
ПЗУ: 200 ГБ
База данныхЦП: 4 шт.
ОЗУ: 5 ГБ
ПЗУ: 100 ГБ
ЦП: 8 шт.
ОЗУ: 16 ГБ
ПЗУ: 400 ГБ
Подсистема визуализацииЦП: 2 шт.
ОЗУ: 1 ГБ
ПЗУ: 50 ГБ
ЦП: 4 шт.
ОЗУ: 8 ГБ
ПЗУ: 60 ГБ

 

Сценарии использования Innostage IRP

Основной интерфейс продукта

Взаимодействие системы с пользователем осуществляется посредством веб-интерфейса с использованием любого веб-обозревателя.

При входе в систему пользователя встречает стандартное окно авторизации (рис. 2).

 

Рисунок 2. Окно авторизации в Innostage IRP

Окно авторизации в Innostage IRP

 

После успешной авторизации пользователю открывается основной интерфейс системы (рис. 3).

 

Рисунок 3. Основное меню в Innostage IRP

Основное меню в Innostage IRP

 

В зависимости от текущей роли пользователя основной интерфейс системы позволяет просматривать (как в текстовом представлении, так и в графическом) обобщённую статистическую информацию о текущем положении учёта ИТ-активов компании, о выявленных инцидентах в ИБ, а также о категорировании объектов КИИ или же общую совокупную информацию по всему предприятию в целом.

В данном случае на рисунке 3 представлен основной интерфейс системы с выводом общей информации по учёту ИТ-активов. Для удобства восприятия все сведения разделены на категории и представлены в отдельных блоках. Можно удалять блоки и добавлять новые, а также настраивать отображение нужных сведений в каждом из них.

Из основного интерфейса системы возможно оперативно переключаться между подсистемами учёта ИТ-активов и управления выявленными инцидентами. В зависимости от текущей роли пользователя основной интерфейс системы позволяет открыть меню администрирования, провести тонкую настройку и открыть окно с отображением внутренней статистической системной информации.

Работа с подсистемой «Учёт ИТ-активов»

В подсистеме «Учёт активов» помимо сведений по инвентаризации указана вся необходимая информация об организационной структуре компании (либо нескольких компаний, в случае использования в коммерческом SOC в режиме мультиарендности): о головном офисе, об обособленных и дочерних подразделениях, о департаментах и рабочих группах. Для этих сведений в подсистеме предусмотрен особый раздел — «Структура организации», который в свою очередь состоит из подразделов «Юридические лица», «Структура подразделения», «Подразделения», «Рабочие группы», «Работники» и «Адреса».

Подразделы «Юридические лица», «Структура подразделения» и «Подразделения» содержат информацию о наименованиях юридических лиц, их реквизитах, юридических и фактических адресах, а также о структурных подразделениях компаний и о внутренних подразделениях головного офиса и филиалов. На рисунке 4 представлено содержание вкладки «Юридические лица».

 

Рисунок 4. Вкладка «Юридические лица» в подсистеме учёта активов Innostage IRP

Вкладка «Юридические лица» в подсистеме учёта активов Innostage IRP

 

Для того чтобы просмотреть детальную информацию о юридическом лице, необходимо нажать на наименование компании. На рисунке 5 показана детальная информация по дальневосточному филиалу.

 

Рисунок 5. Детальная информация о юридическом лице в подсистеме учёта активов Innostage IRP

Детальная информация о юридическом лице в подсистеме учёта активов Innostage IRP

 

Следующая вкладка — «Рабочие группы» (рис. 6). Здесь содержится информация о количестве и составе рабочих групп, об их руководстве и ответственных лицах.

 

Рисунок 6. Вкладка «Рабочие группы» в подсистеме учёта активов Innostage IRP

Вкладка «Рабочие группы» в подсистеме учёта активов Innostage IRP

 

Для примера рассмотрим более детально рабочую группу по ИБ головного офиса компании (рис. 7).

 

Рисунок 7. Детальная информация о рабочей группе в подсистеме учёта активов Innostage IRP

Детальная информация о рабочей группе в подсистеме учёта активов Innostage IRP

 

Как видно из рисунка 7, система позволяет не только менять состав групп, но и назначать им определённые функциональные обязанности при обнаружении инцидентов в ИБ. Поддерживается возможность назначения инцидента на определённую рабочую группу в зависимости от его типа.

