КАК ПРАВИЛЬНО ВЫБРАТЬ И ВНЕДРИТЬ SIEM-СИСТЕМУ

Юрков Андрей Александрович1, Ивайловский Евгений Олегович1
1Иркутский государственный университет, бакалавр технических наук

Аннотация
Данная статья посвящена системам управления информационной безопасностью (SIEM), которые стали неотъемлемой частью стратегии кибербезопасности организаций. Они предоставляют мощные средства мониторинга и анализа событий, необходимые для обнаружения и реагирования на угрозы информационной безопасности. Однако выбор и внедрение SIEM-системы являются сложными задачами, требующими внимательного анализа и стратегического подхода.
Цель данной статьи - предоставить практическое руководство по выбору и внедрению SIEM-системы. Мы рассмотрим ключевые этапы этого процесса, начиная с определения требований и заканчивая оптимизацией и совершенствованием системы после внедрения.

Ключевые слова: , , , , , , , , , ,

Рубрика: 05.00.00 ТЕХНИЧЕСКИЕ НАУКИ

Библиографическая ссылка на статью:
Юрков А.А., Ивайловский Е.О. Как правильно выбрать и внедрить SIEM-систему // Современные научные исследования и инновации. 2023. № 9 [Электронный ресурс]. URL: https://web.snauka.ru/issues/2023/09/100743 (дата обращения: 20.04.2024).

SIEM-системы, основные функции:

SIEM, или Система Управления Информационной Безопасностью и Событиями (англ. Security Information and Event Management), представляет собой комплексное программное обеспечение, которое объединяет в себе функции мониторинга информационной безопасности, сбора, анализа и управления событиями, происходящими в информационной системе организации или предприятия. SIEM-система позволяет организациям эффективно отслеживать и реагировать на потенциальные угрозы информационной безопасности.

Основные компоненты и функции SIEM-системы включают:

  1. Сбор данных: SIEM собирает данные о событиях и активности в информационной системе, такие как журналы событий, данные аутентификации, сетевой трафик и многое другое. Эти данные собираются из различных источников.
  2. Анализ данных: Собранные данные подвергаются анализу с использованием различных методов и алгоритмов. Целью анализа является выявление аномалий, необычных активностей или потенциальных угроз безопасности.
  3. Корреляция событий: SIEM позволяет выявлять связи между различными событиями и создавать цепочки событий, которые могут указывать на сложные атаки или инциденты.
  4. Уведомления и предупреждения: SIEM предоставляет возможность отправки уведомлений и предупреждений администраторам или службе безопасности о выявленных угрозах или инцидентах.
  5. Хранение данных: SIEM системы обычно сохраняют данные о событиях в долгосрочном хранилище, что позволяет проводить ретроспективный анализ и удерживать информацию для целей расследования и соответствия.
  6. Отчетность и аналитика: SIEM предоставляет возможность создания отчетов и анализа данных для оценки общей безопасности информационной системы и для соответствия регулятивным требованиям.

SIEM-системы существенно развивались со времени своего появления и стали неотъемлемой частью стратегии кибербезопасности организаций. Они помогают выявлять и предотвращать атаки, обеспечивать конфиденциальность и целостность данных, а также обеспечивать соответствие требованиям законодательства и стандартам безопасности.

Этапы выбора SIEM-системы

1. Определение целей и требований:

На этом этапе важно четко определить, какие цели вы хотите достичь с помощью SIEM-системы. Это могут быть следующие цели:

  • Мониторинг безопасности: Выявление и предотвращение инцидентов информационной безопасности.
  • Соблюдение нормативных требований: Обеспечение соответствия законодательству и стандартам отрасли.
  • Улучшение производительности: Анализ данных для оптимизации бизнес-процессов.
  • Мониторинг доступности и производительности сети: Обеспечение надежности сетевой инфраструктуры.

Также определите требования к системе, такие как:

  • Типы данных, которые вы хотите мониторить (логи, события, сетевой трафик и т.д.).
  • Объемы данных, которые система должна обрабатывать.
  • Уровень защиты данных и конфиденциальности.
  • Требования к масштабируемости и производительности.
  • Интеграция с существующей инфраструктурой и приложениями.

2. Исследование рынка:

Проведите исследование рынка SIEM-систем. Рассмотрите различных вендоров и их продукты. Это включает в себя:

  • Поиск и анализ отзывов и обзоров от других организаций.
  • Изучение рейтингов и отчетов от аналитических компаний.
  • Составление списка потенциальных поставщиков.

3. Оценка бюджета:

Определение бюджета на и внедрение SIEM-системы. Учтитываются следующие расходы:

  • Стоимость лицензий и оборудования.
  • Затраты на обучение персонала и консультационные услуги.
  • Расходы на интеграцию с существующими системами.
  • Расходы на поддержку и обновления.

