ALP 1C

RusEng

Управление инцидентами

Автоматизация управления инцидентами требует, чтобы в первую очередь внимание уделялось автоматизированной обработке событий, относящихся к информационной безопасности, являющихся фактически причиной любого происходящего инцидента. События от разных технических защитных средств являются основным поставщиком данных о процессах, идущих в СУИБ, а также обо всех нарушениях и рисках. На основе событий осуществляются корректировки, оценка степени защиты и эффективности работы системы управления информационной безопасностью.

Управление инцидентами

Только на основе полных и достоверных сведений о событиях можно проводить тщательное расследование происходящих инцидентов и получать представление о развитии СУИБ. Таким образом, можно считать события главным каналом обратной связи. Важен и тот факт, что события легко задокументировать и воспроизвести.

Организация обработки событий в условиях отсутствия средств автоматизации становится очень сложным и трудоемким процессом. Ведь нужно будет собрать и консолидировать значительный объем информации в разном формате, а также заняться созданием центрального архива. Обработка событий вручную требует большого числа квалифицированных сотрудников. Из-за больших объемов обработка зачастую оказывается неполной, не отражающей текущую ситуацию. Возможно, что даже критичные события окажутся незамеченными аналитиками, и к ним не будут применены надлежащие предупреждающие меры.

Чтобы процесс обработки событий соответствовал современным требованиям, задействуются различные автоматизированные системы обработки событий - СОС, которые должны обладать следующим функционалом:

  • возможностью сбора событий всех средств безопасности, используемых СУИБ;
  • возможностью корреляции событий;
  • хранению событий без ограничения объема;
  • инструментарием для поиска в хранилище информации;
  • нормализацией событий, для приведения их к общему формату;
  • механизмами формирования отчетности;
  • возможностью масштабирования.

Обработка событий при помощи автоматизированной системы должна включать: нормализацию - приведение данных к общему формату; агрегирование (т.е. накопление событий); корреляцию и визуализацию. Сначала сведения о событиях собираются фактически со всех реализованных в СУИБ защитных средств. Далее они преобразуются в удобный для отображения и анализа формат, коррелируются и демонстрируются оператору системы управления инцидентами.