EGISOTB. Обеспечение транспортной безопасности. Теория и практика. - Part 2

Системы управления информацией и событиями безопасности (Security Information and Event Management)

При разработке информационных систем, автоматизированных систем управления для компаний транспортной отрасли, для государственных предприятий, обеспечивающих работу общественного транспорта, для органов государственной власти, регулирующих деятельность транспортной отрасли, необходимо учитывать задачи по обеспечению информационной безопасности, этот факт уже не требует отдельного обоснования. Компонент обеспечения информационной безопасности призван решить задачи:

  • Защита при межсетевом взаимодействии;
  • Защита систем управления базами данных;
  • Антивирусная защита;
  • Обеспечение защиты информации при передаче, включая криптографическую защиту;
  • Защита от несанкционированного доступа;
  • Управление доступом и разграничение прав пользователей;
  • Аудит действий пользователей;
  • Защита персональных данных.

Приведен не полный список задач, для каждой конкретной системы его можно дополнить в соответствии со спецификой решаемых системой задач и индивидуально определенными угрозами безопасности информации и моделью вероятного нарушителя. Для выполнения указанных задач компоненту информационной безопасности необходимо проводить мониторинг всей системы, собирать данные о текущем состоянии защищенности от большого количества источников. Примером решения такого рода задач являются системы управления инцидентами информационной безопасности, если точнее: Системы управления информацией и событиями безопасности — Security Information and Event Management (SIEM). Далее в статье частично использован материал по SIEM автора Олеси Шелестовой, эксперта исследовательского центра Positive Research.

Система SIEM способна решить следующие задачи:

  • Консолидация и хранение журналов событий от различных источников — сетевых устройств, приложений, журналов ОС, средств защиты. Решение этой задачи предусмотрено многими стандартами информационной безопасности.  Особенно это становится актуально в ситуации, когда инцидент увидели поздно, проводится расследование, но лог-файлы с записью событий на локальном оборудовании уже стерты или недоступны, и выявить причины инцидента невозможно. Возможны ситуации, когда соединение с каждым источником и просмотр событий затруднен или требует много времени, в этом случае причины инцидента возможно в результате анализа информации из консолидированного журнала событий.
  • Предоставление инструментов для анализа событий и разбора инцидентов. Форматы событий в различных источниках различаются. Текстовый формат при больших объемах сильно утомляет, снижает вероятность выявления инцидента. SIEM может унифицировать события, визуализировать только важные информационные события, отфильтровать некритические события.
  • Корреляция и обработка по правилам. По одному событию не всегда можно судить об инциденте. Простейший пример — неправильно введенный пароль, один такой случай ничего не значит, но три и более таких события с одной учетной записью уже могут свидетельствовать о попытке подбора пароля. SIEM правила обработки и корреляции представлены в формате RBR (Rule Based Reasoning) и содержат набор условий, триггеры, счетчики, сценарий действий.
  • Автоматическое оповещение и инцидент-менеджмент. Основная задача SIEM — не просто собрать события, но автоматизировать процесс обнаружения инцидентов с документированием в собственном журнале или внешней контролирующей системе, а также своевременно информировать о событии.

SIEM способна выявлять:

  • сетевые атаки во внутреннем и внешнем периметрах;
  • вирусные эпидемии или отдельные вирусные заражения, неудаленные вирусы, бэкдоры и трояны;
  • попытки несанкционированного доступа к конфиденциальной информации;
  • фрод и мошенничество;
  • ошибки и сбои в работе информационных систем;
  • уязвимости;
  • ошибки конфигураций в средствах защиты и информационных системах.

