Система регистрации, анализа и мониторинга событий информационной безопасности (Система РАМС ИБ)

Наименование: Система регистрации, анализа и мониторинга событий информационной безопасности (Система РАМС ИБ)

Обозначение: ДВИК.40010-01

Внедрение: ФМС России

Система РАМС ИБ представляет собой многоуровневую информационно-аналитическую систему, используемую для обеспечения постоянной защищенности автоматизированных информационных систем (АИС) как небольших организаций, так и распределенных систем федерального масштаба. Отличительной особенностью Системы РАМС ИБ является возможность контроля изолированных АРМ и локальных сетей, не включённых в корпоративные информационные системы.

Система РАМС ИБ регистрирует следующие событий информационной безопасности:

1. несоблюдение требований (политик) по обеспечению ИБ при работе пользователей в АИС;
2. несанкционированное использование вычислительных ресурсов АИС;
3. нарушение правил доступа к объектам операционных систем (папки и файлы файловой системы, ключи реестра, запуск процессов, попытки записи информации на незарегистрированные флеш-диски и т.п.);
4. обнаружение компьютерных атак (КА) на вычислительные ресурсы АИС методами сигнатурного и поведенческого анализа (включая КА следующих типов: «отказ в обслуживании» (DoS), «распределённый отказ в обслуживании» (DDoS), «активность бот-сетей»);
5. перегрузка вычислительных ресурсов АИС, приводящая к невозможности функционирования заданных сервисов.

Система РАМС ИБ имеет возможность управления:

• Модулями реакции хостовых агентов, которые могут:
  • прекращать выполнение заданных процессов в операционной системе (ОС);
  • прерывать текущую сессию пользователя ОС, блокировать учётную запись пользователя;
  • устанавливать фильтры, блокирующие:
    • доступ к объектам файловой системы и системного реестра;
    • сетевые взаимодействия;
    • запуск процессов;
    • подключение USB-устройств к компьютеру.
• Внешними межсетевыми экранами посредством установки фильтров, блокирующих сетевые взаимодействия.

Схема взаимодействия компонентов системы РАМС ИБ:

Управление Системой РАМС ИБ производится:

1. с консоли управления, позволяющей:
   • управлять всеми функциями и подсистемами (серверными компонентами и хостовыми агентами, в том числе изолированными);
   • централизованно готовить и рассылать требований (политики) по информационной безопасности на рабочие места и сервера АИС;
2. с консоли мониторинга, позволяющей: формировать структуру и работать со следующими типами интерактивных (переходящих с целью детализации по выбираемым полям от одного типа к другому) отчетов:
   • Лента событий с возможность просмотра карточки конкретного события
   • Статистическое распределение выбранных параметров событий
   • Распределение интенсивности выбранных параметров событий по времениЛента событий с возможность просмотра карточки конкретного события

Более подробно информация о функциональности и применении Системы РАМС ИБ приведена в презентации (для получения презентации необходимо отправить запрос по электронной почте)