Главная
АИ #2 (184)
Статьи журнала АИ #2 (184)
SIEM-система как инструмент обеспечения информационной безопасности в организаци...

SIEM-система как инструмент обеспечения информационной безопасности в организации

Рубрика

Информационные технологии

Ключевые слова

информационная безопасность
защита информации
защита конфиденциальной информации
SIEM-система
информационные технологии
цифровая трансформация
система обнаружения вторжений

Аннотация статьи

В эпоху цифровизации и постоянного роста объема информации, остро встает вопрос о необходимости обеспечения эффективного управления и контроля за информационными потоками в организациях. Информационные системы играют ключевую роль в функционировании большинства организаций, обеспечивая их работу и взаимодействие с клиентами и партнерами. Однако вместе с этим возрастает и риск возникновения угроз информационной безопасности, таких как несанкционированный доступ к данным, атаки на системы и нарушение конфиденциальности. Одним из решений данной проблемы является применение систем класса SIEM, которые предназначены для сбора и анализа данных с различных источников, таких как системы обнаружения вторжений, межсетевые экраны, системы аутентификации и мониторинга, и анализируют их на предмет выявления подозрительных действий и угроз, происходящих в IT-инфраструктуре организации. В данной статье кратко рассмотрим назначение и возможности SIEM-системы.

Текст статьи

SIEM (Security Information and Event Management) - система управления информационной безопасностью (ИБ) и событиями безопасности – это решение, которое позволяет обнаруживать, анализировать и устранять угрозы безопасности раньше, чем они нанесут ущерб деятельности организаций. Внедрение SIEM-системы направлено на повышение уровня ИБ, снижении рисков и повышении эффективности ИТ-инфраструктуры.

На рынке представлены решения от различных отечественных разработчиков, чьи продукты входят в реестр отечественного программного обеспечения и имеют сертификаты ФСТЭК России, что в свою очередь, может облегчить выполнение организациями требований Указа Президента Российской Федерации от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

SIEM-система в организации позволяет решить следующие задачи:

  • контроль и мониторинг информационных систем на предмет нарушений безопасности: SIEM-система позволяет оперативно выявлять подозрительные инциденты, связанные с несанкционированным доступом к данным, попытками взлома или нарушением политик безопасности;
  • повышение эффективности работы подразделения по ИБ: внедрение SIEM-системы позволяет снизить нагрузку на сотрудников подразделения по ИБ, автоматизируя процессы сбора, обработки и анализа данных о событиях безопасности;
  • обеспечение соответствия требованиям регуляторов и стандартов: многие организации обязаны соответствовать различным требованиям в области ИБ, таких как ФСТЭК России и ФСБ России, и стандартам, таким как PCI DSS, FISMA, SOX и др. Внедрение SIEM-системы может помочь в обеспечении выполнения этих требований.

В процессе работы SIEM-система осуществляет:

  • Сбор данных: система собирает информацию о различных событиях, происходящих в IT-среде организации, из различных источников, включая сетевые устройства, серверы, базы данных, системы контроля доступа и т.д.
  • Нормализацию и дополнение: собранные данные нормализуются и дополняются с использованием алгоритмов машинного обучения и обработки данных, чтобы улучшить качество анализа и обнаружения угроз.
  • Корреляцию событий: SIEM идентифицирует и связывает различные события и инциденты, связанные с ИБ, с целью определения потенциальных угроз и уязвимостей.
  • Обнаружение аномалий: система использует алгоритмы машинного обучения для обнаружения аномалий в поведении пользователей и систем, которые могут указывать на возможные угрозы или нарушения.
  • Генерацию предупреждений: при обнаружении инцидентов и аномалий система генерирует предупреждения, которые могут быть отправлены администратору или автоматически применены для устранения проблемы.
  • Создание отчетов и аналитики: система создает отчеты на основе обработанных данных для оценки эффективности системы безопасности и выявления слабых мест.
  • Управление правилами корреляции: администраторы могут создавать и изменять правила корреляции, которые определяют, какие события должны быть связаны, и как система должна обрабатывать их.
  • Интеграцию с другими системами: SIEM интегрируется с другими системами для обеспечения полного контроля над безопасностью IT-инфраструктуры.

