EGISOTB. Обеспечение транспортной безопасности. Теория и практика.

Система взимания платы с грузовых автомобилей массой свыше 12 тонн «Платон»

15 ноября 2015, на всех федеральных трассах России запущена в эксплуатацию система взимания платы с грузовых автомобилей массой свыше 12 тонн «Платон». Система взимания платы «Платон» — это новый внебюджетный источник финансирования дорожной отрасли. Проект реализован на условиях 13 летнего концессионного соглашения, заключенного между Росавтодором и ООО «РТ-Инвест Транспортные Системы». ООО «РТ-Инвест Транспортные Системы» является оператором системы «Платон», в задачи оператора входит обеспечение взимания платы в режиме многополосного безостановочного движения. Оператор обеспечивает работу системы стационарного контроля, элементами которой являются, так называемые рамки, с помощью которых «Платон» определяет, оплачена поездка тяжелой фуры или нет. Для функционирования системы стационарного контроля проектом предусмотрено подключение 481 рамки. По состоянию на 13.11.2015 Росавтодор сообщил, что построено только 18 рамок, все они располагаются в Московской области. В дополнение к стационарным пунктам оператор управляет парком автомобилей, оборудованных системой мобильного контроля. Эти машины могут передвигаться по трассам либо стоять у обочины и фиксировать нарушителей. Для информационной поддержки пользователей предусмотрено создание 103 региональных информационных центров, из них 35 будут действовать на пограничных таможенных пунктах. Полученные о нарушениях сведения будут направляться в управления ГИБДД МВД регионов России.

Правовая основа проекта
Система взимания платы с 12-тонников введена на территории России с 15 ноября 2015 года на основании ФЗ от 06.04.2011 № 68. Проект реализуется совместно Федеральным дорожным агентством (Росавтодор) и ООО «РТ-Инвест Транспортные Системы» по схеме контракта жизненного цикла, предусматривающего обязательства Концессионера по созданию системы взимания платы за счет собственного и заемного финансирования с ее последующим содержанием и эксплуатацией. ООО «РТ-Инвест Транспортные Системы», как оператор системы, обеспечивает полный цикл создания системы взимания платы: проектирование, создание и ввод в эксплуатацию, эксплуатацию и модернизацию системы. Общий срок реализации проекта — 13 лет с даты подписания Концессионного соглашения (29.09.2014).

Объекты и элементы системы:
— Центр управления и мониторинга, включая Центр обработки данных (Единственный дата-центр в собственности государства, который обладает сертификатом на соответствие уровню отказоустойчивости Uptime Institute Tier III);
— 138 Центров обслуживания пользователей;
— Геоинформационная система и автоматизированная система расчетов;
— Система мобильного контроля (100 автомобилей);
— Рамки системы стационарного контроля с установленным оборудованием (в количестве 481 единицы);
— Интернет-сайт;
— Колл-центр;
— Терминалы самообслуживания — около 500 шт.
— Партнерская терминальная сеть QIWI — 149 тыс. шт. ;
— Бортовые устройства;
— Маршрутные карты.

Хронология запуска системы
Август 2015 года — оператор системы (ООО «РТ-Инвест Транспортные Системы») открыл предварительную регистрацию крупных грузоперевозчиков.
1 сентября 2015 года — открылся сайт системы www.platon.ru
15 сентября 2015 года — начал работу круглосуточный колл-центр системы на русском и на английском языках по телефонам горячей линии: 8−800−550−02−02 (для России) и +7−495−540−02−02 (для звонков из-за рубежа).
5 октября 2015 года — начало самостоятельной предварительной регистрации пользователей в системе, открытие личного кабинета на сайте www.platon.ru
15 октября 2015 года — открылись Центры обслуживания пользователей (в административных центрах или крупных городах).
15 ноября 2015 года — начало функционирования системы на федеральных трассах.

По данным оператора «Платона» (ООО «РТ-Инвест Транспортные Системы»), в регистрацию в системе к моменту ее запуска в эксплуатацию прошли все крупные корпоративные клиенты с автопарком от 50 автомобилей.
С 15 ноября 2015 года до 29 февраля 2016 года включительно тариф для пользователей системы «Платон» составляет 1,5293 рубля за один километр пути. Решением правительства России он был снижен на 59% (ранее тариф составлял 3,73 рубля). С 1 марта 2016 года до 31 декабря 2018 года будет действовать тариф в размере 3,06 руб. за км.