Вкладка «Работники» (рис. 8) позволяет узнать больше о сотрудниках каждого подразделения компании.

 

Рисунок 8. Вкладка «Работники» в подсистеме учёта активов Innostage IRP

Вкладка «Работники» в подсистеме учёта активов Innostage IRP

 

Если нажать на Ф. И. О. сотрудника, то откроется окно с детальной информацией о нём. Например, рассмотрим сведения о руководителе ПТО дальневосточного филиала (рис. 9).

 

Рисунок 9. Детальная информация о сотруднике компании в подсистеме учёта активов Innostage IRP

Детальная информация о сотруднике компании в подсистеме учёта активов Innostage IRP

 

Как видно из рисунка 9, система позволяет хранить всю необходимую информацию о каждом сотруднике, а также прикреплять в электронном виде внутренние распорядительные документы, которые касаются его непосредственно — например, приказы о назначении на должность или об очередном ежегодном отпуске.

Вкладка «Адреса» содержит дополнительную контактную информацию о головном офисе компании и о филиалах.

Вкладка «Бизнес-процессы», как видно по названию, содержит в себе все бизнес-процессы предприятия. На рисунке 10 представлена информация по головному подразделению.

 

Рисунок 10. Вкладка «Бизнес-процессы» в подсистеме учёта активов Innostage IRP

Вкладка «Бизнес-процессы» в подсистеме учёта активов Innostage IRP

 

Рассмотрим более подробно один из бизнес-процессов — обеспечение производственной среды (рис. 11).

 

Рисунок 11. Детальная информация о бизнес-процессе компании в подсистеме учёта активов Innostage IRP

Детальная информация о бизнес-процессе компании в подсистеме учёта активов Innostage IRP

 

Система предоставляет подробную информацию как об организационной структуре компании, так и о модели ИТ-активов в целом: бизнес-процессы, информационные системы, технические средства, программное обеспечение. В карточке бизнес-процесса содержится информация о его владельце и участниках, связи с информационными активами компании, критическая важность в рамках категорирования объекта КИИ и исходные данные для расчёта экономической значимости.

В следующих трёх вкладках — «Информационные системы», «Технические средства» и «Программное обеспечение» — содержится вся необходимая информация по инвентаризации ИТ-активов. На рисунке 12 представлено в качестве примера содержимое вкладки «Информационные системы».

 

Рисунок 12. Вкладка «Информационные системы» подсистемы учёта активов в Innostage IRP

Вкладка «Информационные системы» подсистемы учёта активов в Innostage IRP

 

По каждой информационной системе можно узнать полное наименование, вид и архитектуру, подробный состав, затрагиваемые бизнес-процессы и взаимодействие с другими системами. На рисунке 13 в качестве примера показано информационное окно с детальными сведениями по SIEM-системе компании.

 

Рисунок 13. Детальные сведения по SIEM в подсистеме учёта активов Innostage IRP

Детальные сведения по SIEM в подсистеме учёта активов Innostage IRP

 

Следующая вкладка с информацией об ИТ-активах компании — «Технические средства». На рисунке 14 представлен пример отображения её содержания.

 

Рисунок 14. Вкладка «Технические средства» подсистемы учёта активов Innostage IRP

Вкладка «Технические средства» подсистемы учёта активов Innostage IRP

 

Система позволяет более детально ознакомиться с каждым техническим средством. Например, рассмотрим информацию об одном из серверов, который входит в состав информационной инфраструктуры дальневосточного филиала (рис. 15).

 

Рисунок 15. Детальная информация по техническому средству в подсистеме учёта активов Innostage IRP

Детальная информация по техническому средству в подсистеме учёта активов Innostage IRP

 

Следующая вкладка, которая отображает ИТ-активы компании, — «Программное обеспечение» (рис. 16).

