SIEM Analytics

 О НАС

Новости


Рекламодателям

 АНАЛИТИКА

Российский рынок SIEM


Экономические показатели от применения SIEM


Законодательство о SIEM

 ОБЗОРЫ

IBM Qradar


Security Capsule


HP ArcSight


MaxPatrol SIEM


Сравнительный анализ SIEM систем


Недостатки SIEM систем

 ПАРТНЕРЫ
 КОНТАКТЫ
Security Capsule

SIEM cистема регистрации событий безопасности ПАКАБ «Security Capsule» сертифицирована ФСТЭК России для защиты конфиденциальной информации, включая ИСПДн.

Сертификат ФСТЭК России №3649 от 9 ноября 2016 года на ТУ и 4 уровень контроля НДВ.

SIEM Security Capsule зарегистрирована в едином реестре Минкомсвязи России российских программ для электронных вычислительных машин и баз данных в информационно-телекоммуникационной сети «Интернет». Приказ Минкомсвязи России от 14.06.2016. Свидетельство о государственной регистрации программы для ЭВМ №2016613392.

На данный момент отработана технология удаленного доступа к функциям SIEM «Security Capsule» с целью демонстрации системы. Запросы по организации удаленного подключения можно направить на адрес электронной почты manager@itb.spb.ru или с помощью формы обратной связи.

Новости
Обсуждения
Опрос
Акции
Дистрибьюторы
Интеграторы
Ноября 2016 года.

Программно-аппаратный комплекс «Security Capsule» успешно прошел сертификационные испытания в системе сертификации ФСТЭК России. Сертификат соответствия №3649 от 9 ноября 2016 года. Благодарим высокопрофессиональных коллег АО «Информакустика», Компании «Лаборатория ППШ», за конструктивное, эффективное и творческое отношение к совместной работе.

Сентябрь 2016 года.

Компания ООО «ИТБ» успешно завершила опытную эксплуатацию SIEM «Security Capsule» на пилотной зоне одной из крупнейшей нефтяной компании. Подтверждено соответствие требованиям Заказчика. Система разворачивалась в неоднородной распределенной среде, реализованы агентский и безагентский методы сбора событий ИБ. Расширен перечень источников событий.

Сентябрь 2016 года.

В SIEM-системе Security Capsule наряду с агентским сбором событий, был реализован безагентный сбор с источников событий по технологии WMI (Windows Management Instrumentation). WMI - это одна из базовых технологий для централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows.

На данный момент активные акции по Qradar отсутствуют.

Назначение
ОсобенностиОсобенности SIEM «Security Capsule»
ОбоснованиеОбоснование применения
ПользователиПользователи системы
УсловияУсловия применения
Архитектура
ВыявлениеЧто можно выявить с помощью SIEM «Security Capsule»?
РегистрацияЧто регистрирует SIEM «Security Capsule»?
ТребованияМинимальные требования к аппаратной среде
Скриншоты

ПАКАБ SIEM «Security Capsule» предназначен для регистрации событий информационной безопасности и выполняет следующие функции: регистрация и учет событий информационной безопасности (ИБ) в информационно-вычислительных системах и сетях, разграничение доступа пользователей к информационным ресурсам SIEM, контроль доступа SIEM, контроль целостности файлов SIEM, корреляцию событий ИБ, реакцию на события ИБ.

На основе анализа информации, полученной с помощью SIEM «Security Capsule», администратор безопасности принимает меры по обеспечению безопасности объектов информационно-вычислительных систем и сетей.

Регистрация событий информационной безопасности реализуется путем ведения журналов регистрации событий информационной безопасности:

доступ пользователя к приложению и завершение работы;
разрешенные/неразрешенные действия пользователей по доступу к информационным ресурсам;
сообщения, получаемые от сетевых устройств;
действия операторов на клиентских рабочих станциях такие как: установление доступа к рабочей станции с помощью USB-ключа eToken; обращение к внешним USB-устройствам, обращение к файлам на внешних устройствах.

Состав модулей программы, в виде разработанных коннекторов может устанавливаться и предоставляться опционально.

По согласованию с заказчиком перечень коннекторов может быть расширен под конкретные потребности Заказчика.

Перечень разработанных коннекторов, позволяющих накапливать следующие данные о событиях информационной безопасности:

данные от сетевых устройств, использующих протокол syslog (например: оборудование Cisco, оборудование S-Terra, CheckPoint);
данные в журналах СУБД, например: Oracle;
данные в системном журнале ОС семейств Windows, Linux;
данные при применении съемных носителей информации типа eToken, USB, LPT, COM. IEEE 1394, ZlocK, Device Lock;
данные, полученные от СЗИ от НСД, например: Блок-Хост, Dallas Lock;
данные, полученные от антивирусных средств, например: Доктор WEB, NOD32, Антивирус Касперского;
данные, полученные из Active Direcory;
данные реестра ОС Windows;
данные, полученные от IDM систем (Identity Management), например: Аванпост;
данные, полученные от DLP систем (Data Leak Prevention), например: Falcongaze.

