Оптимизация затрат и повышение эффективности работы отдела ИБ за счет внедрения SIEM системы

Лопырев П.В.
выпускник группы CISO-02
Школы IT-менеджмента
РАНХиГС при Президенте РФ.

В современном обществе информация имеет коммерческую стоимость и является широко распространенным, почти обычным товаром. Информацию производят,  хранят, транспортируют, продают и покупают, а следовательно её можно отнести к категории  «товара». Как и любой другой товар, информацию можно украсть и подделать. Следовательно, необходимо обеспечить безопасность информации, но обеспечение безопасности является достаточно дорогим процессом. Современная экономика диктует свои правила, заставляющие коммерческие организации оптимизировать свои затраты, включая затраты и на информационную безопасность. Поэтому при применении решений по обеспечению защиты информации, целесообразно будет их рассмотреть с позиции экономической выгоды вложенных средств. В работе современной службы информационной безопасности используется большое количество технических и программных средств для обеспечения защиты информации. Все эти средства регистрируют большое количество событий связанных с безопасностью: удачные и не удачные попытки аутентификации, события системы антивирусной защиты, систем DLP, IDS и т. д, эти данные хранятся разрозненно и требуют для их обработки больших временных затрат, таким образом, отрывая работников от других не менее важных задач.

Цель данной работы, показать способы для повышения эффективности и снижения финансовых затрат, с помощью SIEM системы. Основные задачи, которые стояли во время дипломного проектирования:

• дать определение SIEM системам;
• определить требования к решению;
• произвести обзор имеющихся решений на рынке;
• сделать выбор и внедрить решение удовлетворяющее требованиям отдела в корпоративную информационную систему;
• произвести оценку экономического эффекта, от внедрения;

В результате выполнения поставленных задач, в процессе выполнения проекта, было проведена оценка временных затрат работников отдела на выполнение следующей задачи «аудит событий безопасности в информационных системах». Был проведен аудит имеющихся систем информационной безопасности и определенны требования к SIEM системе исходя из показателя количество поступающих событий в систему.
Для выбора решения был сделан обзор следующих решений имеющихся на рынке:

• HP Arcsight Express;
• IBM Security QRadar SIEM;
• Splunk;
• Alienvault OSSIM;

Проведена оценка необходимых затрат для приобретения одной из  данных систем. В процессе сравнения этих систем, был сделан выбор в пользу решения Alienvault OSSIM и произведено его внедрение. В процессе внедрения решения, было настроено его взаимодействие со следующими системами информационной безопасности:

• система антивирусной защиты;
• система по контролю доступа с съемным устройствам;
• система по контролю доступа в сеть Интернет;
• система безопасности электронной почты;
• система удаленного доступа;

Было настроено перенаправление событий безопасности с рабочих станций пользователей и серверов.

Результатом внедрения SIEM системы, стало снижение временных затрат на обработку событий безопасности на 40%. В результате этого работники отдел получили возможность выполнять больше задач, без привлечения новых кадров. Стоит отметить, что внедрение SIEM системы, это достаточно длительный процесс, которые требует больших первоначальных затрат как временных так и финансовых если рассматривать коммерческие решения, но полученный положительный эффект, полностью оправдал эти затраты.

Другим положительным эффектом, стал проведенный аудит имеющихся систем, который позволил выявить проблемные системы, имеющие не корректные настройки. Перенастройка этих систем позволила использовать их с большей эффективностью. Так же были даны рекомендации по модернизации этих систем.