 

Рисунок 16. Вкладка «Программное обеспечение» подсистемы учёта активов Innostage IRP

Вкладка «Программное обеспечение» подсистемы учёта активов Innostage IRP

 

Как видно из рисунка, на вкладке «Программное обеспечение» возможно просмотреть список всех программных продуктов по каждому подразделению компании, а также краткую информацию о программном обеспечении (версия, категория, тип).

Для просмотра детальных сведений необходимо нажать на нужное нам программное обеспечение. Рассмотрим экземпляр Adobe Acrobat Reader, который расположен на одном из технических средств в дирекции филиала «Центральная Сибирь» (рис. 17).

 

Рисунок 17. Детальная информация по программному средству в подсистеме учёта активов Innostage IRP

Детальная информация по программному средству в подсистеме учёта активов Innostage IRP

 

В окне с детальной информацией по программному средству есть возможность получить сведения по эксплуатации и сопровождению ПО, а также проследить его связи с другими информационными активами предприятия.

На вкладке «Документы» можно просмотреть все активные документы, которые закреплены за теми или иными сотрудниками компании или же информационными активами предприятия.

Вкладка «Контроль» (рис. 18) позволяет вывести на экран общую статистическую информацию по учёту информационных активов компании. Эту информацию мы уже наблюдали в главном окне при первоначальном входе в систему.

 

Рисунок 18. Вкладка «Контроль» подсистемы учёта активов Innostage IRP

Вкладка «Контроль» подсистемы учёта активов Innostage IRP

 

Каждый информационный блок можно настроить под себя: указать тип и вид отображаемых данных, добавить и удалить блоки. Также решение позволяет просмотреть подробную информацию из каждого блока. Возьмём для примера сведения о выявленном запрещённом программном обеспечении (рис. 19).

 

Рисунок 19. Детальная информация о выявленном запрещённом программном обеспечении в Innostage IRP

Детальная информация о выявленном запрещённом программном обеспечении в Innostage IRP

 

Как видно из рисунка 19, среди прочего запрещённого ПО в дирекции филиала «Центральная Россия» был своевременно выявлен инструмент удалённого доступа. Система предоставляет всю необходимую информацию для принятия соответствующих управленческих решений, например возможность посмотреть, на каких технических средствах было выявлено это ПО.

Последняя вкладка подсистемы учёта информационных активов — «Отчётность» (рис. 20). Здесь можно сформировать структурированный отчёт по выбранному активу с отображением всей информации, которая находится в системе, что может, помимо всего прочего, значительно сократить длительность подготовки паспорта информационной системы, рабочей станции или сервера, а также является большим подспорьем в подготовке плановой отчётности для руководства компании и в своевременном выявлении различных аномалий в информационных активах.

 

Рисунок 20. Создание отчёта в подсистеме учёта активов Innostage IRP

Создание отчёта в подсистеме учёта активов Innostage IRP

 

Работа с подсистемой «Инциденты ИБ»

Данная подсистема является центральным звеном Innostage IRP и обеспечивает автоматизацию задач по управлению выявленными инцидентами.

Напомним, что доступ в подсистему осуществляется на основе ролевой модели. Роль «Куратор ИБ» предполагает организацию работ по управлению инцидентами, в том числе и в нижестоящих подразделениях, а также общий контроль за состоянием этих работ. Роли «Ответственный за реагирование и расследование инцидентов» и «Ответственный за регистрацию инцидентов» обеспечивают своевременное выполнение соответствующих действий.

Первое, что предлагает нам сделать данная подсистема, — это создать отдельный план реагирования на инцидент (плейбук) для каждого территориального подразделения. На рисунке 21 представлен пример списка планов реагирования.

 

Рисунок 21. Планы реагирования в подсистеме работы с инцидентами Innostage IRP

Планы реагирования в подсистеме работы с инцидентами Innostage IRP

 

Система даёт возможность просмотреть детальную информацию о каждом плане. На рисунке 22 представлены подробности плана под названием «Обнаружение вируса, неудалённого антивирусным ПО».

 

Рисунок 22. Просмотр детальной информации о плане реагирования в Innostage IRP

Просмотр детальной информации о плане реагирования в Innostage IRP

 

Для удобства восприятия каждого плана реагирования к нему прилагается структурная блок-схема, что значительно упрощает процесс планирования и поиск недочётов в уже существующих планах. Каждый план впоследствии возможно скорректировать, если он не отвечает требуемому уровню эффективности или отдельным пунктам политики информационной безопасности компании.

