SIEM Health check

На сегодняшний день практически каждая организация решает вопросы оптимизации затрат на эксплуатацию ИБ/ИТ -инфраструктуры при сохранении требуемого уровня ее надежности и отдачи для бизнеса.

Оценив фактическую эффективность используемой системы сбора, хранения и анализа событий информационной безопасности, а также потребность в ее адаптации и совершенствовании в контексте развития бизнеса, менеджмент организации получает возможность:

  • идентифицировать возможные риски (ИБ, связанные риски),
  • выявить пути их снижения и повышения надежности используемой ИБ-инфраструктуры,
  • оптимизировать затраты на ИБ.

Организациям, эксплуатирующим системы мониторинга и анализа событий ИБ (SIEM), реализованные на различных программных платформах, НТЦ «Вулкан» предлагает выполнение работ по экспресс-оценке используемой системы – процедуру SIEM Health Check.

Состав работ

  • Обследование технической и организационной составляющих системы.
    Поизводится изучение документации и реализации системы, анкетирование и интервьюирование персонала SIEM-системы с использованием собственной методологии НТЦ «Вулкан». Работы по обследованию могут быть выполнены как с выездами на объекты эксплуатации обследуемой системы, так и удаленно, с использованием средств удаленного управления, виртуальных частных сетей.
    Анализ собранных данных, оценка имеющегося состояния SIEM, выявление проблемных зон и потенциала повышения эффективности:
    • оценка оптимальности архитектуры существующего решения;
    • оценка достаточности системных ресурсов;
    • анализ организационно-функциональной структуры персонала, работающего с SIEM-решением;
    • анализ и оценка области покрытия SIEM-инсталляции в разрезе источников событий;
    • оценка оптимальности корреляционных правил и эффективности их использования;
    • оценка наличия и использования информационных панелей и отчетов, качества отчетов;
    • оценка производительности SIEM-решения;
    • оценка соблюдения лицензионных ограничений;
    • оценка уровня отказоустойчивости и готовности системы к восстановлению в случае критических сбоев.

  • Разработка рекомендаций по совершенствованию существующей SIEM-инсталляции и повышению эффективности SIEM-системы.

Передаваемым результатом SIEM Health Check для заказчика является Отчет следующего содержания:

  • Степень соответствия реализованной SIEM-системы задачам и целям заказчика.
  • Степень соответствия действующей SIEM-системы проектному решению.
  • Идентификация ошибок в работе и конфигурации компонентов SIEM-решения.
  • Наличие проблемных зон в базовых процессах обслуживания и использования системы.
  • Локализация «узких мест» в процессах эксплуатации и использовании компонентов системы.
  • Оценка реализации требований к Event Management при соблюдении Compliance (например, PCI DSS).
  • Оценка соответствия и полноты выполнения требований, предъявляемых к системе вендором.
  • Рекомендации по совершенствованию и развитию SIEM-системы уровня «Quick Wins», не требующие значительных затрат и ресурсов для реализации мероприятий, позволяющих улучшить показатели эффективности системы.

Продолжительность типовой процедуры SIEM Health Check с момента начала работ до предоставления отчета заказчику – 4-5 рабочих дней. При необходимости включения в процедуру дополнительных областей для анализа, а также в случае постановки заказчиком дополнительных целей исследования продолжительность работ может быть увеличена по согласованию с заказчиком.

Преимущества

По результатам проведения процедуры SIEM Health Check и полученных рекомендаций заказчик получает возможность использовать независимую оценку текущего уровня эффективности системы для принятия решений по ее совершенствованию/модернизации на основании:

  • объективных данных об эффективности используемой SIEM-системы (KPI),
  • обоснования потребности в возможных будущих инвестициях,
  • оценки текущего уровня эффективности сопровождения системы собственным персоналом или силами подрядной организации.