Security Capsule в отличие от аналогичных SIEM-систем, например, ArcSight, имеет ряд существенных архитектурных отличий, определяемых логикой работы системы:

Прежде всего, Security Capsule имеет большой стандартный сертифицированный набор коннекторов, входящих в базовую конфигурацию, что позволяет разворачивать систему, не прибегая к необходимости разработки коннекторов, тестирования работоспособности коннекторов и ядра системы. При этом состав коннекторов может быть дополнен в зависимости от требований, предъявляемых к системе. В отличие от зарубежных аналогов, требующих разработки коннекторов с использованием средств разработки. Данный недостаток аналогов не позволяет убедительно утверждать о возможности реализации требуемых функций и механизмов, значительно увеличивает и усложняет процесс внедрения и эксплуатации SIEM . Важным фактором является необходимость подтверждения соответствия в системе сертификации ФСТЭК России, например, через инспекционный контроль. Не требуется штата для обслуживания, настройки и сопровождения системы.
Security Capsule имеет сформированную базу данных, реализованную средствами различных СУБД, таких как: MS SQL Server, MySQL, и не требует создания базы данных событий. База данных начинает заполняться данными о событиях безопасности сразу после установки, настройки и активации Security Capsule. Модель базы данных может быть изменена в соответствии с требованиями к системе.
Security Capsule построена с использованием клиент – серверной архитектуры. Установка и настройка клиентов осуществляется удаленно. Клиенты осуществляют мониторинг и сбор событий ИБ, которые могут передаваться в режиме реального времени на сервер системы или, с целью уменьшения передаваемого трафика, по расписанию. При этом передаваемые данные защищаются криптографическими методами.
Не требуется штата программистов, способных разрабатывать модули и компоненты системы, включая коннекторы к источникам.
Выполнение требований Федерального закона Российской Федерации от 27 июля 2006 г. 152-ФЗ «О персональных данных».
Выполнение требований Постановления Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Выполнение требований Приказа ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Выполнение требований Приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Выполнение требований Приказа ФСТЭК России 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры (утверждены заместителем директора ФСТЭК России 18 мая 2007 г.)
Выполнение требований РД Гостехкомиссии России от 30 марта 1992 г. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».
Выполнение требований нормативно-методического документ Гостехкомиссии России от 30 августа 2002 г. № 282 СТР-К.
Выполнение требований Приказа ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

В целом SIEM «Security Capsule» ориентирована на соответствие отечественным техническим регламентам и стандартам в области информационной безопасности.

Предполагается что пользователями системы являются:

администраторы безопасности;
администраторы ИС, СУБД, ЛВС, СПД;
руководители служб безопасности;
руководители компаний, предприятий (организаций);
разработчики систем защиты конфиденциальной информации.

С целью использования SIEМ-системы должны быть выполнены следующие условия:

SIEM «Security Capsule» функционирует под управлением ОС Microsoft Windows XP\7\8\10, Windows Sever 2010\2012, OC Linux.
Для работоспособности программы необходима среда исполнения Microsoft .NET Framework 4.0.
Программа работает в архитектуре клиент/сервер. Серверной частью является СУБД. В качестве СУБД используется My SQL Database Server 5.5.2 или MS SQL.

ПАКАБ «Security Capsule» основывается на клиент-серверной технологии для распределенных неоднородных ИС, СПД, ЛВС и системы защиты конфиденциальной информации.

ПАКАБ «Security Capsule» имеет модульную архитектуру, включающую в себя:

модуль серверной части;
модуль мониторинга и администрирования;
центральный модуль;
клиентские модули;
коннекторы;
модуль формирования отчетов.

С целью снижения нагрузки на сеть передачи данных первичная обработка событий осуществляется на серверах «Security Capsule», установленных в ЛВС. В зависимости от степени важности и критичности, информация о событиях ИБ передается на серверы более высокого уровня. С целью снижения трафика информация на сервера более высокого уровня передается по расписанию, как правило, во время наименьшей нагрузки на СПД. Критические события передаются в режиме реального времени.

Важнейшим модулем системы является модуль обработки и отображения информации о событиях, формирования отчетов. Администраторы системы имеют возможность самостоятельно, в соответствии с требованиями политики информационной безопасности, определять перечень контролируемых событий, выбирая из базового набора, требуемый. Определять уровни критичности.

Модульная архитектура обеспечивает простоту обслуживания и масштабирования SIEM «Security Capsule».

С помощью SIEM «Security Capsule» можно выявить:

Сетевые атаки во внутреннем и внешнем периметрах.
Минимальные требования к аппаратной среде.
Вирусные заражения, бэкдоры и трояны.
Попытки несанкционированного доступа к информации.
Фрод и мошенничество.
Ошибки в работе информационных систем.
Уязвимости.
Ошибки конфигураций в средствах защиты и информационных системах.
События, связанные с попытками пользователей установления доступа.
Сообщения, получаемые от сетевых устройств.
События вызванные действиями пользователей на рабочих станциях.
События, получаемые от средств контроля съёмных носителей.
События прикладных информационных систем.
События, связанные с AD.
Контроль операционной и программной сред.
События СУБД.
События ОС семейства Windows, Linux.
События, получаемые от СЗИ от НСД.

Ниже приведен список минимальных требований к аппаратной среде:

процессор Intel X86 или совместимый с частотой 1 ГГц или выше;
не менее 256 Мб ОЗУ;
для установки Изделия необходимо не менее 200 Мб свободного места на используемой ЭВМ постоянном носителе машинной памяти;
ручной манипулятор типа «мышь»;
устройство для работы со съемными носителями информации (дисковод для CD и DVD);
видеокарта SVGA;
сетевой Ethernet-адаптер с типом разъёма 8P8C для витой пары;
компьютерная клавиатура;
монитор с диагональю не менее 15 дюймов и режимом разрешения не менее 800х600 dpi.

На данный момент отработана технология удаленного доступа к функциям SIEM «Security Capsule». Запросы по организации удаленного подключения можно направить на адрес электронной почты manager@itb.spb.ru

© SIEM Analytics 2012-2019 г. Все права защищены. copyright.