2015-05-10
1265
§ Событием информационной безопасности является состояние системы, сервиса или сети, которое свидетельствует о возможном нарушении существующей политики безопасности, либо о прежде неизвестной ситуации, которая может иметь отношение к безопасности. (стандарт ISO/IEC TR 18044:2004)
Обрабатываемые события могут классифицироваться в соответствии с внутренними регламентами компании, но общепринятым является деление данных на две категории:
1. Security Information – информация, связанная с безопасностью, поступающая от серверных и пользовательских приложений, от операционных систем, подсистем информационной безопасности и т.п.
2. Security Events – информация, поступающая непосредственно от сетевого и телекоммуникационного оборудования – коммутаторов, аппаратных брандмауэров, решений-фильтров для защиты от атак извне и т.п.
В соответствии с этими типами поступающей информации классифицируются и решения, служащие для их обработки. Security Information Management (SIM-решения) и Security Events Management (SEM-решения) по отдельности служат для решения лишь части задач. В полноценной системе ИБ необходимо фиксировать и анализировать, максимально оперативно, все типы событий. Поэтому на практике внедряются преимущественно комбинированные SIEM-решения, которые обрабатывают события безопасности, поступающие как от оборудования, так и от приложений различного уровня. SIEM также расшифровывается и как Security Incident and Event Management, что, в принципе, не меняет сути. Основные задачи таких систем совпадают с задачами самого комплекса обеспечения информационной безопасности: оперативное обнаружение инцидентов ИБ, их категоризация, определение приоритета и реагирование в режиме реального времени, формирование архивной базы по инцидентам и обеспечение возможностей для расследования причин их возникновения, оценки степени их угрозы и определения уязвимости корпоративных ресурсов. На основных этапах цепочки обработки инцидентов ИБ необходимо остановиться и разобрать их более подробно.
|
|
|
Инцидентом информационной безопасности является нежелательное событие ИБ (или совокупность событий), которое может скомпрометировать бизнес-процессы компании или непосредственно угрожает ее информационной безопасности (стандарт ISO/IEC TR 18044:2004).
Данный этап в значительной степени автоматизируется подавляющим большинством систем ИБ, однако инциденты, связанные, например, с нарушением должностных регламентов пользователя или администратора не могут обнаруживаться автоматически. Так, если пользователь оставляет на столе без присмотра конфиденциальные документы, это, безусловно, является инцидентом ИБ, обработку которого можно и нужно возложить на SIEM-решение, однако обнаружение осуществляется только при помощи персонала. Также необходимо позаботиться о том, чтобы все события, составляющие потенциальную угрозу ИБ были классифицированы соответствующим образом, а опасные для ИБ действия сотрудников были запрещены. Только в таком случае работа систем ИБ будет эффективна, без документов, описывающих запрещенные действия и события обнаружение инцидентов не может быть формализовано. Небезопасные события, происходящие внутри ИТ-системы фиксируются на уровне приложений или аппаратуры, и их обнаружение и внесение в единый реестр инцидентов ИБ является чисто технической рутинной процедурой. В случае, когда ИТ-инфраструктура компании очень сложна, процедура обнаружения инцидентов может быть ресурсоемкой, но обеспечение оперативности ее работы является приоритетным.
|
|
|