Система мониторинга инженерных систем для объектов транспортной инфраструктуры

Системы мониторинга инженерных систем (СМИС) являются инструментом обеспечения гарантированной устойчивости функционирования объекта транспортной инфраструктуры, предупреждение и ликвидация чрезвычайных ситуаций, в том числе актов незаконного вмешательства террористической направленности, за счет непрерывного автоматизированного контроля параметров технологических процессов, процессов обеспечения функционирования объекта и аналитической обработки полученной информации.

В случае применения на объектах транспортного комплекса СМИС позволяет решить следующие задачи:

  • непрерывный мониторинг параметров инженерных систем объекта (прежде всего систем безопасности и жизнеобеспечения);
  • документирование и регистрация аварийных ситуаций и действий диспетчерских, аварийных и технических служб объекта;
  • формирование и передача информации о прогнозе и факте чрезвычайных ситуаций, в том числе вызванных террористическими актами в Единую дежурно-диспетчерскую службу города (ЕДДС – орган повседневного управления местной (городской) подсистемы Единой государственной системы предупреждения и ликвидации чрезвычайных ситуаций (РСЧС), пунктами сбора информации могут быть: ЦОУ — Центр обработки и управления, ЦУКС — Центр управления в кризисных ситуациях) и ЦДП – центральный диспетчерский пункт объекта транспортной инфраструктуры;
  • автоматизированное оповещение сотрудников объекта транспортной инфраструктуры: дежурно-диспетчерских, технических служб, служб безопасности, ответственных должностных лиц при необходимости выполнения своевременных действий по предотвращению и ликвидации последствий аварий и чрезвычайных ситуаций (ЧС), пожаров, актов незаконного вмешательства, в том числе террористической направленности;
  • автоматизированный запуск системы оповещения и управления эвакуацией на объекте в случае возникновения ЧС;
  • обеспечение автоматизированного выполнения алгоритмов управления инженерными системами объекта с целью предупреждения и ликвидации ЧС, в том числе вызванных террористическими актами, предусматривающих комплексную и взаимосвязанную работу систем.

Ниже расскажем подробнее о одной из разработок СМИС для сооружений транспортного комплекса — «Система мониторинга инженерных систем – транспортный комплекс» (далее — СМИС-ТК). СМИС-ТК – это программно-аппаратный комплекс, разработанный ООО «Проектное бюро» для применения на объектах транспортной инфраструктуры относящихся к категории потенциально опасных объектов, являющихся местами массового пребывания людей или имеющих высокую социальную и иную значимость в аспекте обеспечения безопасности. СМИС-ТК является элементом информационно-аналитического обеспечения функций управления процессами обеспечения безопасности объекта транспортной инфраструктуры. Главной задачей решаемой СМИС-ТК является своевременное информирование дежурно-диспетчерских служб о возможности и факте возникновения аварий и чрезвычайных ситуаций (ЧС), их развитии.

Источниками данных для СМИС-ТК служат инженерные системы объекта транспортной инфраструктуры. Для сбора данных от каждой из инженерных систем служит адаптер, который одновременно производит первичную обработку полученных данных – распознавание для преобразования к формату записи в базу данных мониторинга инженерных систем СМИС-ТК.

Функцию интеграционной шины на уровне сбора и первичной обработки информации выполняет программный модуль, который контролирует получение данных от источников, записью и считыванием информации в базы данных СМИС-ТК.

Данные из базы данных мониторинга инженерных систем СМИС-ТК используются сервисами СМИС-ТК. Сервисы СМИС-ТК разделены на два уровня – базовые и аналитические. Базовые сервисы в работе используют внутренние данные системы, основной задачей базовых сервисов является формирование и предоставление информации для пользователей СМИС‑ТК.

Внутренними пользователями СМИС-ТК являются диспетчерские службы, подразделения технического обслуживания и администрация объекта транспортной инфраструктуры, такие как: Центральный диспетчерский пункт объекта (ЦДП), автоматизированные рабочие места (АРМ) технических и эксплуатационных служб.

Внешними пользователями СМИС-ТК являются пункты сбора и обработки информации Единой дежурно-диспетчерской службы города (ЕДДС) и другие государственные информационные системы в соответствии с нормативно-правовыми требованиями федерального и территориального уровней.

