BEZPEČNOST INFORMACÍ A ICT – Zavedení procesu řízení bezpečnosti informací dle hodnoty informačních aktiv společnosti

Služba je realizována jak jednorázově (projektem), tak i v režimu průběžné součinnosti se zákazníkem – tuto činnost nabízíme formou bodyshoppingu nebo outsourcingu.

Služba je významná např. před implementací Document Management Systému (DMS), Product Lifecycle Management (PLM), atp. Výstupy jsou často využívány pro ICT oblast v procesu Information Lifecycle Management (ILM) a také pro zvýšení efektivity zálohování a pro správnou archivaci dokumentů.

DOHLEDOVÉ SYSTÉMY

Implementace provozního a bezpečnostního dohledu vč. log managementu.

U provozních dohledů a Log managementu jsou naše činnosti rozložené do následujících částí a je možné je poskytnou nejen jako řešení, ale taky jako službu (SaaS):

  • V první části probíhá analýza datových zdrojů, následně se doplňují ocenění významu komponent pro službu nebo proces zákazníka.
  • V druhé části probíhá instalace a konfigurace zvoleného SW na určeném HW (dodaný námi nebo přidělený zákazníkem).
  • V třetí části probíhá implementace výsledků první části do prostředí vytvořené v druhé části.

U Bezpečnostních dohledů jsou naše činnosti rozložené do dvou skupin:

1. Log Management: Jde o proces sběru, uložení, archivace, expirace, zobrazení logů přes jednotný interface. V případě potřeb forenzního šetření (soudem akceptovatelných důkazů) zaručuje Log management nezbytné předpoklady pro kooperaci se soudním znalcem. Log Management pokrývá:

  • Sběr logů – nejen standardními protokoly (syslog, DB, file) ale i nestandardní protokoly jako např. Checkpoint LEA a to jak s pomocí agentů i bez.
  • Uložení logů – Uložení důvěryhodným způsobem, zajištění Integrity a Důvěrnosti, např. pomocí technologie WORM (WRITE ONE READ MANY).
  • Archivace a Expirace logů – uložení starších dat bezpečným a automatizovaným způsobem.
  • Vyhledávání logů – možnost vyhledávat v lozích cokoli, rychle a efektivně bez nutnosti tvorby parsovacích pravidel.


2. Nad vytvořeným prostředím Log managementu je implementován SW systém pro korelace a alertovací systém (SIEM) v následujících fázích:

  • Parsování log záznamů – cílem je získat a naplnit základní informační strukturu pro definici incidentu nebo alertu.
  • Taxonomizace událostí – cílem je převést Event type daného zařízení na standardizovanou událost evidovanou v databázi dohledového systému tak, aby po téhle fázi byl již záznam jednoznačný a nezávislý na zařízení.
  • Korelace událostí - korelace jsou matematické operace s informacemi získané z událostí v log záznamech.
  • Notifikace událostí – je informování odpovědné osoby o vzniklé situace v ICT prostředí. Notifikace probíhá přes email, sms, trouble ticket do Service Desku, atp.

SIEM SW pro řešení je většinou zvolen dle přání a potřeb zákazníka z následujících licenčních forem:

  • GNU OpenSource forma – Syslog-NG OSE, Nagios/Cacti, OSSEC Host IDS, Nagios XI, OP5, Centreon, Simple Event Correlator
  • Komerční forma – Trustwave SIEM-OE, Balabit SSB, Balabit Syslog-NG Premium Edition, IBM QRadar, INTELL security, ArcSight, Alien Vault