В техническом плане данная задача распадается на использование локальных подсистем мониторинга и управления отдельными средствами защиты информации и создание комплексных систем мониторинга и управления ИБ. В качестве ключевых систем комплексного мониторинга и управления ИБ следует выделить следующие:
Задача мониторинга событий и расследования инцидентов ИБ является одной из ключевых задач комплексной системы обеспечения ИБ в компании/организации. Необходимость данной системы обусловлена как лучшими современными практиками ИБ, так и требования ФСТЭК, изложенными в соответствующих руководящих документах. В ходе практической эксплуатации компоненты ИТ-инфраструктуры, различные компоненты ИБ, прикладные системы генерируют значительный поток событий ИБ. Подобные события могут представлять собой как нормальный поток операций штатного функционирования, так и содержать в себе признаки инцидентов ИБ. Для работы с событиями используют SIEM-системы, решающие следующие задачи:
Для анализа защищенности и выявления уязвимостей в ИТ-инфраструктуре и системном программном обеспечении используются специализированные сканеры, которые в автоматическом режиме выявляют уязвимости/ошибки в конфигурации, избыточность открытых портов и протоколов, несоответствие настроек корпоративным политикам ИБ. Сканеры могут работать в режиме pen-tesp, audit.
Уязвимости кода прикладных информационных систем в настоящее время являются одним из факторов успешных атак на информационные системы. Учитывая, что современные атаки носят целенаправленный (тергетированный) характер, вопрос минимизации количества уязвимостей прикладного ПО выходит на первое место. Для анализа исходного года используется специальные средства, которые функционируют на основе баз уязвимостей, характерных для определенных языков программирования. Своевременное выявление уязвимостей и их закрытие доработкой кода или на уровне web application firewall позволяет снизить риск таргетированных атак.
Контроль информационных потоков в интрасети компании/организации является одной из важных задач, позволяющих выявить аномальную активность на различных уровнях сетевой модели OSI. Для выявления такой активности используются специализированные средства, которые осуществляют анализ поведенческой активности узлов информационной сети, что позволяет с использованием шаблонов выявлять подозрительные участки.
Для анализа информационного обмена на прикладном уровне используются системы DLP-класса (системы противодействия утечкам данных). Данные системы контролируют обычно следующие ключевые каналы распространения информации: WEB-канал, электронная почта, внешние носители пользовательских АРМ и корпоративные файловые хранилища. Настроенная эталонная модель допустимых информационных потоков в привязке к пользователям и информационным объекта позволяет выявлять аномальное поведение, что в совокупности с последующим расследованием позволяет пресекать недопустимую деятельность в компании/организации.
Контроль конфигураций и обновлений системного программного обеспечения являются важными составляющими процесса управления ИБ в компании/организации. Средства контроля конфигураций предназначены для выявления несанкционированных изменений конфигурации различных сетевых узлов по сравнению с зафиксированной эталонной конфигурацией. Данные средства позволяют выявлять следы недопустимой деятельности вредоносного ПО или администраторов, которые не были выявлены или пресечены на более ранних этапах. Средства управления обновлениями ПО предназначены для когерентного управления установкой патчей, политик, обновлений системного ПО на различных узлах информационной сети.