SIEM Health check

На сегодняшний день практически каждая организация решает вопросы оптимизации затрат на эксплуатацию ИБ/ИТ -инфраструктуры при сохранении требуемого уровня ее надежности и отдачи для бизнеса.

Оценив фактическую эффективность используемой системы сбора, хранения и анализа событий информационной безопасности, а также потребность в ее адаптации и совершенствовании в контексте развития бизнеса, менеджмент организации получает возможность:

• идентифицировать возможные риски (ИБ, связанные риски),
• выявить пути их снижения и повышения надежности используемой ИБ-инфраструктуры,
• оптимизировать затраты на ИБ.

Организациям, эксплуатирующим системы мониторинга и анализа событий ИБ (SIEM), реализованные на различных программных платформах, НТЦ «Вулкан» предлагает выполнение работ по экспресс-оценке используемой системы – процедуру SIEM Health Check.

Состав работ

• Обследование технической и организационной составляющих системы.
  Поизводится изучение документации и реализации системы, анкетирование и интервьюирование персонала SIEM-системы с использованием собственной методологии НТЦ «Вулкан». Работы по обследованию могут быть выполнены как с выездами на объекты эксплуатации обследуемой системы, так и удаленно, с использованием средств удаленного управления, виртуальных частных сетей.
  Анализ собранных данных, оценка имеющегося состояния SIEM, выявление проблемных зон и потенциала повышения эффективности:
  • оценка оптимальности архитектуры существующего решения;
  • оценка достаточности системных ресурсов;
  • анализ организационно-функциональной структуры персонала, работающего с SIEM-решением;
  • анализ и оценка области покрытия SIEM-инсталляции в разрезе источников событий;
  • оценка оптимальности корреляционных правил и эффективности их использования;
  • оценка наличия и использования информационных панелей и отчетов, качества отчетов;
  • оценка производительности SIEM-решения;
  • оценка соблюдения лицензионных ограничений;
  • оценка уровня отказоустойчивости и готовности системы к восстановлению в случае критических сбоев.

• Разработка рекомендаций по совершенствованию существующей SIEM-инсталляции и повышению эффективности SIEM-системы.

Передаваемым результатом SIEM Health Check для заказчика является Отчет следующего содержания:

• Степень соответствия реализованной SIEM-системы задачам и целям заказчика.
• Степень соответствия действующей SIEM-системы проектному решению.
• Идентификация ошибок в работе и конфигурации компонентов SIEM-решения.
• Наличие проблемных зон в базовых процессах обслуживания и использования системы.
• Локализация «узких мест» в процессах эксплуатации и использовании компонентов системы.
• Оценка реализации требований к Event Management при соблюдении Compliance (например, PCI DSS).
• Оценка соответствия и полноты выполнения требований, предъявляемых к системе вендором.
• Рекомендации по совершенствованию и развитию SIEM-системы уровня «Quick Wins», не требующие значительных затрат и ресурсов для реализации мероприятий, позволяющих улучшить показатели эффективности системы.

Продолжительность типовой процедуры SIEM Health Check с момента начала работ до предоставления отчета заказчику – 4-5 рабочих дней. При необходимости включения в процедуру дополнительных областей для анализа, а также в случае постановки заказчиком дополнительных целей исследования продолжительность работ может быть увеличена по согласованию с заказчиком.

Преимущества

По результатам проведения процедуры SIEM Health Check и полученных рекомендаций заказчик получает возможность использовать независимую оценку текущего уровня эффективности системы для принятия решений по ее совершенствованию/модернизации на основании:

• объективных данных об эффективности используемой SIEM-системы (KPI),
• обоснования потребности в возможных будущих инвестициях,
• оценки текущего уровня эффективности сопровождения системы собственным персоналом или силами подрядной организации.