Автор должность
DESCRIPTION
Как не проспать безопасность: создание ситуационного центра ИБ. Автор должность. Олег Сафрошкин. Немного статистики. Почему это происходит. Сотни миллионов событий в день. Важные события теряются на фоне потока сообщений, посылаемых используемыми средствами. SIEM – не панацея. Сбор и - PowerPoint PPT PresentationTRANSCRIPT
Автордолжность
Как не проспать безопасность:
создание ситуационного центра ИБ
Олег Сафрошкин
Немного статистики
Почему это происходит
Важные события теряются на фоне потока сообщений, посылаемых
используемыми средствами
Сотни миллионов событий в день
SIEM – не панацея
Сбор инормализация
Фильтрация
Корреляция
Миллионы событий
Тысячи событий
Сотни событий
А только предпосылка для решения проблемы!
Что такое ситуационный центр ?
Команда профессионалов, реализующая процессы и процедуры управления ИБ
Организации с применением программно-аппаратного комплекса, автоматизирующего
функции по мониторингу и обработке инцидентов ИБ
Принципиальная схема СЦ ИБ
Система корреляции
Источники событий АРМ Оператора
База данных(хранилище событий)Ядро SIEM
Сетевое оборудование Журналы ОС
Устройства сетевойбезопасности
Группа реагирования
Оператор мониторинга
События
Инц
иден
ты
- Сбор- Нормализация - Категоризация - Агрегация
- Корреляция - Приоритезация (первичная)- Хранение- Визуализация
- Мониторинг - Выявление - Приоритезация - Регистрация
- Реагирование- Расследование- Закрытие
Группа реагирования
Нас
трой
ка
прав
ил
Система ServiceDesk
Ядро системы SD
СобытияСобытия
База данных(хранилище заявок)
Заявка на обработку инцидента
Отч
ет о
б об
рабо
тке
инци
дент
а
Журналы ППО
Журналы СУБД
ИТ - подразделение
Бизнес - подразделения
Заяв
ки н
а об
рабо
тку
инци
дент
а
Опо
вещ
ение
об
инци
дент
е
Вза
имод
ейст
вие
при
обра
ботк
е ин
циде
нта
Системы управления
идентификацией
Системы антивирусной
защиты
….….
Опо
вещ
ение
об
инци
дент
е
Вза
имод
ейст
вие
при
обра
ботк
е ин
циде
нта
Заявки
Системы анализа защищенности Системы управления
Мобильными устройствами
Консоль руководителя
Руководство Департамента ИБС
водн
ая
отче
тнос
ть
Какие результаты дает СЦ ИБ?
Средние значения метрик эффективности СЦ,достигнутые в реализованных проектах НИП «Информзащита»
Подход компании Информзащита
Обучение и поддержка
Автоматизация разработанных процессов
Разработка процесса управления инцидентами
Разработка процесса обработки событий безопасности
Анализ рисков
Анализ рисковРазработка методики
категорирования информационных активов
Выявление и категорирование информационных активов
Определение угроз безопасности и их источников
Разработка методики анализа рисков
Анализ информационных рисков
Разработка процесса обработки событий ИБ
Анализ достаточности имеющихся технических средств для функционирования СЦ ИБ
Определение событий (групп событий) являющихся инцидентами и классификация инцидентов
Разработка методик определения и классификации инцидентов
Разработка процесса управления инцидентами
Разработка подпроцесса регистрации и категорирования инцидентов
Разработка подпроцесса проведения расследования инцидентов и принятия мер
Разработка подпроцесса реагирования на инциденты
Разработка процесса управления инцидентами
Разработка соглашения об уровне сервиса (SLA)
Разработка метрик эффективности
Разработка типовых инструкций реагирования на инциденты
Автоматизация процессов
Настройка решения класса SIEM• Внесение разработанных определений
инцидентов• Интеграция решения с системой класса
Service Desk
Настройка решения класса Service Desk• Внесение разработанных маршрутов
обработки заявок• Внесение разработанных параметров
SLA
Обучение и поддержка
Обучения персонала, задействованного в процессах СЦ ИБ
Обеспечение консультационной и технической поддержки созданного решения
Что получает организация?Снижение рисков ИБ за счет
своевременного обнаружения и обработки инцидентов
Повышение уровня управления средствами безопасности и защищенности информационной системы
Основу для дальнейшего развития системы управления и контроля ИБ современной организации
