Систему тестировали в 2022 г. на части инфраструктуры. А в сентябре 2023 г., после успешного пилота, «СёрчИнформ SIEM» доверили защиту всей ИТ-инфраструктуры. Решение позволит мэрии обрабатывать большой поток событий и выявлять ИБ-угрозы.
Мэрия Казани включает в себя несколько десятков учреждений и придерживается политики централизации управления системами безопасности. В связи с этим была закуплена SIEM-система и планируется создание муниципального SOC.
«При выборе системы мы ориентировались прежде всего на простоту установки и развертывания продукта. Также для нас было важно наличие определенных коннекторов и предустановленных правил корреляции. Всем критериям удовлетворила SIEM от «СёрчИнформ». Сотрудничество оказалось эффективным. Особенно мы остались довольны оперативной работой отдела внедрения и техподдержки «СёрчИнформ», – сказал заместитель начальника Управления информационных технологий и связи Казани – начальник отдела ИБ Тимур Сапегин.
Главная задача, которую мэрия Казани ставит перед SIEM, – управление событиями информационной безопасности в реальном времени. Еще в период теста «СёрчИнформ SIEM» помогла выявить неиспользуемые учетные записи с административными привилегиями, более 200 учетных записей с истекшим сроком действия и истекшим паролем в различных муниципальных системах, а также модифицировать более 20 правил межсетевого экранирования, отметили в мэрии.
«С решениями компании «СёрчИнформ» мы знакомы давно и видим положительную динамику в расширении линейки продуктов, – сказал Тимур Сапегин. – Отмечу широкий функционал SIEM-системы: наличие инструментов инцидент-менеджмента для раннего выявления предпосылок негативных сценариев, снижение вероятности выхода из строя элементов ИТ-инфраструктуры, возможность отправки уведомлений в Telegram».
«По данным нашего ежегодного исследования, в 2022 г. 39% государственных организаций зафиксировали рост числа кибератак на корпоративные сети. Трезво оценивая риски, мы видим, что постепенно госучреждения внедряют специализированные системы. На этом фоне решение мэрии Казани по внедрению SIEM – значимый шаг, указывающий на ответственный подход к защите ИТ-инфраструктуры, – сказал руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев. – Наша SIEM-система не только выполняет базовые задачи по обработке потока событий и выявлению угроз, но и поможет их устранить. Если система выявляет подозрительные события, то по политикам безопасности остановит инцидент, а ИБ-специалист получит об этом уведомление».
Работы по проекту внедрения системы защиты информации в мэрии Казани продолжаются. В планах — увеличить количество охваченных SIEM муниципальных учреждений, а также выполнить задачи по обмену данными с системами вышестоящих государственных органов.