Журнал "Директор по безопасности" Январь 2020 | Page 14

ЕСТЬ РЕШЕНИЕ
ИБ-гид
топ-менеджера:
Зачем организации
АНАСТАСИЯ ГОЛЕВА,
руководитель направления информационной
безопасности АО «РАСЧЕТНЫЕ РЕШЕНИЯ»
Говоря о бизнесе в современном мире
сложно назвать людей, занимающихся
им, не творческими: столь значительное
количество знаний, совершенно раз-
носторонних и не всегда относящихся к
основным бизнес-процессам напрямую,
приходится получать увлеченным разви-
тием своего дела руководителям. Обе-
спечение информационной безопасно-
сти – один из тех самых вопросов,
в котором совершенно не обязан разби-
раться руководитель бизнеса,
не относящегося к ИБ как к основному
бизнес-процессу. Однако, средства обе-
спечения защиты информации и сопут-
ствующие услуги требуют значительных
инвестиций, и возникает вопрос оп-
тимальности расходов. В цикле статей
«Гид топ-менеджера» будут даны описа-
ния основных типов продуктов и услуг,
в настоящее время представленных на
рынке информационной безопасности
России, их цели и функции,
для получения общего представления об
их целесообразности для тех,
кто по роду деятельности не обязан раз-
бираться в этом, но должен принимать
решения об их внедрении.
Т
ему SIEM начнем с обзора данно-
го класса ИБ-продуктов в целом:
SIEM – система мониторинга и
управления инцидентами информаци-
онной безопасности – своеобразный
центр, в который стекается вся кри-
тичная информация о процессах ин-
формационной безопасности, а также
инцидентах, имеющих место быть в
корпоративной сетевой инфраструк-
туре. Это некий логический центр, в
который стекаются данные опреде-
ленного вида от всех других объектов
информационной инфраструктуры
компании, а также, со средств защиты
информации.
Для специалистов по кибербезопас-
ности этот инструмент очень удобен,
поскольку приходится осуществлять
мониторинг не каждого средства за-
щиты информации или элемента сете-
вой инфраструктуры по отдельности
(а таких в корпоративной сети средней
степени зрелости можно с легкостью
набрать порядка десяти – как мини-
мум, в корпоративной сети имеется
контроллер домена, одно или несколь-
ко средств антивирусной защиты ин-
формации, не редкость в настоящее
время и система обнаружения утечек
информации (DLP), почтовый сервер,
межсетевой экран, одно или несколь-
ко средств защиты каналов связи, а
также какие-либо бизнес-критичные
информационные системы, инфор-
мация о функционировании которых
должна быть оперативно доступна
сотрудникам, отвечающим за обеспе-
чение защищенности информации и
непрерывность работы информацион-
ных систем и сервисов). В ситуации без
SIEM, сотрудникам ИТ или ИБ подраз-
делений в лучшем случае с каждого из
вышеуказанных средств приходят уве-
домления на электронную почту или в
канал мессенджера, в худшем же при-
ходятся заходить на каждый сервер не-
посредственно не только для настроек
или проведения обновлений, но и с
целью мониторинга инцидентов. Это,
разумеется, не самая оптимальная ор-
ганизация процесса, которая, однако,
практикуется во множестве компаний.
Обучение желательно
проводить на базе либо
самой компании-
разработчика SIEM, либо
специализированного
учебного центра,
обладающего
соответствующими
возможностями. Лучше,
если обучение будет
очным
Однако, «купить SIEM» или даже
«развернуть SIEM на инфраструктуре
компании» не равно «внедрить SIEM».
Чтобы любая система работала хорошо
и давала ожидаемый от нее результат,
необходима гибкая настройка. Так, го-
воря о SIEM, систему «из коробки», то
есть, только поставленную, требуется
дорабатывать с учётом всех особенно-
стей инфраструктуры Вашей компании.
Например, у всех без исключения SIEM
в настоящее время нет автоматической
интеграции с каждым средством защи-
ты информации. С какими-то наиболее
популярными, разумеется, интеграция
есть, для остальных необходимо бу-
дет проводить дополнительную работу.
Причем, проводить ее можно как свои-
ми силами, при наличии соответствую-
щих компетенций, силами поставщика
услуг, либо производителя SIEM. Это не
всегда быстрый процесс, как и любая
доработка программного обеспечения.
Нужно быть готовым к тому, что внедре-
ние SIEM – достаточно продолжительная
работа, требующая глубокого погруже-
ния ваших специалистов по кибербез-
опасности, а также с привлечением со-
трудников внешних организаций.
