Информационное пространство наполнено вирусными, шпионскими и киберпрограммами. Даже средний и малый бизнес чувствуют угрозу и стараются грамотно защитить конфиденциальные сведения. Для своевременного обнаружения и устранения угроз необходимо выполнять мониторинг безопасности.
Мониторинг информационной безопасности – это сбор и исследование сведений для обнаружения возможных атак. Его также называют мониторингом событий безопасности. Событие – такое состояние системы, которое означает возможную угрозу или нарушение работы системы безопасности.
Система мониторинга информационной безопасности
Процесс сбора и обработка сведений происходит при помощи систем мониторинга информационной безопасности (СМИБ). Исследование сведений в реальном времени проводят SIEM-системы. Они собирают сведения из разных источников:
- DLP-системы,
- IDS-системы,
- антивирусы,
- программное обеспечение,
- журналы событий,
- другие источники.
Чем больше предприятие, тем больше может быть источников. СМИБ анализирует полученные сведения и выдает информацию о слабых местах защиты, попытках незаконного доступа, вирусах, неполадках в работе систем.
Компоненты СМИБ
СМИБ состоит из нескольких компонентов, каждый из которых имеет определенные функции:
- Программно-технический компонент. Отвечает за сбор данных из разных источников, их обработку и хранение.
- Документационный компонент. Для корректной работы системы нужно разработать документы, которые классифицируют события и порядок действий при различных инцидентах.
- Кадровый компонент. Среди сотрудников компании нужно выбрать ответственных. Они будут контролировать работу СМИБ, просматривать итоги работы системы и реагировать на особые виды событий.
Этапы создания СМИБ
Для установки СМИБ нужно пройти следующие шаги:
- Исследовать автоматизированную систему. Определяются источники сведений для СМИБ, способы их сбора и обработки.
- Создать технический проект.
- Обучить работников, которые будут работать с СМИБ.
- Провести тестовый запуск СМИБ.
После удачного тестового запуска происходит промышленный запуск СМИБ.
Часто компании хотят использовать как можно больше источников для сбора данных системой мониторинга. Однако стоит учитывать, что это может привести к перегрузке серверов, и СМИБ будет работать некорректно. Поэтому важно грамотно распределить нагрузку.
Услуги по мониторингу информационной безопасности оказывают лицензированные организации. Для такой деятельности требуется получить лицензию ФСТЭК на мониторинг.