Аналитические сервисы могут использовать информацию от внешних информационных систем и результаты работы базовых сервисов, наличие верхнего уровня сервисов особенно актуально при реализации СМИС-ТК в рамках предприятия, объединяющего территориально-распределенные объекты транспортной инфраструктуры. На уровне аналитических сервисов возможно реализовать сложные аналитические алгоритмы обработки с использованием облачных вычислений.

Структура программно-аппаратного комплекса СМИС-ТК состоит из следующих составляющих:

  • подсистема сбора информации и внутренней интеграции;
  • подсистема обработки информации и внешней интеграции;
  • подсистема хранения информации;
  • подсистема защиты информации.

Подсистема сбора информации и внутренней интеграции включает в себя набор адаптеров для сбора информации от инженерных систем, интеграционную шину для записи собранной информации в базу данных и обмена информацией между сервисами и базами данных.

Подсистема обработки информации и внешней интеграции состоит из набора программных сервисов обработки информации, включая пространственную визуализацию и внешнюю интеграцию (адаптеры для передачи информации пользователям СМИС-ТК).

Подсистема хранения информации состоит из базы данных мониторинга инженерных систем (БД СМИС-ТК), базы данных справочной информации – базы справочников (БС СМИС-ТК) и базы знаний, содержащей результаты работы программных сервисов – аналитические и статистические выборки данных, отчеты, прогнозы и другую информацию (БЗ СМИС-ТК).

Подсистема защиты информации представляет собой набор программных и аппаратных средств, регулирующих права пользователей системы и обеспечивающих защиту всех компонентов системы от несанкционированного доступа.

Нормативно-правовая база СМИС-ТК.

В качестве базового документа для разработки СМИС-ТК был использован ГОСТ Р 22.1.12-2005 «Безопасность в чрезвычайных ситуациях. Структурированная система мониторинга и управления инженерными системами зданий и сооружений. Общие требования». Принимая во внимание необходимость применения комплексного подхода к решению вопросов обеспечения безопасности, разработчиками СМИС-ТК были учтены требования объемного перечня нормативно-правовых документов, определяющих требования к обеспечению безопасности объектов транспортной инфраструктуры:

  1. Федеральный закон от 29.12.2004 № 190-ФЗ «Градостроительный кодекс Российской Федерации»;
  2. Федеральный закон от 30.12.2009 № 384-ФЗ «Технический регламент о безопасности зданий и сооружений»;
  3. Федеральный закон от 09.02.2007 № 16-ФЗ «О транспортной безопасности»;
  4. Постановление Правительства Российской Федерации от 30.12. 2003 № 794 «О единой государственной системе предупреждения и ликвидации чрезвычайных ситуаций»;
  5. Совместный приказ Минтранса РФ, ФСБ РФ, МВД РФ от 05.03.2010 № 52/ 112/ 134 «Об утверждении Перечня потенциальных угроз совершения актов незаконного вмешательства в деятельность объектов транспортной инфраструктуры и транспортных средств»;
  6. Приказ Министерства транспорта Российской Федерации от 08 февраля 2011 года № 40 «Об утверждении Требований по обеспечению транспортной безопасности, учитывающих уровни безопасности для различных категорий объектов транспортной инфраструктуры и транспортных средств воздушного транспорта»;
  7. Приказ Министерства транспорта Российской Федерации от 08 февраля 2011 года № 42 «Об утверждении Требований по обеспечению транспортной безопасности, учитывающих уровни безопасности для различных категорий объектов транспортной инфраструктуры и транспортных средств автомобильного транспорта и дорожного хозяйства»;
  8. Приказ Министерства транспорта Российской Федерации от 08 февраля 2011 года № 43 «Об утверждении Требований по обеспечению транспортной безопасности, учитывающих уровни безопасности для различных категорий объектов транспортной инфраструктуры и транспортных средств железнодорожного транспорта»;
  9. Приказ Министерства транспорта Российской Федерации от 08 февраля 2011 года № 41 «Об утверждении Требований по обеспечению транспортной безопасности, учитывающих уровни безопасности для различных категорий объектов транспортной инфраструктуры и транспортных средств морского и речного транспорта»;
  10. Постановление Правительства Москвы от 06.05.2008 № 375-ПП «О мерах по обеспечению инженерной безопасности зданий и сооружений и предупреждению чрезвычайных ситуаций на территории города Москвы»;
  11. Постановление Правительства Москвы от 18.05.2004 № 320-ПП «О мониторинге состояния строительных конструкций большепролетных, высотных и других уникальных зданий и сооружений, строящихся и эксплуатируемых в городе Москве»;
  12.  «Методика оценки систем безопасности и жизнеобеспечения на потенциально-опасных объектах, зданиях и сооружениях», МЧС России 2003;
  13. «Методика мониторинга состояния несущих конструкций зданий и сооружений. Общие положения». МЧС России, М., 2008;
  14. Распоряжение Правительства Москвы от 29.12.2005 № 2683-РП «Об организации работы по обеспечению антитеррористической защищенности и комплексной безопасности высотных зданий и сооружений города Москвы» (с изменениями);
  15. «Методические рекомендации для территориальных органов МЧС России по реализации требований ГОСТ Р 22.1.12-2005 «Безопасность в чрезвычайных ситуациях. Структурированная система мониторинга и управления инженерными системами зданий и сооружений». «Требования к техническим средствам и системам комплексного обеспечения безопасности, автоматизации и связи многофункциональных высотных зданий и комплексов».