Основные источники данных SIEM:

  • Access Control, Authentication (контроль доступа, аутентификация пользователей) — для мониторинга контроля доступа к информационным системам и использования прав пользователей.
  • Журналы событий серверов и рабочих станций — для контроля доступа, контроля  соблюдения политик информационной безопасности.
  • Сетевое активное оборудование  — контроль изменений и счетчиков сетевого трафика.
  • IDS\IPS – контроль сетевых атак, изменений конфигурации и доступа к устройствам.
  • Антивирусная защита – контроль работоспособности программного обеспечения.
  • Сканеры уязвимостей — инвентаризация сервисов, программного обеспечения, уязвимостей, формирование инвентаризационных данных и топологической структуры.
  • GRC-системы для учета рисков – для определения критичности угрозы, определения приоритета инцидента.
  • Прочие системы защиты и контроля политик ИБ: DLP, антифрод, контроль устройств.
  • Системы инвентаризации, asset-management – инвентаризация оборудования в инфраструктуре и выявления новых устройств.
  • Netflow, системы учета трафика – контроль трафика.

SIEM включает в себя, как правило, несколько компонентов:

  • агенты, устанавливаемые на инспектируемую информационную систему (агент представляет собой резидентную программу-сервис, которая локально собирает журналы событий и по возможности передает их на сервер);
  • коллекторы на агентах, которые, по сути, представляют собой модули (библиотеки) для понимания конкретного журнала событий или системы;
  • серверы-коллекторы, предназначенные для предварительной аккумуляции событий от множества источников;
  • сервер-коррелятор, отвечающий за сбор информации от коллекторов и агентов и обработку по правилам и алгоритмам корреляции;
  • сервер баз данных и хранилища, отвечающий за хранение журналов событий.

В заключении хотелось бы добавить, что добавление SIEM в состав информационной системы существенно увеличит её стоимость. Целесообразность применения системы SIEМ в рамках компонента обеспечения информационной безопасности определяется размером возможных потерь в результате взлома системы злоумышленниками.

Американская интеллектуальная система предсказания преступлений «Cognitive Engine»

В настоящее время в США установлено огромное количество видеокамер на различных объектах городской и транспортной инфраструктуры. Под постоянным наблюдением находятся: аэропорты, автобусные остановки, вокзалы, станции метрополитена, улицы. Записи камер видеонаблюдения используют для расследований полиция и спецслужбы, происходит это часто уже после совершения преступления, но более важной задачей является предотвращение преступления, террористического акта или любого другого акта незаконного вмешательства. При детальном изучении видеозаписей по поведению людей можно определить, кто из них представляет опасность для окружающих, этот факт давно известен и используется службами обеспечения транспортной безопасности, например в аэропортах. Подозрительное поведение людей на мониторах выявляют и оценивают специально подготовленные операторы,  но когда необходимо анализировать информацию, поступающую от сотен или тысяч видеокамер, возникает необходимость автоматизировать этот процесс. Разработчики интеллектуальной системы предсказания преступлений «Cognitive Engine» хотят научить систему распознавать опасные ситуации на основе известных моделей поведения. Например, если человек оставил сумку в общественном месте; вышел из туалета, изменив свою внешность; избегает приближения к сотрудникам полиции или службы безопасности, то система должна подавать сигнал оператору, обращая его внимание на нестандартную ситуацию. Как сообщает издание Phsy.org, к работе привлечена группа исследователей из университета Карнеги-Меллона (Питтсбург, США). Ученые работают над системой с элементами искусственного интеллекта, позволяющей отличить потенциально опасное поведение от обычного поведения людей в видеопотоке в реальном времени. Финансирует эти исследования особое подразделение DARPA (Defense Advanced Research Projects Agency — агентство передовых оборонных исследовательских проектов) — DARPA Innovation House. DARPA также известно своим участием в разработке стойкой к условиям ядерной войны распределенной компьютерной сети ARPANET, на основе которой был создан интернет.

Комплексная автоматизированная система информационной поддержки антитеррористической защищенности метрополитена

Комплексная автоматизированная система информационной поддержки антитеррористической защищенности метрополитена (КАСИП АЗМ) — система которая необходима для метрополитена в любом городе. В Санкт-Петербурге уже действует такая система, она является компонентом системы антитеррористической защиты метрополитена. Надеемся что информация о реализации системы КАСИП АЗМ в Санкт-Петербурге окажется полезной для специалистов, занимающихся разработкой комплексных систем безопасности на объектах транспортной инфраструктуры. При подготовке статьи использованы открытые материалы ОАО НИПИИ Ленметрогипротранс.

