Мониторинг безопасности информационных систем


Аудит и мониторинг безопасности

Для организаций, компьютерные сети которых насчитывают не один десяток компьютеров, функционирующих под управлением различных ОС, на первое место выступает задача управления множеством разнообразных защитных механизмов в таких гетерогенных корпоративных сетях. Сложность сетевой инфра-стуктуры, многообразие данных и приложений приводят к тому, что при реализации системы информационной безопасности за пределами внимания администратора безопасности могут остаться многие угрозы. Поэтому необходимо осуществление регулярного аудита и постоянного мониторинга безопасности ИС.

Аудит безопасности информационной системы

Понятие аудита безопасности. Аудит представляет собой независимую экспертизу отдельных областей функционирования предприятия. Одной из составляющих аудита предприятия является аудит безопасности его ИС.

В настоящее время актуальность аудита безопасности ИС резко возросла. Это связано с увеличением зависимости организаций от информации и ИС. Возросла уязвимость ИС за счет повышения сложности элементов ИС, появления новых технологий передачи и хранения данных, увеличения объема ПО. Расширился спектр угроз для ИС из-за активного использования предприятиями открытых глобальных сетей для передачи сообщений и транзакций.

Аудит безопасности ИС дает возможность руководителям и сотрудникам организаций получить ответы на вопросы: • как оптимально использовать существующую ИС при развитии бизнеса; • как решаются вопросы безопасности и контроля доступа; • как установить единую систему управления и мониторинга ИС; • когда и как необходимо провести модернизацию оборудования и ПО; • как минимизировать риски при размещении конфиденциальной информации в ИС организации, а также наметить пути решения обнаруженных проблем.

На эти и другие подобные вопросы нельзя мгновенно дать однозначный ответ. Достоверную и обоснованную информацию можно получить, только рассматривая все взаимосвязи между проблемами. Проведение аудита позволяет оценить текущую безопасность ИС, оценить риски, прогнозировать и управлять их влиянием на бизнес-процессы организации, корректно и обоснованно подойти к вопросу обеспечения безопасности информационных ресурсов организации.

Цели проведения аудита безопасности ИС: • оценка текущего уровня защищенности ИС; • локализация узких мест в системе защиты ИС; • анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС; • выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС; • оценка соответствия ИС существующим стандартам в области информационной безопасности.

В число дополнительных задач аудита ИС могут также входить выработка рекомендаций по совершенствованию политики безопасности организации и постановка задач для ИТ персонала, касающихся обеспечения защиты информации.

Проведение аудита безопасности информационных систем

Работы по аудиту безопасности ИС состоят из последовательных этапов, которые в целом соответствуют этапам проведения комплексного ИТ аудита автоматизированной системы: • инициирования процедуры аудита; • сбора информации аудита; • анализа данных аудита; • выработки рекомендаций; • подготовки аудиторского отчета.

Аудиторский отчет является основным результатом проведения аудита. Отчет должен содержать описание целей проведения аудита, характеристику обследуемой ИС, результаты анализа данных аудита, выводы, содержащие оценку уровня защищенности АС или соответствия ее требованиям стандартов, и рекомендации по устранению существующих недостатков и совершенствованию системы защиты.

Мониторинг безопасности системы

Функции мониторинга безопасности ИС выполняют средства анализа защищенности и средства обнаружения атак. Средства анализа защищенности исследуют настройки элементов защиты ОС на рабочих станциях и серверах, БД. Они исследуют топологию сети, ищут незащищенные или неправильные сетевые соединения, анализируют настройки МЭ.

В функции системы управления безопасностью входит выработка рекомендаций администратору по устранению обнаруженных уязвимостей в сетях, приложениях или иных компонентах ИС организации.

Использование модели адаптивного управления безопасностью сети дает возможность контролировать практически все угрозы и своевременно реагировать на них, позволяя не только устранить уязвимости, которые могут привести к реализации угрозы, но и проанализировать условия, приводящие к их появлению.

Эта статья была опубликована Среда, Декабрь 8th, 2010 at 17:04 в рубрике Защита от вирусов. Вы можете следить за ответами через RSS 2.0 feed.

