На сегодняшний день практически каждая организация решает вопросы оптимизации затрат на эксплуатацию ИБ/ИТ -инфраструктуры при сохранении требуемого уровня ее надежности и отдачи для бизнеса.
Оценив фактическую эффективность используемой системы сбора, хранения и анализа событий информационной безопасности, а также потребность в ее адаптации и совершенствовании в контексте развития бизнеса, менеджмент организации получает возможность:
- идентифицировать возможные риски (ИБ, связанные риски),
- выявить пути их снижения и повышения надежности используемой ИБ-инфраструктуры,
- оптимизировать затраты на ИБ.
Организациям, эксплуатирующим системы мониторинга и анализа событий ИБ (SIEM), реализованные на различных программных платформах, НТЦ «Вулкан» предлагает выполнение работ по экспресс-оценке используемой системы – процедуру SIEM Health Check.
Состав работ
- Обследование технической и организационной составляющих системы.
Поизводится изучение документации и реализации системы, анкетирование и интервьюирование персонала SIEM-системы с использованием собственной методологии НТЦ «Вулкан».
Работы по обследованию могут быть выполнены как с выездами на объекты эксплуатации обследуемой системы, так и удаленно, с использованием средств удаленного управления, виртуальных частных сетей.
Анализ собранных данных, оценка имеющегося состояния SIEM, выявление проблемных зон и потенциала повышения эффективности:
- оценка оптимальности архитектуры существующего решения;
- оценка достаточности системных ресурсов;
- анализ организационно-функциональной структуры персонала, работающего с SIEM-решением;
- анализ и оценка области покрытия SIEM-инсталляции в разрезе источников событий;
- оценка оптимальности корреляционных правил и эффективности их использования;
- оценка наличия и использования информационных панелей и отчетов, качества отчетов;
- оценка производительности SIEM-решения;
- оценка соблюдения лицензионных ограничений;
- оценка уровня отказоустойчивости и готовности системы к восстановлению в случае критических сбоев.
- Разработка рекомендаций по совершенствованию существующей SIEM-инсталляции и повышению эффективности SIEM-системы.
Передаваемым результатом SIEM Health Check для заказчика является Отчет следующего содержания:
- Степень соответствия реализованной SIEM-системы задачам и целям заказчика.
- Степень соответствия действующей SIEM-системы проектному решению.
- Идентификация ошибок в работе и конфигурации компонентов SIEM-решения.
- Наличие проблемных зон в базовых процессах обслуживания и использования системы.
- Локализация «узких мест» в процессах эксплуатации и использовании компонентов системы.
- Оценка реализации требований к Event Management при соблюдении Compliance (например, PCI DSS).
- Оценка соответствия и полноты выполнения требований, предъявляемых к системе вендором.
- Рекомендации по совершенствованию и развитию SIEM-системы уровня «Quick Wins», не требующие значительных затрат и ресурсов для реализации мероприятий, позволяющих улучшить показатели эффективности системы.
Продолжительность типовой процедуры SIEM Health Check с момента начала работ до предоставления отчета заказчику – 4-5 рабочих дней. При необходимости включения в процедуру дополнительных областей для анализа, а также в случае постановки заказчиком дополнительных целей исследования продолжительность работ может быть увеличена по согласованию с заказчиком.
Преимущества
По результатам проведения процедуры SIEM Health Check и полученных рекомендаций заказчик получает возможность использовать независимую оценку текущего уровня эффективности системы для принятия решений по ее совершенствованию/модернизации на основании:
- объективных данных об эффективности используемой SIEM-системы (KPI),
- обоснования потребности в возможных будущих инвестициях,
- оценки текущего уровня эффективности сопровождения системы собственным персоналом или силами подрядной организации.