Внедрение SIEM-систем

При внедрении SIEM-системы в организацию можно выделить следующие основные этапы:

  • Определение целей и задач внедрения: необходимо четко понимать, какие задачи должна решать SIEM-система и какие результаты ожидаются от ее внедрения.
  • Выбор подходящей SIEM-системы: на рынке представлено множество продуктов данного класса, поэтому важно выбрать систему, которая наилучшим образом соответствует потребностям и возможностям организации.
  • Интеграция SIEM-системы с существующими средствами безопасности: необходимо обеспечить возможность сбора данных от всех источников, участвующих в защите информации.
  • Настройка и оптимизация работы системы: после внедрения SIEM-системы необходимо провести ее настройку и оптимизацию для максимальной эффективности.
  • Обучение персонала работе с SIEM-системой: сотрудники должны быть обучены использованию системы для обнаружения и предотвращения угроз безопасности.
  • Мониторинг и анализ результатов работы SIEM-системы: после внедрения системы необходимо регулярно анализировать ее работу, чтобы выявлять и устранять возможные проблемы и оптимизировать настройки.

Преимущества и недостатки внедрения SIEM-систем

Преимущества:

  • Повышение эффективности ИБ в организации: SIEM-системы могут помочь сократить время на обнаружение и устранение инцидентов, благодаря автоматизации процессов мониторинга и анализа.
  • Экономия ресурсов: внедрение SIEM-системы может снизить затраты на обслуживание IT-инфраструктуры, так как системы автоматизируют некоторые процессы и предупреждают о потенциальных угрозах.

Недостатки:

  • Сложность настройки: настройка и интеграция SIEM-системы может быть сложной задачей, требующей определенных знаний и опыта.
  • Высокая стоимость: стоимость SIEM-решений может быть значительной, особенно для небольших организаций.
  • Требование ресурсов: для эффективной работы системы требуется наличие достаточного количества ресурсов, таких как вычислительная мощность и пропускная способность сети.
  • Сложность обучения: специалистам по безопасности может потребоваться время на изучение новых возможностей и особенностей работы с SIEM-системой.

Таким образом, кратко были рассмотрены задачи, которые решает SIEM-систем, ее возможности, этапы внедрения, преимущества и недостатки. Тем не менее, внедрение SIEM-систем является важным шагом для обеспечения надежной защиты информационных систем организаций от современных угроз и вызовов. Правильно выбранная и внедренная SIEM-система позволит улучшить мониторинг и анализ событий безопасности, а также повысить эффективность работы подразделений по ИБ.

Список литературы

  1. Указ Президента Российской Федерации от 21.07.2020 № 474 «О национальных целях развития Российской Федерации на период до 2030 года» // КонсультантПлюс: справочно-правовая система [Офиц. сайт]. URL: http://www.consultant.ru/ (дата обращения: 09.01.2024).
  2. Указ Президента Российской Федерации от 30.03.2022 №166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» // КонсультантПлюс: справочно-правовая система [Офиц. сайт]. URL: http://www.consultant.ru/ (дата обращения: 09.01.2024).
  3. Указ Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» // КонсультантПлюс: справочно-правовая система [Офиц. сайт]. URL: http://www.consultant.ru/ (дата обращения: 09.01.2024).
  4. Приказ Минкомсвязи Российской Федерации от 01.04.2015 № 96 «Об утверждении плана импортозамещения программного обеспечения» // КонсультантПлюс: справочно-правовая система [Офиц. сайт]. URL: http://www.consultant.ru/ (дата обращения: 09.01.2024).

Поделиться

887

Токарев М. Н. SIEM-система как инструмент обеспечения информационной безопасности в организации // Актуальные исследования. 2024. №2 (184). Ч.I.С. 51-53. URL: https://apni.ru/article/8127-siem-sistema-kak-instrument-obespecheniya-inf

Похожие статьи

Актуальные исследования

#29 (211)

Прием материалов

13 июля - 19 июля

Остался последний день

Размещение PDF-версии журнала

24 июля

Размещение электронной версии статьи

сразу после оплаты

Рассылка печатных экземпляров

6 августа