Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Конвергенция физической и информационной безопасности

В рубрику "Комплексные системы безопасности" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Конвергенция физической и информационной безопасности

Что представляет собой конвергенция систем физической и информационной безопасности и их комплексный мониторинг? Этот вопрос уже долгое время изучается зарубежными специалистами и до сих пор не теряет своей актуальности
Алина Хегай
Руководитель отдела информационной безопасности
компании "ЛАНИТ-Интеграция" (ГК "ЛАНИТ")

Чтобы понять концепцию конвергенции систем физической и информационной безопасности и их комплексного мониторинга, в первую очередь следует рассмотреть ее в разрезе отдельных направлений и систем управления ими.

Управление событиями физической безопасности

К системам физической безопасности, как правило, относят:

  • системы внешнего, внутреннего, подъездного и других типов видеонаблюдения;
  • системы видеоаналитики (в том числе для распознавания номеров машин, лиц людей, массовых скоплений, подозрительных объектов, оставленных предметов и т.д.);
  • системы контроля и управления доступом различного класса (для исключения несанкционированного доступа на контролируемую территорию, для фиксации рабочего времени сотрудников);
  • системы охранно-пожарной сигнализации, противопожарные системы и системы активного пожаротушения;
  • системы охранной сигнализации и защиты периметра;
  • системы оповещения и эвакуации.

К этому списку можно добавить также технологии поддержания параметров воздуха в заданных пределах (системы отопления, вентиляции и кондиционирования).

Отслеживать события физической безопасности и управлять ими можно с помощью класса решений PSIM (Physical Security Information Management). В большинстве случаев каждая система физической безопасности имеет собственное специальное программное обеспечение, часто не самое удобное для использования. При этом сбор событий и анализ данных возможен только внутри одной подсистемы. Единая система мониторинга и управления физической безопасностью призвана обеспечить взаимодействие всего спектра систем безопасности и инженерных систем здания. При подобной интеграции используются эффективные комбинированные алгоритмы взаимодействия и управления системами безопасности.

При возникновении инцидента на экран оператора выводится сообщение об изменении ситуации с одного из датчиков, для привлечения внимания сообщение сопровождается звуковым сигналом. Затем на плане этажа или карте территории проблемная область подсвечивается ярким цветом, и в специально отведенное окно выводится изображение с ближайшей камеры, позволяющее оценить ситуацию. На основании полученной информации оператор принимает решение о дальнейших действиях. Например, он может вызвать на место происшествия сотрудника службы охраны.

В настоящее время не все компании достаточно осведомлены о возможностях подобных систем, некоторые сомневаются, позволит ли имеющаяся инфраструктура установить и использовать новые системы. При этом важно обращать внимание на опыт возможных подрядчиков и на решения, которые они предлагают. Кроме того, стоит учитывать, что не все вендоры готовы предлагать гибкие продукты для управления физической безопасностью в сложной гетерогенной среде.

Решения PSIM обеспечивают ряд преимуществ:

  • мониторинг состояния объекта с анализом поступающей информации и прогнозом развития ситуации;
  • моделирование последствий управленческих решений на базе информационно-аналитических систем;
  • экспертную оценку принимаемых решений и их оптимизацию;
  • управление в кризисной ситуации.

Управление событиями информационной безопасности

К системам обеспечения информационной безопасности относят: межсетевые экраны, средства обнаружения вторжений, антивирусы, системы защиты от утечек, песочницы и множество других систем для сохранения конфиденциальности, целостности, доступности и иных характеристик защищаемой информации. Для управления инцидентами информационной безопасности используют класс решений SIEM (Security Information and Event Management).

Эффективная система SIEM обеспечивает:

  • сбор событий с различных источников (с вышеперечисленных средств информационной безопасности и с ИТ-систем в виде логов операционных систем, СУБД, приложений, сетевых устройств, серверов и т.п.);
  • нормализацию, агрегацию и корреляцию событий безопасности;
  • выявление и ранжирование инцидентов информационной безопасности;
  • сохранение объема информации в удобном виде для возможности расследования инцидентов;
  • возможность уведомлений по различным каналам – для оперативного реагирования на инциденты ИБ;
  • создание аналитических отчетов и дашбордов для принятия эффективных управленческих решений.

Многие организации используют системы управления и мониторинга на уровне информационной или физической безопасности. Однако мало кто осуществляет комплексный всесторонний мониторинг инцидентов безопасности, несмотря на то, что проблема конвергенции физической и информационной безопасности уже давно перешла в разряд практических задач, особенно на объектах критической инфраструктуры.

Достоинства конвергенции

Какие преимущества дает переход к комплексному мониторингу или интеграции систем безопасности? Ответ лежит в плоскости управления рисками каждой отдельно взятой компании, руководство которой определяет уровень приемлемых рисков и утверждает план по их обработке. В общем случае к достоинствам конвергенции систем физической и информационной безопасности относят:

  • повышение оперативности реагирования и обработки возникающих инцидентов;
  • расширение возможностей для расследования инцидентов и сокращение времени на эти процедуры;
  • повышение эффективности проактивных действий для предотвращения в будущем потенциальных инцидентов безопасности;
  • сокращение затрат в случае интеграции защитных механизмов.