ИБ. НПА. Новые требования к лицензиатам ФСТЭК - мониторинг

В предыдущей статье мы рассмотрели общие изменения требований к лицензиатам, а также требования Перечню оборудования пентестеров. В этой статье посмотрим на требования в рамках деятельности “в) услуги по мониторингу информационной безопасности средств и систем информатизации”Рассмотрение самого термина вынес в приложение. А в начале мы рассмотрим варианты мониторинга на практике:1 вариант. SOC. Тут у нас комплекс средств, персонала и процессов, которые собирают информацию, анализируют и реагируют. Как правило для автоматизации и формализации процессов SOC, а также для красивого представления этой информации заказчику – используется дополнительное web приложение, BI.  Видимо регулятор думал только про этот вариант мониторинга ИБ, когда готовил Перечень оборудования необходимого лицензиатам.  2 вариант. SIEM.  В данном случае тоже оказывается услуга мониторинга и реагирования, но не применяется никаких надстроек, только коробочный SIEM, в который поставщик услуги не может вносить изменения. Никаких публичных сервисов не применяется. Отчет заказчику на бумаге раз в месяц. Один оператор в одной консоли управления.  3 вариант. Узконаправленный мониторинг. Например, есть федеральная защищенная сеть и поставщик услуги должен мониторить только криптошлюзы. Например, криптошлюзы vipnet и система их мониторинга statewatcher. Никаких публичных сервисов не применяется. Отчет заказчику на бумаге раз в месяц. Один оператор в одной консоли управления.  (аналогично возможен узконаправленный мониторинг других типов СЗИ в своих специализированных консолях – не SIEM).4 вариант.  Ручной или полу-ручной мониторинг. Фактически любой аутсорсер регулярно производит хотя бы минимальный мониторинг ИБ: просматривает журналы антивируса или журналы ОС. Зачастую это приходящий админ, который просматривает журналы на местах. Иногда это автоматический сбор журналов в хранилище с последующим ручным анализом. В общем случае это надо рассматривать как взаимодействие АРМ поставщика услуг и управляемого узла заказчика. Многие региональные компании / учреждения и не могут позволить себе более крутого мониторинга. Причем, если представителей первого варианта от 4 до 15. То остальным мониторингом Иб занимается, наверное, половина текущих лицензиатов ФСТЭК, а это около 1000. Давайте теперь посмотрим на требуемый к 1 июля 2017 года Перечень оборудования для этих лицензиатов:

А) Межсетевой экран уровня веб-сервера. Контроль и фильтрация в соответствии с заданными правилами информационных потоков по протоколу передачи гипертекста, проходящих через него. Применяется на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов (сервера). Должен иметь сертификат ФСТЭК России, удостоверяющий его соответствие Требованиям к межсетевым экранам, утверждённым приказом ФСТЭК России от 9 февраля 2016 г. N 9, не ниже чем по 4 классу защиты

Как я специально отмечал, в вариантах 2-4 нет никаких web серверов и публичных сервисов. Данное средство не применимо. Избыточное требование.

Б) Межсетевой экран уровня сети. Контроль и фильтрация в соответствии с заданными правилами информационных потоков, проходящих через него. Применяется на физической границе (периметре) информационной системы или между физическими границами сегментов информационной системы. Должен иметь сертификат ФСТЭК России, удостоверяющий его соответствие Требованиям к межсетевым экранам, утверждённым приказом ФСТЭК России от 9 февраля 2016 г. N 9, не ниже чем по 4 классу защиты

Так как во всех вариантах предполагается удаленное взаимодействие поставщика услуги с заказчиком (как минимум удаленное управление), то требование логичное. Не должен быть сапожник без сапог.

В) Средство (средства) антивирусной защиты, предназначенное (предназначенные) для применения на серверах и автоматизированных рабочих местах информационных систем, и средство (средства) их централизованного администрирования. Должно (должны) иметь сертификат (сертификаты) ФСТЭК России, удостоверяющий (удостоверяющие) соответствие средства (средств) Требованиям к средствам антивирусной защиты, утверждённым приказом ФСТЭК России от 20 марта 2012 г. N 28, не ниже чем по 4 классу защиты.

Также логичное требование. На узлах оператора услуги используем антивирус.