История закона о транспортной безопасности №16-ФЗ

Как известно, история формирования глобальной системы мероприятий по борьбе с терроризмом на транспорте берет свое начало с событий, произошедших в США 11 сентября 2001 года. Нет смысла давать краткое описание того что произошло в этот день, все события достаточно подробно освещены в СМИ, остановимся подробнее только на нормативно-правовых последствиях. Итак, конгрессом США 27 ноября 2002 г. была образована Национальная комиссия по расследованию террористических нападений на Соединенные Штаты Америки (публичный закон 107-306) с целью изучить обстоятельства, предшествовавшие терактам 11.09.01 и составить рекомендации по предотвращению подобных инцидентов в будущем. Результатом работы комиссии является доклад, содержащий 37 рекомендаций в рамках трехмерной стратегии: атаковать террористов и их организации; предотвращать дальнейший рост исламского терроризма; защищаться от будущих терактов и готовиться к ним. Среди них:

1. Образование единого ведомства по борьбе с терроризмом. В тот период в разведывательное сообщество США входило 15 агентств и ведомств гражданской и военной разведки.

2. Создание нового более мощного Национального контртеррористического центра, который будет собирать разведданные в США и за их пределами.

3. Усиление обмена информацией во всех ведомствах правительства США по децентрализованным сетям и с использованием сетевой системы обмена информацией, превосходящей традиционные правительственные границы. Централизация и усиление надзора Конгресса за разведкой и внутренней безопасностью. Укрепление кадров национальной безопасности в ФБР и уточнение задач министерств обороны и внутренней безопасности.

4. Быстрое завершение работы по созданию биометрической системы досмотра граждан при въезде и выезде из страны. Часть этой системы должна быть непосредственно направлена на выявление перемещений террористов.

5. Распространение и защита американских идеалов в исламском мире путем гораздо более активной общественной дипломатии, особенно среди студентов и неправительственных лидеров.

6. Выработка комплексной коалиционной стратегии силового противодействия исламскому терроризму.

Русское издание «Доклада национальной комиссии по расследованию террористических атак на США 11 сентября 2001 года» в переводе с английского было подготовлено в конце 2004 г. рабочей группой Президиума Государственного совета РФ по вопросу взаимодействия органов государственной власти и религиозных организаций по противодействию экстремизму. Издание тиражом 1000 экземпляров осуществлено при поддержке Института экономических стратегий Отделения общественных наук РАН.

В США через полтора месяца после событий 11 сентября 2001 г. был принят Закон «Акт 2001 г., сплачивающий и укрепляющий Америку обеспечением, надлежащими орудиями, требуемыми для пресечения терроризма и воспрепятствования ему», предусматривающий целый комплекс радикальных мер, направленных на противодействие терроризму, что позволило не допустить по настоящее время на ее территории террористических актов.