В 2006 году институтом Ленметрогипротранс была разработана проектная документация на Комплексную автоматизированную систему информационной поддержки антитеррористической защищенности метрополитена (КАСИП АЗМ).

Внедрение КАСИП АЗМ решало следующие задачи:

  • Для метрополитена — повышение уровня безопасности пассажиров, уровня защищенности сооружений и технических средств, оптимизация технологических процессов пассажирских перевозок.
  • Для подразделений УВД по охране Петербургского метрополитена — повышение эффективности предотвращения, прекращения и отработки последствий противоправных действий.
  • Для органов исполнительной власти (спецслужб) — повышение эффективности оперативных антитеррористических операций, улучшение межведомственного взаимодействия в кризисных и чрезвычайных ситуациях.

В 2007 году институт Ленметрогипротранс был назначен генпроектной организацией по разработке рабочей документации на оснащение устройствами КАСИП АЗМ действующих объектов Петербургского метрополитена. В зону оснащения вошли 1, 2, 3, 4 линии метрополитена, площадки электродепо, инженерные корпуса. В 2010 году Ленметрогипротранс приступил к аналогичным работам на 5 линии метрополитена. Далее — о структуре КАСИП АЗМ.

Управление подсистемами КАСИП АЗМ осуществляется из Ситуационного центра Петербургского метрополитена.

Структура КАСИП АЗМ строится из следующих функциональных систем:

  •  Видеонаблюдение (ВН);
  •  Система контроля доступа (СКД-БСК);
  •  Система передачи тревожной информации (СПТИ);
  •  Система единой цифровой радиосвязи (ЕЦРС);
  •  Волоконно-оптическая сеть связи (ВОСС) КАСИП АЗМ;
  •  Система гарантированного электропитания КАСИП АЗМ (СРЭП01).

Система видеонаблюдения (ВН) на объектах метрополитена позволяет осуществлять оперативный контроль за состоянием безопасности объектов, действиями сил охраны, милиции и персонала метрополитена в нештатных ситуациях, производить анализа событий и оценку действий персонала из аппаратной Ситуационного центра.

Средствами системы видеонаблюдения реализуются следующие функции:
— передача изображений в реальном масштабе времени от всех видеокамер дежурному персоналу;
— запись изображений от всех видеокамер и передача архивированного изображения в Ситуационный центр метрополитена;
— хранение записанной информации в течение необходимого времени.

Система контроля доступа в помещения метрополитена на основе служебных бесконтактных смарт-карт (СКД-БСК) предназначена для:
— ограничения доступа в помещения посторонних лиц;
— пропуска в отдельные помещения персонала, имеющего соответствующие права;
— предоставления по запросу оператора информации о проходе персонала и посетителей в помещения с фиксацией фамилии и времени прохода;
— видеоконтроля за лицами в зоне установки аппаратуры контроля доступа;
— автоматического формирования сообщений о нарушениях посетителями и персоналом представленных прав;
— формирования отчетности в разных формах.

Система передачи тревожной информации (СПТИ) предназначена для:
— обеспечения взаимодействия граждан с Ситуационным центром метрополитена по двустороннему аудиоканалу в случае возникновения экстренных ситуаций;
— обеспечения граждан справочной информацией;
— получения Ситуационным центром видеоинформации об оперативной обстановке вблизи колонны экстренного вызова с последующей обработкой и архивированием аудио и видео данных.

Система единой цифровой радиосвязи (ЕЦРС) предназначена для управления технологическими процессами на Петербургском метрополитене, обеспечения оперативного взаимодействия подразделений метрополитена, сотрудников правоохранительных органов и специальных служб.

Целями создания ЕЦРС являются:
— создание единой радиосети на всей территории метрополитена;
— обеспечение межведомственной связи при чрезвычайных ситуациях;
— предоставление качественной радиосвязи в условиях метрополитена;
— стыковка с телефонными сетями метрополитена и внешними радио- и телефонными сетями (общегородскими и ведомственными);
— сокращение времени установления связи между абонентами;
— возможность передачи данных по радиоканалу;
— повышение безопасности связи;
— звукозапись переговоров в системе;
— возможность централизованного мониторинга и оперативного управления ресурсами ЕЦРС из Ситуационного центра метрополитена.

