ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2012
157
точников, при этом бóльшая часть этих сообщений будет нести
информацию о рядовых событиях в системе, и среди таких сооб-
щений легко пропустить что-либо действительно важное. А в слу-
чае инцидента ИБ расследование займет много времени, так как
придется вручную сопоставлять данные от разного ПО, сетевого
оборудования и средств защиты;
3)
мониторинг состояния ИТ-инфраструктуры с помощью систем
управления событиями и инцидентами безопасности (SIEM – Security
Information and Event Management). Такие системы позволяют сосре-
доточить данные со всего ПО, сетевого оборудования и средств за-
щиты на одном экране, выделить самое главное, найти взаимосвязи
между событиями и выполнить определенные действия при наступ-
лении того или иного события. Это наиболее подходящий способ мо-
ниторинга состояния ИТ-инфраструктуры для компаний, имеющих
большую распределенную сеть.
Основными задачами SIEM-систем являются:
оперативное обнаружение атак и нарушений политики ИБ;
соотнесение в режиме реального времени событий от разных
устройств, выявление инцидентов ИБ и их приоритезация;
автоматическое реагирование на инциденты;
формирование базы знаний по инцидентам;
проведение аудитов и расследований инцидентов;
оценка уровня угроз для отдельных корпоративных ресурсов [2].
Внедрение системы управления событиями и инцидентами без-
опасности позволит достигнуть следующих целей:
обеспечить централизованное управление событиями и инци-
дентами ИБ путем интеграции существующих в организации сенсо-
ров безопасности и источников данных аудита в единую систему
управления;
увеличить скорость выявления, расследования и реагирования
на инциденты безопасности, в том числе обеспечить автоматическое
реагирование на инциденты;
управлять инцидентами ИБ;
повысить эффективность управления рисками ИБ;
повысить уровень соответствия политикам и нормативным тре-
бованиям, контролировать уровень соответствия системы заданным
политикам безопасности (в частности, требованиям законодательства
в области персональных данных);
обеспечить наиболее оперативное устранение сбоев в работе
ИТ-инфраструктуры. При этом не важно, чем вызваны сбои – ошиб-
кой пользователя, неисправностью оборудования или атакой на кор-
поративную сеть [3].