Исходя из анализа сентябрьского теракта 2001 г., угроз национальной безопасности России, в стране была разработана и начала реализовываться программа борьбы и противодействия терроризму. Россия активизировала свое участие в Контртеррористическом комитете Совета Безопасности ООН, «Большой восьмерке», АТЦ СНГ, ОДКБ, ОБСЕ, ШОС, в созданном в мае 2002 г. Совете «НАТО-Россия». В октябре 2003 г. Россия за успехи в борьбе с финансированием терроризма была принята в постоянные члены ФАТФ. По мнению экспертов, наиболее эффективным управленческим решением в борьбе с терроризмом после 2001 г. стало создание в соответствии с Указом Президента РФ В.В.Путиным от 15.02.06 № 116 Национального антитеррористического комитета. Его образование способствует снятию и разрешению проблемы разобщенности силовых структур, усиливает их координацию. После данного указа значительно активизировалась работа над Федеральным законом РФ «О противодействии терроризму». Президент РФ подписал его 06.03.06. В первом чтении он был принят более года назад. С апреля 2006 г. принят целый пакет других актов антитеррористического законодательства. Несмотря на принимаемые меры, Россия не смогла не допустить крупных терактов на своей территории.

Поручение на разработку законопроекта о мерах по обеспечению безопасности на транспорте — «О транспортной безопасности» дано Президентом РФ 03.09.2004. (сразу после двойного террористического акта, 24.08.2004. с подрывом самолетов Москва-Волгоград и Москва-Сочи). Ответственным за подготовку законопроекта был назначен Минтранс России. Законопроект готовился в течение года и внесён в Госдуму 06.09.2005. Цель законопроекта – создать «Единую государственную систему обеспечения транспортной безопасности» (ЕГИС ОТБ). Закон принят 09.02.2007 и вступил в силу по истечении 180 дней после опубликования.

Закон детально предусматривал ряд последовательных мероприятий (в частности принятие ряда нормативных правовых актов Правительства и Минтранса России), в результате которых должна была создаваться единая государственная система транспортной безопасности:

1. Утверждение перечня потенциальных угроз (Минтранс по согласованию с МВД и ФСБ).

2. Категорирование объектов транспортной инфраструктуры.

— утверждение Порядка установления количества категорий икритериев категорирования (Минтранс по согласованию с МВД, ФСБ и Минэкономразвития),

— утверждение количества категорий и количественных показателей критериев категорирования (профильные федеральные агентства по видам транспорта: Росжелдор, Росавиация и т.д.),

— утверждение порядка ведения реестра категорированных объектов (Минтранс),

— ведение реестра категорированных объектов (профильные федеральные агентства по видам транспорта).

3. Утверждение Перечня уровней безопасности (Правительство).

4. Установление Требований по обеспечению транспортной безопасности, с учетом уровней безопасности и категорирования (Минтранс по согласованию с МВД, ФСБ и Минэкономразвития).

5. Оценка уязвимости объектов транспортной инфраструктуры

— утверждение правил аккредитации специализированных организаций, которые будут проводить оценку уязвимости (Правительство),

— утверждение порядка ведения реестра аккредитованных организаций (Минтранс),

— организация работы по аккредитации специализированных организаций, которые будут проводить оценку уязвимости (профильные федеральные агентства по видам транспорта).

6. Оценка уязвимости объектов транспортной инфраструктуры.

— утверждение порядка проведения оценки уязвимости объектов (Минтранс по согласованию с МВД, ФСБ),

— разработка методик оценки уязвимости (профильные федеральные агентства по видам транспорта),

— установление тарифов на услуги по оценке уязвимости (Федеральная служба по тарифам),

— проведение оценки уязвимости (аккредитованные организации по заказу субъектов транспортной инфраструктуры),

— утверждение результатов оценки уязвимости (профильные федеральные агентства по видам транспорта).

7. Разработка планов обеспечения транспортной безопасности.

— утверждение порядка разработки планов (Минтранс по согласованию с МВД, ФСБ),

— разработка планов (субъекты транспортной инфраструктуры),

— утверждение планов (профильные федеральные агентства по видам транспорта),

— реализация планов (субъекты транспортной инфраструктуры).

8. Создание Единой государственной информационной системы обеспечения транспортной безопасности – ЕГИС ОТБ (с 2007г. — Минсвязь, с 2010г. — Минтранс).

Мероприятия взаимно обусловлены: например, пока не проведено категорирование, не могут быть установлены Требования по обеспечению транспортной безопасности.

Пока не установлены Требования, не может проводиться оценка уязвимости объектов.

Пока не проведена оценка уязвимости – не могут разрабатываться планы обеспечения транспортной безопасности.

