Новости

  Ранее работникам ИТ- и ИБ-служб  ОАО «РЖД» было сложно выявлять различные инциденты, так как анализ требовал проведения большого количества операций, выполнить которые можно было только вручную, кроме того, постоянно требовалась дополнительная информация. При решении таких задач компания уже давно применяет проактивный подход, поэтому очень важно более эффективно использовать имеющуюся информацию, только так можно действенно контролировать угрозы информационной безопасности компании. Для того чтобы решить эту задачу было решено обратиться в компанию, главная специализация которой IT Аутсорсинг. Они должны были подобрать платформу для построения новой информационной системы, которая должна была хорошо интегрироваться с другими системами защиты компании и обладать огромным багажом функций. Самая главная задача система должна работать с огромным массивом данных, то есть, она призвана полностью оптимизировать, работу по инцидентам, связанным с информационной безопасности. Данная система  должна оптимально работать, несмотря дефицит времени и ресурсов обслуживающих ее сотрудников. Благодаря ей  должны появиться новые способы обнаружения угроз информационной безопасности компании. На что еще нужно было обратить внимание, особенность проекта состояла в том, что информационная сеть РЖД невероятно велика. Компания владеет 300 корпоративными серверами, на ее балансе находится  более 200000 компьютеров, ею используется 4000 различных информационных систем, причем среди них имеются такие системы, которые нигде в мире не применяются.
  Начать реализацию проекта решили с Санкт Петербургского ИВЦ, в котором находится  около 10% всей информационной структуры компании. Прежде всего, важно было определить, на какой платформе будет работать будущая система, в результате долгих обсуждений и согласований решили остановиться на комплексе компании HP ArcSight.  Самая главная причин была в том, что данный продукт имеет возможность быстрой интеграции  со многими защитными системами, используемыми в ИВЦ, к тому же, он весьма широко используется  многими территориально распределенными компаниями, каналы которых имеют низкую пропускную способность. Он обладает хорошими резервами, по сравнению с многочисленными аналогами, его проще настраивать,  не требуются  знание технического программиста, однако знания в области функционирования современных информационных систем для работы с ним обязательно потребуются.
    В результате совместной работы, специалисты службы информационной безопасности РЖД совместно с работниками компании приняли решение о том, какие инциденты в области информационной безопасности необходимо постоянно отслеживать. Исходя из этих данных,  была проведена доработка правил корреляции событий HP ArcSight. Было разработано более 100 различных отчетов и правил, которые помогут своевременно обнаруживать угрозы информационной безопасности.
  Новая система сразу же доказала свою эффективность, она помогла обнаружить инциденты, которые ранее не обнаруживались иными средствами, имеющимися у РЖД, к примеру, удалось узнать, что коммуникационное оборудование компании используется несанкционированно, также специалисты выяснили, какие именно станции  заражены вредными программами, которые ранее не были детектированы антивирусными программами, то есть, уровень информационной безопасности РЖД существенно возрос.                      
  Заместитель начальника департамента информационной безопасности компании Александр Глухов заявил, что новый комплекс значительно лучше прежнего и позволяет  наиболее оптимально работать со сложной ИТ-инфраструктурой компании, ручной работы теперь практически нет, а расследование можно вести не только по факту прошедших  негативных событий, но и предупреждать их. В ближайшее время этот комплекс будет использоваться и другими региональными центрами ОАО «РЖД».