Вкладка «Инциденты ИБ» (рис. 23) содержит в себе список всех выявленных инцидентов и краткую информацию о каждом из них (идентификатор, наименование и приоритет, дата и время регистрации, место возникновения, ответственный за реагирование, статус).

 

Рисунок 23. Просмотр вкладки «Инциденты ИБ» в Innostage IRP

Просмотр вкладки «Инциденты ИБ» в Innostage IRP

 

Для просмотра детальной информации о нужном инциденте достаточно нажать на соответствующую строку графы «Идентификатор». В качестве примера рассмотрим подробности ИБ-инцидента «Фишинговое письмо» (рис. 24).

 

Рисунок 24. Просмотр детальной информации об инциденте «Фишинговое письмо» в Innostage IRP

Просмотр детальной информации об инциденте «Фишинговое письмо» в Innostage IRP

 

Здесь можно увидеть много дополнительной информации: затронутые ИТ-активы компании, развёрнутый план реагирования на инцидент в виде блок-схемы с цветовой индикацией выполнения или невыполнения определённых этапов, информация о проведении расследования текущего инцидента с указанием трудоёмкости и даты начала, сведения о наличии связи с другими выявленными инцидентами. Также есть возможность прикрепить дополнительные файлы, касающиеся данного происшествия, и просмотреть историю изменений в карточке учёта.

На вкладке «Задачи» (рис. 25) представлен список всех активных задач, назначенных по тем или иным инцидентам в ИБ, с указанием краткой информации по каждой из них: идентификатор назначенной задачи и соответствующий ему идентификатор инцидента, тип задачи, её краткое описание, текущий статус и плановая дата решения.

 

Рисунок 25. Список текущих задач, назначенных по выявленным инцидентам, в Innostage IRP

Список текущих задач, назначенных по выявленным инцидентам, в Innostage IRP

 

Для открытия карточки учёта с детальной информацией по необходимой нам задаче щёлкнем по соответствующей строке графы «Идентификатор». Для примера возьмём одну из задач, которые были назначены на инцидент с фишинговым письмом (рис. 26).

 

Рисунок 26. Просмотр детальной информации по задаче, назначенной на инцидент «Фишинговое письмо»

Просмотр детальной информации по задаче, назначенной на инцидент «Фишинговое письмо»

 

В карточке учёта задачи находятся сведения о самом инциденте (в нашем случае — обнаружение письма с фишинговой ссылкой в электронной почте головного офиса), результаты расследования с указанием его трудоёмкости и даты окончания, а также итоговый вердикт ответственного за расследование.

Вкладка «Контроль» (рис. 27) позволяет вывести на экран общую статистическую информацию по выявленным в компании инцидентам. Все сведения классифицированы по определённым признакам и собраны в отдельные информационные блоки, которыми можно оперативно управлять (удалять, добавлять новые, менять тип представления информации) для удобства восприятия.

 

Рисунок 27. Просмотр вкладки «Контроль» в подсистеме учёта инцидентов Innostage IRP

Просмотр вкладки «Контроль» в подсистеме учёта инцидентов Innostage IRP

 

Каждый информационный блок можно раскрыть, чтобы увидеть подробности. Например, в блоке о выявлении новых инцидентов видно, что система обнаружила два свежих происшествия, среди которых — вход в систему под учётной записью отсутствующего сотрудника (рис. 28).

 

Рисунок 28. Детальная информация о новом инциденте в Innostage IRP

Детальная информация о новом инциденте в Innostage IRP

 

Помимо общей информации система предоставляет сведения о затронутых ИТ-активах компании и о связи текущего инцидента с выявленными ранее происшествиями (при наличии). Также есть обязательные для заполнения поля с информацией по реагированию и по расследованию данного инцидента, которые будут заполняться в дальнейшем при проведении соответствующих мероприятий. Дополнительно имеется возможность заполнить информацию по конкретному инциденту из его карточки и передать его в ГосСОПКА с помощью модуля интеграции.