Работа по реализации Закона о транспортной безопасности неоправданно затянулась, прежде всего, по причине длительных межведомственных согласований между Минтрансом, МВД, ФСБ России и отсутствия централизованного управления реализацией всего комплекса работ по разработке нормативно-правовых документов – подзаконных актов. Как следствие – большинство из перечисленных нормативно-правовых актов были утверждены только в 2009-2010 году, после подрыва «Невского экспресса», вторым толчком, ускорившим процесс принятия подзаконных актов Федерального Закона «О транспортной безопасности» стал теракт в «Домодедово» в 2011 году. Но вынужденно ускоренный процесс утверждения нормативно-правовой базы в сфере обеспечения транспортной безопасности привел к тому, что выполнять установленные требования очень проблематично и частично невозможно, так как нормативные документы содержат много недоработок и противоречий. Работа над законом «О транспортной безопасности» продолжается (Смотреть статью о законопроекте внесения изменений в ФЗ-16).

Автоматизированные централизованные базы данных о пассажирах (АЦБПДП).

Информация об автоматизированных централизованных базах данных о пассажирах (АЦБПДП) уже публиковалась ранее на нашем сайте (Смотреть статью). Появилась дополнительная открытая информация по АЦБПДП (источник — официальный сайт Минтранса России), ниже приводим фрагменты статьи с поясняющими комментариями.

Порядок формирования и ведения АЦБПДП определен Приказом Минтранса России от 19 июля 2012 г. №243 (Смотреть публикацию приказа в Российской Газете). Предоставление источниками информации данных в АЦБПДП осуществляется в электронной форме по защищенным каналам связи (VPN-каналам сети Интернет или каналам защищенных отраслевых сетей):

  • в автоматическом режиме по расписанию путем отбора требуемых данных из информационной системы субъекта транспортной инфраструктуры или перевозчика, их выгрузки в обменный файл (или сообщение) согласованного формата и его передачи с использованием установленных протоколов (FTP, SITATEX) и форматов обмена (CSV, UN/EDIFACT) на входные шлюзы АЦБПДП;
  • в интерактивном режиме путем ввода данных о пассажирской перевозке непосредственно на портале АЦБПДП.

Приказ Минтранса России № 243 вступает в действие с 1 июля 2013 года, а для автомобильных перевозок и перевозок морским и внутренним водным транспортом по отдельным маршрутам – через 90 суток, т.е. с 29 сентября 2013 г.

Перед началом работы с АЦБПДП поставщики данных проходят процедуру подключения к ЕГИС ОТБ (Единая государственная информационная система обеспечения транспортной безопасности), в ходе которой они подают заявку на подключение, подписывают соглашение о взаимодействии с оператором Системы (в соответствии с приказом Минтранса России от 19 июля 2012 года №243), а также выбирают оптимальный для них способ передачи данных в Систему.

Процесс подключения к Системе включает:

  1. подачу и регистрацию заявки компании;
  2. подписание соглашения о взаимодействии с оператором ЕГИС ОТБ;
  3. тестирование готовности информационной системы поставщика информации к подключению к АЦБПДП с выдачей заключения о готовности;
  4. организация защищенного канала передачи данных о пассажирах между поставщиком информации и ЕГИС ОТБ в соответствии с техническими условиями оператора ЕГИС ОТБ;
  5. подключение к АЦБПДП и начало передачи данных.

Системы управления информацией и событиями безопасности (Security Information and Event Management)

При разработке информационных систем, автоматизированных систем управления для компаний транспортной отрасли, для государственных предприятий, обеспечивающих работу общественного транспорта, для органов государственной власти, регулирующих деятельность транспортной отрасли, необходимо учитывать задачи по обеспечению информационной безопасности, этот факт уже не требует отдельного обоснования. Компонент обеспечения информационной безопасности призван решить задачи:

  • Защита при межсетевом взаимодействии;
  • Защита систем управления базами данных;
  • Антивирусная защита;
  • Обеспечение защиты информации при передаче, включая криптографическую защиту;
  • Защита от несанкционированного доступа;
  • Управление доступом и разграничение прав пользователей;
  • Аудит действий пользователей;
  • Защита персональных данных.

Приведен не полный список задач, для каждой конкретной системы его можно дополнить в соответствии со спецификой решаемых системой задач и индивидуально определенными угрозами безопасности информации и моделью вероятного нарушителя. Для выполнения указанных задач компоненту информационной безопасности необходимо проводить мониторинг всей системы, собирать данные о текущем состоянии защищенности от большого количества источников. Примером решения такого рода задач являются системы управления инцидентами информационной безопасности, если точнее: Системы управления информацией и событиями безопасности — Security Information and Event Management (SIEM). Далее в статье частично использован материал по SIEM автора Олеси Шелестовой, эксперта исследовательского центра Positive Research.

