MaxPatrol SIEM защитил работу информсистем властей Республики Коми

MaxPatrol SIEM защитил работу информсистем властей Республики Коми

MaxPatrol SIEM защитил работу информсистем властей Республики Коми

Государственное автономное учреждение Республики Коми «Центр информационных технологий» (ГАУ РК «ЦИТ»), отвечающее за развитие информационного общества и формирование электронного правительства в регионе, использует MaxPatrol SIEM для выявления инцидентов. Теперь ИБ-подразделение центра владеет полной информацией об инфраструктуре, отслеживает события ИБ и сетевой трафик, а также в режиме реального времени выявляет критически опасные инциденты. Уже за первую неделю эксплуатации системы были выявлены и локализованы семь вредоносных программ в государственных системах Республики Коми.

Инфраструктура ГАУ РК «ЦИТ» включает 2600 рабочих станций, 600 серверов и средства защиты информации. На серверах обрабатываются система обращения граждан в органы государственной власти и государственные информационные системы Республики Коми с 1 по 3 классы защищенности. Нарушение безопасности этих систем может повлечь негативные последствия в социальной, политической, международной, экономической, финансовой и других областях деятельности региона. Ранее для анализа событий ИБ организация использовала SIEM-систему зарубежного производства, но из-за сложностей при получении технической поддержки и требований законодательства руководство центра решило заменить систему.

В проведенном конкурсе победило предложение о поставке одного из лидирующих решений на рынке — MaxPatrol SIEM. Продукт поддерживает большое количество источников, постоянно пополняется пакетам экспертизы с новыми правилами корреляции, а также включен в реестр отечественного ПО, что особенно значимо для государственных учреждений.

Подразделению ИБ удалось за три недели самостоятельно внедрить и настроить MaxPatrol SIEM.

За это время были определены источники событий для мониторинга, выстроены процессы взаимодействия с IT-службой, настроен регулярный аудит инфраструктуры, прием сетевого трафика для его комплексного анализа. К SIEM-системе были подключены рабочие станции и источники с наибольшим количеством событий, среди них — системы обнаружения вторжений, антивирусное решение, межсетевые экраны.

Также специалисты ГАУ РК «ЦИТ» самостоятельно написали правила корреляции для выявления инцидентов — в этом им помогли обучающие материалы Positive Technologies на портале технической поддержки. В течение проекта служба технической поддержки Positive Technologies оперативно реагировала на запросы ГАУ РК «ЦИТ» и помогала настраивать источники событий.

«На ГАУ РК "ЦИТ" лежит ответственность за бесперебойную работу значимых для Республики Коми информационных систем. Для нас обеспечение их информационной безопасности и оперативное реагирование на киберугрозы — задачи номер один. Внедрение MaxPatrol SIEM позволило нам в кратчайшие сроки создать эффективную систему выявления инцидентов и уже за первую неделю эксплуатации выявить и предотвратить серьезные угрозы», — поделился начальник отдела технической защиты информации управления по безопасности ГАУ РК «ЦИТ» Денис Рычков.

В планах расширение области мониторинга MaxPatrol SIEM — подключение всех рабочих станций и серверов на Windows. Также MaxPatrol SIEM станет ядром системы безопасности в региональном центре ГосСОПКА, который будет построен на базе ГАУ РК «ЦИТ». Центр ГосСОПКА будет осуществлять мониторинг событий ИБ, выявлять и расследовать инциденты в информационных системах органов власти Республики Коми и сообщать о них в Национальный координационный центр по компьютерным инцидентам.