Волоконно-оптическая сеть связи (ВОСС) КАСИП АЗМ предназначена для информационного обмена аппаратуры на станционном уровне и аппаратуры Ситуационного центра.

Система гарантированного электропитания КАСИП АЗМ предназначена для обеспечения надежного функционирования всей системы в целом. Электропитание систем КАСИП АЗМ организуется в соответствие с требованиями по организации энергоснабжения электроприемников первой категории с обеспечением дополнительного батарейного резерва.

 

Создание систем мониторинга потенциально опасных объектов

В России функционирует свыше 2,5 тысячи химически опасных объектов, более 1,5 тысячи ядерно и радиационно-опасных объектов, около 8 тысяч пожаро-и взрывоопасных объектов, более 30 тысяч гидротехнических сооружений. Многие из этих объектов представляют экономическую, оборонную и социальную значимость для страны, но одновременно несут потенциальную опасность для здоровья и жизни людей при возникновении на них аварий. В зонах возможного воздействия поражающих факторов при авариях на этих объектах проживает свыше 90 миллионов жителей страны. Положение усугубляется значительным износом основных производственных фондов, снижением технологической дисциплины. Развитие атомной энергетики и химической индустрии, транспортирование энергетических и природных ресурсов на огромные расстояния, строительство предприятий и сооружений, оснащенных сложнейшим технологическим оборудованием, являются причиной увеличения радиационной, химической, техногенной, экологической и других опасностей. В результате появляются новые виды угроз жизни, здоровью и деятельности людей.

В первую очередь к таким новым угрозам следует добавить опасность терроризма на потенциально опасных предприятиях, связанную с социальной и политической напряженностью в обществе, которая приводит к увеличению случаев насилия, в том числе к наиболее опасным формам его проявления — террористическим актам.

Анализ чрезвычайных происшествий показывает, что причиной трагических последствий в большинстве случаев служит слабая организация системы безопасности, которая чаще всего проявляется в непрофессиональных или несвоевременных действиях, отсутствии координации и взаимодействия, плохо подготовленных или отсутствующих планах действий в условиях нештатных и чрезвычайных ситуаций.

МЧС России проводит работу, направленную на формирование национального информационного пространства, по вопросам борьбы с бедствиями и катастрофами, прогнозированию и предупреждению чрезвычайных ситуаций, в том числе связанных с этим вопросам развития систем мониторинга опасных природных процессов и явлений и состояния безопасности опасных производственных, технически сложных и уникальных объектов. Распоряжением Правительства Российской Федерации от 27 августа 2005 года №1314-р одобрена Концепция федеральной системы мониторинга критически важных объектов и (или) потенциально опасных объектов инфраструктуры Российской Федерации и опасных грузов (ФСМ КВО и ОГ).  Такая система мониторинга создается в интересах федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления, в сфере ведения которых находятся вопросы функционирования критически важных и (или) потенциально опасных объектов инфраструктуры Российской Федерации, транспортировки опасных грузов (далее — грузы) и (или) вопросы обеспечения защищенности этих объектов и грузов от угроз техногенного и природного характера, а также вызванных проявлениями терроризма. Целями создания этой системы мониторинга являются последовательное снижение до минимального уровня риска воздействия на объекты и грузы факторов террористического, техногенного и природного характера и минимизация ущерба от кризисных ситуаций для населения страны и окружающей среды. Задачей системы мониторинга является информационная поддержка разработки и реализации мер по своевременному прогнозированию, выявлению и предупреждению угроз и кризисных ситуаций в отношении объектов и грузов. Объектом мониторинга является состояние защищенности объектов и грузов. Задача обеспечения защищенности критически важных объектов и опасных грузов является приоритетной задачей как в нашей стране, так и за рубежом. Непосредственными аналогами являются региональные системы мониторинга и прогнозирования состояния КВО, являющихся потенциально опасными как источники аварий и техногенных катастроф в нашей стране и за рубежом, а также отраслевые системы мониторинга КВО и ОГ.