Отдельного обсуждения требует во-
прос обучения. Любой, самый опытный
и подготовленный сотрудник, какое-то
время не работавший с конкретно взя-
тым программным обеспечением, не-
сколько теряет навыки работы с ним. В
свою очередь, разработка программ-
ного обеспечения идет вперед, боль-
шинство продуктов совершенствуется,
и для работы с SIEM, даже если в вашей
компании работает человек, использо-
вавший ранее эту же конкретно взятую
SIEM на своей предыдущей работе, ему
необходимо, как минимум, вспомнить,
освежить знания. Остальным специали-
стам эти знания, очевидно, необходи-
мо будет получить. Поэтому в рамках
внедрения столь сложной и критичной
системы, как SIEM, в обязательном по-
рядке следует заложить и процесс обу-
чения сотрудников. При этом, обучение
желательно проводить на базе либо
самой компании-разработчика SIEM,
либо специализированного учебного
центра, обладающего соответствую-
щими возможностями. Лучше, если об-
учение будет очным. Дело в том, что
при небольшом штате сотрудников по
кибербезопасности, в рабочее время
на рабочем месте сотрудник может по-
лучать определенное самообразова-
ние – принимать участие в вебинарах,
смотреть обучающие материалы, вы-
деляя для этого небольшое время (по
статистике, до часа в день максимум). В
остальное время к нему приходит мас-
са запросов разного рода, и погрузить-
ся в обучение SIEM вряд ли получится
достаточным образом. К тому же, при
очном обучении происходит и обще-
ние с другими обучающимися, разбор
ошибок, банально обмен контактными
данными для последующих консульта-
ций с коллегами, внедряющими этот же
программный продукт в другой компа-
нии. Это очень полезно.
Панацея ли SIEM? В зависимости от
стратегии развития кибербезопасности
в вашей организации. На отечественном
рынке средств защиты информации
представлены SIEM-системы разной сте-
пени зрелости, однако ценовая полити-
ка заставляет констатировать факт того,
что SIEM – недешевое удовольствие. Как
же понять, нужно ли это решение в Ва-
шей компании?
В первую очередь, для того, чтобы
прийти к решению о необходимости
или ее отсутствии, нужно ответить на
ряд вопросов, а именно:
Есть ли в вашей компании люди,
способные работать с SIEM? Сам факт
наличия одного или нескольких со-
трудников подразделения ИБ еще не
говорит об их опыте и компетенция по
управлению крупной системой сбора и
обработки данных.
Входит ли в ваши планы на дли-
тельный период времени (минимум,
три-пять лет) развитие ИБ-компетен-
ций внутри компании? На рынке масса
компаний, основной бизнес-процес-
сам которых является обеспечение ки-
бербезопасности для заказчиков. По-
рой это оптимально, иногда даже чуть
дешевле приобретения собственных
средств класса SIEM и развития компе-
тенций своих специалистов.
Однако есть и очевидные вопросы,
на которые следует обратить внима-
ние. В первую очередь, это SLA (Service
Level Agreement – договор об уровне
услуг, заключающийся между Заказчи-
ком и Поставщиком услуг, в ИТ в SLA
прописывается уровень событий/ин-
цидентов определенной критичности
и срок их устранения или реагирова-
ния на них). Соблюдение допустимого
уровня предоставления услуг в плане
безопасности часто имеет критическое
значение, поскольку от этого зависит
результативность бизнеса компании.
Оценка рисков кибербезопасности.
В современном мире довольно сложно
найти бизнес, в котором нет рисков на-
рушения целостности, доступности или
конфиденциальности информации, но
проведение оценки рисков крайне важ-
но при решении вопроса о внедрении
SIEM. Дело в том, что внедрение данной
системы, фактически, один из важных
шагов по формированию собственного
SOC (Security Operation Center). Иметь
собственный SOC прекрасно с точки
зрения обеспечения безопасности, но
затратно и достаточно сложно при нали-
чии на рынке массы адекватных постав-
щиков аналогичных услуг. Хотя, даже в
случае использования внешнего SOC как
услуги, внутренний SIEM, интегратив-
ный с аналогичным средстаом во внеш-
нем SOC, лишь ускорит оперативность
реагирования на инциденты кибербез-
опасности и упростит работу специали-
стов с обеих сторон.
Однако, даже если концептуаль-
ное решение о приобретении системы
принято, до внедрения следует прове-
сти анализ рисков и несколько пилот-
ных проектов SIEM.
Пилотный проект SIEM – своего
рода тест-драйв системы, при котором
на вашей сетевой инфраструктуре в
течение некоторого времени (тради-
ционно от двух недель до двух меся-
цев) система функционирует в ограни-
ченном режиме (на нее выводится не
весь пул средств защиты информации,
а лишь несколько), чтобы показать ее
функции и результативность ее ра-
боты. Идеальный пилотный проект –
это несколько пилотных проектов для
сравнения нескольких SIEM между со-
бой по функционалу и результативно-
сти. Несмотря на финансовые условия,
сильно различающиеся в случае систем
такого класса, основная рекоменда-
ция – обращать внимание именно на
функциональные и технические осо-
бенности продукта, на механизмы вза-
имодействия. Поскольку технические
специалисты часто находятся в удале-
нии от экономических вопросов, они
способны показать реальную картину
сопоставления нескольких SIEM-си-
стем, чтобы у вашей компании появи-
лось наиболее удобное и удовлетворя-
ющее вашим требованиям средство.
Даже если концептуальное
решение о приобретении
системы принято, до
внедрения следует провести
анализ рисков и несколько
пилотных проектов SIEM