Конвергенция систем мониторинга физической и информационной безопасности может быть проведена с различной степенью вовлечения:

  • на уровне выстроенной коммуникации между командами реагирования на различные инциденты безопасности;
  • на уровне технических систем, например посредством обмена связанными событиями и выполнением управляющих воздействий;
  • на уровне процессов и технических систем, например с присоединением дополнительно процессов управления инцидентами, управления знаниями, документацией и т.п.;
  • на уровне управления (включая процессы и технические системы), например планирование ресурсов, планирование бюджетов, единая линия отчетности и т.п.

При рассмотрении вопроса интеграции систем физической и информационной безопасности следует определить важные моменты:

  • необходимо ли объединять команды реагирования и создавать единое подразделение безопасности с учетом уровня компетенций, опыта, загруженности персонала, специфики деятельности организации;
  • необходимо ли объединять бюджеты с учетом сложившихся процессов бюджетирования организации;
  • необходимо ли создавать единую организационную платформу в виде стандартов, процедур, регламентов;
  • какой информацией должны обмениваться подразделения и/или технические системы безопасности;
  • зоны ответственности различных команд реагирования;
  • линии формирования отчетности и административного/функционального подчинения.

После такого анализа организация, исходя из своей стратегии, рисков, культуры, используемых инструментов, сложившихся практик, принимает решение и адаптирует наиболее подходящую для себя схему конвергенции. Например, один из крупнейших зарубежных ИТ-вендоров еще в прошлом десятилетии обеспечил работу глобальной функции безопасности и продемонстрировал на своем примере, что конвергенция не всегда требует больших усилий – основными факторами успеха являются коммуникация и культура.

Практическая польза интеграции

Какую практическую пользу приносит интеграция? Рассмотрим четыре направления.

1. Обнаружение и расследование растянутых по времени атак в физическом и киберпространстве

Примером необходимости применения систем в рамках первого направления может служить несанкционированный вынос компьютера за пределы организации определенным сотрудником (событие физической безопасности, зафиксированное сопоставлением данных различных систем: авторизации выноса оборудования, видеоаналитики, СКУД и т.п.) и утечка базы данных клиентов (событие информационной безопасности).

2. Создание единой системы идентификации и аутентификации

Одним из способов создания единой системы идентификации и аутентификации в организации может служить использование единых Smart-карт для прохождения сотрудников через СКУД, для их доступа в операционную среду, к приложениям, принтерам при печати документов, для обеспечения юридической значимости факта отправки и/или печати документов.

3. Разработка и настройка гранулированных политик доступа сотрудников организации и внешних подрядчиков

Примерами гранулированных политик могут выступать следующие события:

  • ограничение доступа Алисы к корпоративной сети, приложениям и включение механизма видеофиксации ее действий, если СКУД не зафиксировала, что Алиса вошла в здание;
  • генерация инцидента при попытке физического доступа Боба – разработчика банковских приложений – в помещении ЦОД с размещаемыми критичными данными и оповещение его руководителя;
  • генерация инцидента безопасности при несанкционированной попытке логина Боба с рабочего компьютера Алисы, когда она находится в другом офисе организации.

С помощью интеллектуального видеонаблюдения (технологии видеосопровождения) при помощи радиочастотной метки RFID, встроенной в карту сотрудника, можно отслеживать его физическое расположение в пределах защищаемого пространства и сопоставлять с происходящими в данный момент событиями информационной безопасности. Можно также инициировать видеосопровождение человека, когда он находится в критичных зонах, таких как центр обработки данных, диспетчерский пункт, пульты управления промышленными системами и т.п. Таким образом, контролируется физический доступ и ведется видеофиксация действий с критичными системами или техническими средствами информационной безопасности. Событийную регистрацию можно использовать и при нарушениях политики безопасности – чтобы повысить оперативность реагирования и снизить затраты на системы хранения видеоархивов.

4. Упрощение соблюдения Compliance

В части Сompliance, будь это локальные требования организации, законодательные требования или отраслевые стандарты, блоки требований физической и информационной безопасности зачастую пересекаются. Выстроенная коммуникация, база знаний и иные процессы упрощают выполнение требований и представление свидетельств аудитору.

Таким образом, комплексный мониторинг и управление событиями физической и информационной безопасности обеспечивают эффективное обнаружение инцидентов безопасности и оперативное реагирование на них, а также принятие проактивных решений – чтобы снизить вероятность инцидентов в будущем.

Опубликовано: Журнал "Системы безопасности" #5, 2016
Посещений: 5363

  Автор
Алина Хегай

Алина Хегай

Руководитель отдела информационной безопасности ООО "ЛАНИТ-Интеграция"

Всего статей:  2

В рубрику "Комплексные системы безопасности" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2019 Secuteck.Ru