Известны и другие отдельные средства и экспериментальные участки создаваемых систем мониторинга, в том числе:

► система безопасности ядерно опасных объектов «Цирконий-М» (ФГУП «СНПО «Элерон»), включающая подсистемы контроля управления доступом, телевизионного наблюдения, обнаружения проноса металлов и радиоактивных материалов, систему безопасности транспортировки ядерных материалов;

►  автоматизированная система контроля радиационной обстановки (АСКРО) на радиационно опасных объектах, которая является одним из элементов общей системы радиационной безопасности и включает в себя как стационарные датчики, так и мобильные посты радиационного контроля, осуществляющие регулярный мониторинг радиационной обстановки, в том числе и на прилегающей территории;

► система автоматического мониторинга химически опасных объектов (научно-производственная фирма «ИНКРАМ»), включающая подсистемы оперативного обнаружения в автоматическом режиме аварий на химически опасных объектах, оценки, прогнозирования и своевременного оповещения об аварии производственного персонала предприятия и территориальных подразделений МЧС России;

► система дистанционного контроля и надзора в области обеспечения транспортной безопасности СДКН Ространснадзора, предусматривающая возможность удаленного доступа к системам обеспечения безопасности объектов транспортной инфраструктуры и выводу информации с объектов в ситуационный центр Ространснадзора;

► отраслевая система мониторинга критически важных и (или) потенциально опасных объектов (КВО) инфраструктуры и опасных грузов (ОГ) Роскосмоса (ОАО «Российские космические системы»), включающая автоматизированные системы мониторинга КВО ракетно-космической промышленности и перевозок ОГ Роскосмоса.

В настоящее время достаточно активно создаются структурированные системы мониторинга и управления инженерными системами зданий и сооружений (СМИС), в том числе на уникальных и высотных объектах города Москвы и олимпийских объектах г. Сочи, информирующие единые дежурно-диспетчерские службы (ЕДДС) муниципального образования (города, района) о возможности возникновения и фактах чрезвычайных ситуаций (в том числе аварийном состоянии строительных конструкций) на таких объектах.

Однако, как показал опыт проектирования СМИС, существуют ведомственная разобщенность и целый ряд противоречий в нормативной правовой базе СМИС, которые дают возможность усложнять и замедлять процесс разработки СМИС, за счет навязывания не регламентированных в правовом отношении требований и согласований. С другой стороны, отсутствие понятной единой технической политики и технических требований к СМИС усложняет контроль качества работ при создании СМИС.

Дополнительный источник дохода TSA

Источник: Security News

Администрация транспортной безопасности (TSA) США заработала за 2011 год свыше $375 тысяч на мелочи из карманов пассажиров.

На пунктах досмотра, при входе в зону вылета, пассажиры обязаны извлекать из карманов все металлические предметы, в том числе монеты. Их выкладывают вместе с другими вещами в пластиковые контейнеры, которые ставятся на ленту рентгеновского сканера. Часть мелких денег забывают, и они остаются лежать в контейнерах. Нередко монеты не забирают, потому что их трудно поддеть пальцами. Так и набежало за 2010 год почти $400 тысяч. За 2011 год — почему-то немного меньше.

Бесхозные деньги передаются в финансовый отдел TSA, где их скрупулезно пересчитывают и документируют. При этом не пропадает ни цента. Одновременно Администрация транспортной безопасности проявляет и чудеса расточительности — недавно она потратила миллиард на весьма сомнительную программу по установке раздевающих сканеров.

Теперь конгрессмен Джефф Миллер внёс на рассмотрение законопроект, по которому найденные на пунктах досмотра деньги будут передаваться в фонд Объединенной службы организации досуга войск (USO). Если этот документ примут, у патриотичных американцев появятся все основания нарочно оставлять пару долларов при посадке в самолет, поддерживая так воюющих в Афганистане парней.

Уместно предположить, что нечто подобное имеет место и в российских аэропортах.