Архитектура системы управления инцидентами ИБ включает в себя следующие основные компоненты:
• интеграционная платформа;
• аппаратно-программные средства мониторинга и аудита;
• аппаратно-программные средства защиты информации;
• хранилище информации об инцидентах ИБ;
• аналитические инструменты и средства генерации отчетов;
• средства управления и настраиваемые интерфейсы с пользователями.
Построение процесса управления компьютерными инцидентами, возможности повышения его эффективности, а также первые три компонента системы управления были подробно рассмотрены в первой части статьи С. Заречнева, опубликованной в журнале "Информационная безопасность" №5, 2006.
Рассмотрим вкратце пятый компонент – аналитические инструменты и средства генерации отчетов. Система управления компьютерными инцидентами предоставляет развитые и управляемые функции по анализу информации, поступающей из различных источников. Эта информация после соответствующей обработки предоставляется в общий доступ всем сотрудникам, принимающим участие в процессе управления инцидентами ИБ: от момента выявления до применения контрмер. Таким образом, с помощью системы можно получить исчерпывающую информацию о:
• реквизитах, присвоенных инциденту при регистрации;
• событиях, связанных с инцидентом;
• ресурсах, затронутых инцидентом;
• сотрудниках, отвечающих за те или иные процедуры, в результате которых возник инцидент;
• ответственных за те или иные действия по расследованию;
• документах, разработанных в ходе расследования;
• текущем статусе инцидента и др.
Анализ накапливаемых данных проводится в целях выявления предпосылок, ошибок или преднамеренных действий, приводящих к тем или иным нарушениям. Кроме этого, средства анализа позволяют собирать статистику компьютерных инцидентов. Результаты анализа преобразуются в удобочитаемый вид и необходимую форму с помощью интегрированных в систему средств генерации отчетов.
Полный текст второй части статьи (где, в частности, говорится о результатах внедрения системы анализа управления инцидентами ИБ, а также о возможностях построения данной системы) будет опубликован в следующем номере журнала "Information Security/Информационная безопасность", выход которого ожидается в начале февраля.
По вопросам редакционного сотрудничества обращайтесь к Марии Калугиной (kalugina@groteck.ru) по тел. (495) 609 3231
По вопросам размещения материалов в журнале "Информационная безопасность" обращайтесь к Оксане Царенко (marunina@groteck.ru) по тел. (495) 609 3231