Система SIEM способна решить следующие задачи:

  • Консолидация и хранение журналов событий от различных источников — сетевых устройств, приложений, журналов ОС, средств защиты. Решение этой задачи предусмотрено многими стандартами информационной безопасности.  Особенно это становится актуально в ситуации, когда инцидент увидели поздно, проводится расследование, но лог-файлы с записью событий на локальном оборудовании уже стерты или недоступны, и выявить причины инцидента невозможно. Возможны ситуации, когда соединение с каждым источником и просмотр событий затруднен или требует много времени, в этом случае причины инцидента возможно в результате анализа информации из консолидированного журнала событий.
  • Предоставление инструментов для анализа событий и разбора инцидентов. Форматы событий в различных источниках различаются. Текстовый формат при больших объемах сильно утомляет, снижает вероятность выявления инцидента. SIEM может унифицировать события, визуализировать только важные информационные события, отфильтровать некритические события.
  • Корреляция и обработка по правилам. По одному событию не всегда можно судить об инциденте. Простейший пример — неправильно введенный пароль, один такой случай ничего не значит, но три и более таких события с одной учетной записью уже могут свидетельствовать о попытке подбора пароля. SIEM правила обработки и корреляции представлены в формате RBR (Rule Based Reasoning) и содержат набор условий, триггеры, счетчики, сценарий действий.
  • Автоматическое оповещение и инцидент-менеджмент. Основная задача SIEM — не просто собрать события, но автоматизировать процесс обнаружения инцидентов с документированием в собственном журнале или внешней контролирующей системе, а также своевременно информировать о событии.

SIEM способна выявлять:

  • сетевые атаки во внутреннем и внешнем периметрах;
  • вирусные эпидемии или отдельные вирусные заражения, неудаленные вирусы, бэкдоры и трояны;
  • попытки несанкционированного доступа к конфиденциальной информации;
  • фрод и мошенничество;
  • ошибки и сбои в работе информационных систем;
  • уязвимости;
  • ошибки конфигураций в средствах защиты и информационных системах.

Основные источники данных SIEM:

  • Access Control, Authentication (контроль доступа, аутентификация пользователей) — для мониторинга контроля доступа к информационным системам и использования прав пользователей.
  • Журналы событий серверов и рабочих станций — для контроля доступа, контроля  соблюдения политик информационной безопасности.
  • Сетевое активное оборудование  — контроль изменений и счетчиков сетевого трафика.
  • IDS\IPS – контроль сетевых атак, изменений конфигурации и доступа к устройствам.
  • Антивирусная защита – контроль работоспособности программного обеспечения.
  • Сканеры уязвимостей — инвентаризация сервисов, программного обеспечения, уязвимостей, формирование инвентаризационных данных и топологической структуры.
  • GRC-системы для учета рисков – для определения критичности угрозы, определения приоритета инцидента.
  • Прочие системы защиты и контроля политик ИБ: DLP, антифрод, контроль устройств.
  • Системы инвентаризации, asset-management – инвентаризация оборудования в инфраструктуре и выявления новых устройств.
  • Netflow, системы учета трафика – контроль трафика.

SIEM включает в себя, как правило, несколько компонентов:

  • агенты, устанавливаемые на инспектируемую информационную систему (агент представляет собой резидентную программу-сервис, которая локально собирает журналы событий и по возможности передает их на сервер);
  • коллекторы на агентах, которые, по сути, представляют собой модули (библиотеки) для понимания конкретного журнала событий или системы;
  • серверы-коллекторы, предназначенные для предварительной аккумуляции событий от множества источников;
  • сервер-коррелятор, отвечающий за сбор информации от коллекторов и агентов и обработку по правилам и алгоритмам корреляции;
  • сервер баз данных и хранилища, отвечающий за хранение журналов событий.

В заключении хотелось бы добавить, что добавление SIEM в состав информационной системы существенно увеличит её стоимость. Целесообразность применения системы SIEМ в рамках компонента обеспечения информационной безопасности определяется размером возможных потерь в результате взлома системы злоумышленниками.