Создание системы управления событиями в ИТ-инфраструктуре банка с использованием возможностей IBM QRadar SIEM

В соответствии с внутренним корпоративным стандартом международной группы компаний, в составе которой действует банк-заказчик, в качестве технологической платформы создания системы управления событиями ИБ было выбрано решение IBM QRadar SIEM.

В ходе работ по созданию системы специалистами НТЦ «Вулкан» разработана проектная и организационно-распорядительная документация, отвечающая требованиям СТО БР ИББС и внутрикорпоративным стандартам компании-заказчика. Развернута SIEM-система, состоящая из компонента all-in-one, и подключено несколько сотен источников событий. Отличительной особенностью данного проекта явилось наличие большого числа «тяжелых» источников событий и необходимость масштабных работ по подключению компонентов ИТ-инфраструктуры, штатно не поддерживаемых коробочным решением вендора (например, middleware типа xmlBlaster и Informatica, используемые заказчиком российские продукты для банковского сектора, такие как: решение фронт-офиса от Диасофт, система ДБО от BSS и ряд других). В соответствии с требованиями заказчика разработаны кастомизированные информационные панели и форматы отчетов системы.

Внедрение системы позволило:

  • сократить время реакции на события в ИТ-инфраструктуре,
  • идентифицировать и разрешать часть инцидентов до начала их влияния на работу пользователей,
  • перейти к управлению полным жизненным циклом событий информационной безопасности в ИТ-инфраструктуре,
  • формировать ретроспективные выборки (отчеты) по компонентам ИТ-инфраструктуры,
  • отслеживать деятельность привилегированных категорий пользователей.

По результатам внедрения, в соответствии с принятой корпоративной практикой, заказчиком был проведен независимый аудит развернутой системы, в котором в качестве эксперта участвовал ведущий специалист европейского офиса IBM. По итогам проверки западные коллеги охарактеризовали проект, выполненный командой НТЦ «Вулкан», как лучший на сегодняшний день пример внедрения IBM QRadar SIEM в России.