Карточка защитной меры

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Формирование отчета о событиях ИБ в инфраструктуре

Цель: анализ предыдущих инцидентов и событий, для совершенствования процесса настройки правил корреляции и предупреждения, или проведения ретроспективного анализа для расследования инцидентов.

Отчеты дают возможность:

исследовать данные об активах, событиях или инцидентах (например, определить, какие активы чаще всего участвуют в инцидентах);
изучить данные об уязвимостях различного типа, обнаруженных в системе (например, динамику среднего времени жизни важных уязвимостей);
оценить процесс управления уязвимостями в организации (например, соотношение количества важных уязвимостей, обрабатываемых автоматически на основе политик и обрабатываемых вручную);
отследить динамику обработки уязвимостей за выбранный период (устраненные, новые, сохраненные без изменений, сохраненные с изменениями);
определить наиболее значимые данные (например, в каком регионе инциденты вызвали самый большой ущерб);
находить в данных закономерности и аномалии, которые невозможно выявить при ручном анализе (например, понять, как защита периметра сети влияет на защищенность конкретного узла).

Отчеты собираются на основе данных о распределении количества событий в зависимости от отдельных источников, пользователей, зарегистрированных исходящих или входящих подключений в SIEM-системе.

Рекомендации к заполнению карточки:

Учесть SIEM-систему в модуле "Активы" (указать название, сертификат соответствия (при необходимости) и иную информацию), привязать к карточке меры как инструмент.
Приложите в карточку защитной меры необходимые отчеты из SIEM, содержащие сведения о зарегистрированных ранее событиях информационной безопасности.
Создайте шаблон регулярной задачи "Анализ отчетов о событиях ИБ" с необходимой периодичностью "(например, "еженедельно").

Область действия: Вся организация

Классификация

Тип

Не определено

Реализация

Вручную

Периодичность

Разово

Ответственный

Не определено

Инструменты

Не определено

Цепочка мер

Настройка регистрации событий безопасности в операционных системах Linux

Настройка централизованного сбора и анализа журналов безопасности Windows

Внедрение системы централизованного сбора событий информационной безопасности (SIEM)

Формирование отчета о событиях ИБ в инфраструктуре

Предшествующие меры

№	Этап -1	Этап -2
1				Настройка регистрации событий безопасности в операционных системах Linux	Внедрение системы централизованного сбора событий информационной безопасности (SIEM)
2				Настройка централизованного сбора и анализа журналов безопасности Windows	Внедрение системы централизованного сбора событий информационной безопасности (SIEM)

Ресурсная оценка

	Качественная оценка			Количественная оценка		Итоговая оценка
	Стоимость	Трудозатраты	Сложность	Стоимость, тыс. руб	Трудозатраты, дней/ год	Итоговая оценка
CAPEX ^?	Средняя	Средние	Средняя	Неизвестно	Неизвестно	8 - Средняя
OPEX ^?	Низкая	Низкие	Низкая	Неизвестно	Неизвестно	8 - Средняя

Связанные риски

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.