Построение системы сбора, корреляции событий и управления инцидентами информационной безопасности
Важнейшим фактором для успешного обеспечения информационной безопасности является поступление полной и своевременной информации о событиях, происходящих в информационной системе организации.
Анализ этой информации позволяет выявить инциденты и проблемы информационной безопасности, которые потенциально могут нанести ущерб организации.
Также для организаций является чрезвычайно важным наличие процедур анализа и устранения последствий инцидентов, своевременного расследования причин их возникновения и принятия корректирующих мер для снижения вероятности повторения подобных инцидентов в будущем.
В крупных территориально распределенных организациях количество и разнообразие событий, связанных с информационной безопасностью, настолько велико, что становится невозможным собирать и анализировать их вручную. В результате события, свидетельствующие об инцидентах ИБ, зачастую оказываются незамеченными среди потока других событий.
В то же время по инцидентам, которые все-таки удалось выявить, часто отсутствуют четкие процедуры реагирования, расследования и принятия решений о корректирующих мерах.
В результате в системе обеспечения информационной безопасности долгое время остаются незамеченными серьезные уязвимости, наличие которых значительно увеличивает финансовые, правовые и репутационные риски организации.
Результат построения системы сбора, корреляции событий и управления инцидентами информационной безопасности:
- Сбор и долговременное хранение информации о событиях ИБ с возможностью их последующего анализа.
- Реализация эффективных процедур управления инцидентами ИБ: информирование, категорирование, реагирование, локализация, устранение последствий, расследование, принятие корректирующих мер.
- Построение гибкой системы отчетности: от отчетов стратегического уровня для руководства до подробных отчетов о конкретных событиях ИБ.
- Соблюдение требований ИБ в части мониторинга событий и управления инцидентами.
IBM QRadar SIEM, используемый в качестве основы предлагаемого решения, представляет собой программно-аппаратный комплекс, позволяющий в режиме реального времени собирать по всей корпоративной сети, структурировать, ранжировать и анализировать все события, имеющие значения с точки зрения информационной безопасности от систем и приложений, используемых в компании.