 

Рисунок 29. Информация, передаваемая в ГосСОПКА из карточки инцидента

Информация, передаваемая в ГосСОПКА из карточки инцидента

 

Рисунок 30. Информация о прикреплённых свидетельствах

Информация о прикреплённых свидетельствах

 

Рисунок 31. Чат с сотрудниками центра ГосСОПКА

Чат с сотрудниками центра ГосСОПКА

 

Заключительная вкладка данной подсистемы — «Отчётность» (рис. 32). Она позволяет сформировать отчёт со всей доступной информацией по выявленным инцидентам в ИБ, в том числе включая результаты реагирования и расследования. Отчёт можно создать за любой выбранный промежуток времени и в удобном для представления виде.

 

Рисунок 32. Создание отчёта в подсистеме управления инцидентами Innostage IRP

Создание отчёта в подсистеме управления инцидентами Innostage IRP

 

Эта функция позволяет сэкономить время при подготовке плановой отчётности для руководства компании и оперативно собрать всю необходимую информацию по конкретному инциденту с целью дальнейшего обсуждения и принятия окончательных решений по нему. Также отчётность даёт возможность проанализировать соответствие реализованной политики ИБ положениям руководящих документов, детально оценить её эффективность.

Работа с подсистемой «Визуализация ключевых показателей»

Визуализация ключевых показателей позволяет лучше оценивать использование информационных ресурсов компании и достижение поставленных целей, равно как и эффективность процессов обеспечения информационной безопасности и управления.

Напомним, что доступ в подсистему осуществляется на основе ролевой модели (роли «Руководитель» и «Ответственный»).

Главное окно подсистемы разделено на четыре информационных блока. Два из них отражают статистику по выявленным в компании инцидентам, а ещё два — по учёту информационных активов компании (в обоих случаях — раздельно по оперативному и стратегическому уровням).

Все данные можно вывести с учётом нужного чётко заданного периода или же за последний определённый промежуток времени. Для примера далее вся статистическая информация будет представлена за последние 30 дней. На рисунке 33 показано основное окно подсистемы визуализации.

 

Рисунок 33. Основное окно подсистемы визуализации в Innostage IRP

Основное окно подсистемы визуализации в Innostage IRP

 

Подсистема визуализации позволяет детализировать каждый информационный блок. Например, рассмотрим более детально информацию по выявленным инцидентам в ИБ. На рисунках 34 и 35 представлен срез показателей оперативного уровня, а на рисунке 36 — стратегического.

 

Рисунок 34. Окно с информацией о выявленных инцидентах (оперативный уровень) в Innostage IRP

Окно с информацией о выявленных инцидентах (оперативный уровень) в Innostage IRP

 

Рисунок 35. Окно с информацией о выявленных инцидентах (оперативный уровень) в Innostage IRP

Окно с информацией о выявленных инцидентах (оперативный уровень) в Innostage IRP

 

Рисунок 36. Окно с информацией о выявленных инцидентах (стратегический уровень) в Innostage IRP

Окно с информацией о выявленных инцидентах (стратегический уровень) в Innostage IRP

 

Как видно из рисунков, подсистема визуализации Innostage IRP предоставляет и отображает в удобном для понимания виде всю подробную статистическую информацию по инцидентам в ИБ, а именно: общее количество зарегистрированных, просроченных и ложных инцидентов, распределение инцидентов по типам, по статусам, по приоритетам, по негативным последствиям, по количеству ложных срабатываний. Также доступны:

  • информация по среднему времени реагирования,
  • график динамики регистрации инцидентов,
  • сведения по системам и техническим средствам, которые были затронуты инцидентами в ИБ,
  • данные по источникам происшествий.

Далее подсистема визуализации предоставляет пользователю возможность конкретизировать каждый информационный блок, а именно — посмотреть, к какому структурному или территориальному подразделению относится представленный параметр. Например, узнаем, в каких подразделениях есть просроченное реагирование на выявленные инциденты (рис. 37).

 

Рисунок 37. Окно подсистемы визуализации Innostage IRP с просроченными инцидентами

Окно подсистемы визуализации Innostage IRP с просроченными инцидентами

 

Как видно из рисунка, все просроченные инциденты относятся к головному офису компании.

