ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2012
158
Кроме приведенных выше функций на такую систему можно воз-
ложить еще целый ряд задач, решения которых принимаются на ос-
нове анализа событий в ИТ-инфраструктуре.
Выполнение всех этих функций SIEM-системой обеспечивается за
счет того, что система в автоматическом режиме соотносит данные от
различных источников, и используя заданные правила корреляции со-
бытий, делает вывод о том, что произошло в системе: например, имел
ли место инцидент безопасности или произошел сбой в работе обору-
дования. Такой подход к анализу событий в ИТ-инфраструктуре поз-
воляет, не отвлекаясь на ложные сигналы тревоги от отдельных
средств защиты, анализировать реально опасные ситуации, снижает
процент ошибок в обработке событий от элементов ИТ-инфра-
структуры, связанный с человеческим фактором.
Для внедрения SIEM-системы в существующую ИТ-инфрас-
труктуру необходимо выполнить ряд подготовительных мер:
•
описать круг задач, который должен решаться данной системой
в будущем;
•
провести оценку решений, присутствующих на рынке;
•
определить возможность интеграции используемых систем в
компании с выбранным решением;
•
выбрать опытного интегратора либо обеспечить работу по
внедрению силами специалистов компании-разработчика системы;
•
построить топологию сети с учетом внедряемого решения;
•
составить список первичных правил корреляции и отчетов;
•
определить ответственного за ведение проекта, обеспечить его
полномочиями и ресурсами.
Проблема безопасности персональных данных и оценки соответ-
ствия ИТ-инфраструктуры определенным требованиям, предъявляе-
мым законодательством и диктуемым современным обществом, остро
встает перед компаниями, работающими на современном рынке. При
этом каждая компания выбирает способы решения данной проблемы,
подходящие именно ей по соотношению затрат и получаемого резуль-
тата. SIEM-системы могут быть эффективны в качестве инструмента
для оценки соответствия ИТ-инфраструктуры законодательству в об-
ласти персональных данных, но такое решение представляется наибо-
лее удобным и экономически выгодным для достаточно больших ор-
ганизаций, объем обрабатываемых данных в которых не позволяет
осуществлять мониторинг событий в ИТ-инфраструктуре вручную.
При осуществлении соответствующих настроек для конкретной сети
организации такое решение поможет сэкономить на содержании штата
ИТ/ИБ специалистов и в каждый момент времени иметь представле-
ние о состоянии ИБ в организации.