Внедрение системы управления информационной безопасностью (SIEM, Security Information and Event Management) – это важный этап для обеспечения безопасности информации в организации. Для успешного внедрения SIEM-системы следует руководствоваться следующими шагами:

Внедрение SIEM-системы

1.Подготовка к внедрению SIEM:

  • Оценка потребности и цели вашей организации в области безопасности информации.
  • Создание команды проекта, включающая специалистов по безопасности, сетевым администраторам и аналитикам.
  • Определение бюджета и ресурсов для проекта.

2. Выбор SIEM-платформы:

  • Исследование рынка SIEM-решений и выберите платформу, которая соответствует потребностям вашей организации.
  • Анализ факторов, такие как масштабируемость, поддержка протоколов, интеграция с другими системами и стоимость лицензий.

3. Планирование реализации:

  • Разработка плана реализации, включая расписание, этапы и мероприятия по обучению персонала.
  • Определение, данных и событий, которые будут мониториться SIEM-системой.

4. Установка и настройка:

  • Установка SIEM-платформы на соответствующее оборудование или виртуальные машины.
  • Настройка системы в соответствии с бизнес-процессами и требованиями безопасности организации.

5. Интеграция с другими системами:

  • Обеспечение интеграции SIEM-системы с другими безопасностями и сетевыми устройствами.
  • Настройка, сбор данных из различных источников, таких как серверы, маршрутизаторы, антивирусные программы и др.

6. Обучение персонала:

  • Обучение сотрудников, ответственных за мониторинг и анализ событий, работе с SIEM-системой.
  • Обучение должно включать в себя как технические аспекты, так и стратегические знания о безопасности.

7. Мониторинг и анализ:

  • Мониторинг событий и анализ результатов.
  • Реагируйте на инциденты и угрозы в реальном времени, используя данные, собранные SIEM-системой.

8. Оптимизация и совершенствование:

  • Анализируйте производительность SIEM-системы и ее эффективность в обнаружении угроз.
  • Внесите необходимые изменения и обновления для улучшения работы системы.

9. Аудит и соответствие нормативам:

  • Проводите аудит системы для обеспечения соблюдения нормативных требований и стандартов безопасности.
  • Поддержка документации и журналов событий в соответствии с требованиями регуляторов.

10. Мониторинг угроз и анализ инцидентов:

  • Регулярно анализируйте события, выявляйте необычные активности и проводите расследования инцидентов.

11. Улучшение и оптимизация:

  • Оптимизируйте SIEM-систему на основе опыта и обратной связи для более эффективного выявления и реагирования на угрозы.

12. Регулярные обновления и обслуживание:

  • Поддерживайте SIEM-систему актуальной с помощью регулярных обновлений и патчей.

13. Мониторинг результатов:

  • Оценивайте результаты и показатели эффективности SIEM-системы и внесите необходимые коррективы.

14. Сотрудничество с другими отделами:

  • Вовлекайте другие отделы (например, юридический, риск-менеджмент) для совместной работы над безопасностью информации.

Внедрение SIEM-системы – это долгосрочный и непрерывный процесс, направленный на обеспечение безопасности информации в организации. Важно не только установить систему, но и поддерживать ее работоспособность, а также реагировать на изменяющиеся угрозы и требования безопасности.


Библиографический список
  1. Абденов А.Ж. Анализ, описание и оценка функциональных узлов SIEM-системы: учебное пособие / А.Ж. Абденов, В.А. Трушин, К. Сулайман. – Новосибирск : Новосибирский государственный технический университет, 2018. – 122 с. – ISBN 978-5-7782-3603-5. – URL: https://ibooks.ru/bookshelf/367742/reading (дата обращения: 03.09.2023). – Текст: электронный.
  2. Шилов, А. К. Управление информационной безопасностью : учебное пособие : [16+] / А.К.Шилов ; Южный федеральный университет, Институт компьютерных технологий и информационной безопасности. – Ростов-на-Дону ; Таганрог : Южный федеральный университет, 2018. – 121 с. : ил. – Режим доступа: по подписке. – URL: https://biblioclub.ru/index.php?page=book&id=500065 (дата обращения: 05.09.2023). – Библиогр.: с. 81-82. – ISBN 978-5-9275-2742-7. – Текст : электронный.

Количество просмотров публикации: Please wait

Все статьи автора «Юрков Андрей Александрович»


© Если вы обнаружили нарушение авторских или смежных прав, пожалуйста, незамедлительно сообщите нам об этом по электронной почте или через форму обратной связи.

Связь с автором (комментарии/рецензии к статье)

Оставить комментарий

Вы должны авторизоваться, чтобы оставить комментарий.

Если Вы еще не зарегистрированы на сайте, то Вам необходимо зарегистрироваться:
  • Регистрация