Аналогично сведениям об инцидентах можно получить представление о статистике учёта информационных активов компании, также по оперативному и стратегическому уровням (рис. 38 и 39 соответственно).

 

Рисунок 38. Окно со сведениями о выявленных информационных активах компании (оперативный уровень) в Innostage IRP

Окно со сведениями о выявленных информационных активах компании (оперативный уровень) в Innostage IRP

 

Рисунок 39. Окно со сведениями о выявленных информационных активах компании (стратегический уровень) в Innostage IRP

Окно со сведениями о выявленных информационных активах компании (стратегический уровень) в Innostage IRP

 

Как и в предыдущем случае, вся информация собрана в отдельные блоки и для удобства понимания классифицирована по отдельным признакам. Здесь можно найти сведения по используемым в компании информационным системам и техническим средствам, по наличию запрещённого программного обеспечения и по рабочим станциям, где обнаружено наибольшее количество запрещённого ПО, статистику существующих технических средств (по категориям) и информационных систем (по типам), а также недавно инвентаризованные ИС и результаты синхронизации со сторонними системами инвентаризации.

Каждый информационный блок можно рассмотреть ещё более детально, увидев, к какому структурному или территориальному подразделению относятся те или иные показатели. Для примера возьмём блок с эксплуатируемыми информационными системами компании (рис. 40).

 

Рисунок 40. Список эксплуатируемых информационных систем в Innostage IRP

Список эксплуатируемых информационных систем в Innostage IRP

 

Как видно из рисунка, наибольшее количество информационных систем эксплуатируется в головном офисе компании и в дирекции одного из филиалов.

Выводы

В существующих реалиях для эффективного и оперативного реагирования на возникающие инциденты в ИБ необходимо иметь решение, которое автоматизировало бы большинство действий по выявлению инцидентов и реагированию на них, равно как и работу по их расследованию.

Innostage IRP представляет собой набор подсистем, функции которых не только обеспечивают своевременное и адекватное реагирование вкупе с дальнейшим расследованием инцидентов в ИБ, но и позволяют выполнять отдельные требования регулятора по обеспечению безопасности ПДн, ГИС, АСУ ТП и КИИ.

Глубокая интеграция решения в ИТ-инфраструктуру компании, функция инвентаризации информационных активов предприятия, подробная визуализация ключевых показателей реализованной политики ИБ, а также взаимодействие с системами кадрового учёта и системой ГосСОПКА заметно выделяют Innostage IRP среди подобных продуктов и позволяют ему эффективно решать поставленные задачи по реагированию и расследованию инцидентов в ИБ.

Достоинства:

  • Наличие подсистемы учёта информационных активов, которая позволяет оперативно актуализировать сведения по ИТ-активам компании.
  • Наличие единой среды визуализации ключевых показателей по управлению инцидентами и инвентаризации информационных активов в масштабах всей компании.
  • Наличие автоматизированного взаимодействия с системой ГосСОПКА.
  • Использование отдельного компонента — системы оркестровки для автоматизации реагирования на инциденты и выполнения блокирующих операций, при которой отсутствует необходимость хранения административных учётных записей внутри IRP.
  • Поддержка «сквозных» сценариев реагирования с возможностью их разделения на отдельные блоки, одна часть которых выполняется в режиме «одного окна» специалистами SOC, а другая — сотрудниками иного структурного подразделения или иной организации.
  • Гибкие возможности задания плановых сроков реагирования (SLA) как на инцидент в целом, так и на отдельную задачу.
  • Выгрузка отчётной документации по требованиям ФСТЭК России и учёт категории значимости объектов КИИ.
  • Возможность подключить функциональность автоматизации категорирования объектов КИИ и учитывать результаты в работе по управлению инцидентами.

Недостатки:

  • Интерфейс кажется перегруженным.
  • На момент подготовки обзора отсутствует сертификация ФСТЭК России.

Реестр сертифицированных продуктов »

Записаться на демонстрацию
Запросить пробную версию
Запросить цены
Задать вопрос
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.