Г) Система обнаружения вторжений.  Автоматизированное обнаружение (за счет сбора и анализа данных сетевого трафика) в информационных системах действий, направленных на несанкционированный доступ к информации, специальные воздействия на неё (носители информации, средства вычислительной техники), и реагирование на них. Должна иметь сертификат ФСТЭК России, удостоверяющий соответствие средства Требованиям к системам обнаружения вторжений, утверждённым приказом ФСТЭК России от 6 декабря 2011 г. N 638, не ниже чем по 4 классу защиты

Обнаруживать вторжения откуда? D вариантах 2-4, у оператора нет никаких web серверов и публичных сервисов. А внутри сети несколько доверенных пользователей. Данное средство не применимо. Избыточное требование.

Д) Средство автоматизированного реагирования на инциденты информационной безопасности. Автоматизированное выявление инцидентов информационной безопасности по заданным индикаторам, идентификация типовых инцидентов и их локализация.

Посмотрите определения в приложении. Автоматическое реагирование не входит в понятие мониторинг ИБ ни в одном из них!!  Заказчику не всегда нужно реагирование. Если это критический объект, автоматическое реагирование может быть вообще запрещено.  Избыточное требование.

Е) Замкнутая система (среда) предварительного выполнения программ (обращения к объектам файловой системы). Изолированная информационная система (её сегмент), представляющая собой среду безопасного выполнения программ (обращения к объектам файловой системы) в целях анализа влияния указанных программ (объектов файловой системы) на безопасность информации

Это такое хитрое название для песочницы. Но в вариантах 2-4 она не применима. Песочницы и проверка подозрительных файлов, это как правило отдельная услуга, заказываемая независимо от мониторинга ИБ.  

Ж) Система управления информацией об угрозах безопасности информации. Сбор и управление информацией, поступающей из различных источников, об угрозах безопасности информации, оповещение операторов информационной системы, предназначенной для мониторинга информационной безопасности, а также операторов средств и систем информатизации, в отношении которых осуществляется мониторинг информационной безопасности, об актуальных угрозах безопасности информации

Быть в курсе актуальных угроз ИБ и уведомлять о них заказчиков, это нормально для любого лицензиата ТЗКИ. Но зачем для этого отдельная Система? Посмотрите на ГосСОПКА и FinCERT – обмен идет по электронной почте. Никакой специальной системы для этого не требуется.  Почему сбор информации именно из разных источников?   Если источник хороший, то достаточно и одного. И каким может быть подтверждение наличия у заказчика такой системы?  Лицензия, патент, приказ? В общем – под большим вопросом

З) Система управления событиями безопасности информации. SIEM Автоматизированное обнаружение (за счет сбора и анализа данных о событиях безопасности, регистрируемых программными и программно-техническими средствами) в средствах и системах информатизации признаков несанкционированного доступа к информации и специального воздействия на неё (носители информации, средства вычислительной техники). Должна иметь сертификат соответствия ФСТЭК России

Для варианта 1-2 применимо. Для вариантов 3-4 SIEM не применим и не нужен. Избыточное требование.Опять же, на соответствие каким требованиям должна быть сертификация. Достаточно ли, например, сертификации на требования к МЭ или САВЗ? Ведь там сертифицирован программный комплекс, включающий в том числе систему управления, которая умеет собирать события безопасности.  Тогда формально корпоративного антивируса в минимальной комплектации с системой управления будет достаточно для этого пункта.

И) Система управления инцидентами информационной безопасности. Централизованная регистрация событий (инцидентов) информационной безопасности средств и систем информатизации, регистрация обращений операторов средств и систем информатизации, в отношении которых осуществляется мониторинг информационной безопасности, оповещение уполномоченных пользователей об инцидентах информационной безопасности, о возможных мерах по их нейтрализации и контроль обработки (нейтрализации) инцидентов информационной безопасности средств и систем информатизации, координация действий участников процесса нейтрализации инцидентов информационной безопасности, формирование и модификация шаблонов инцидентов информационной безопасности, в том числе инструкций по их нейтрализации

Мониторинг ИБ и управление инцидентами ИБ – это несвязанные друг с другом термины. В приказах ФСТЭК – это разные блоки мер защиты. Заказчику мониторинга в вариантах 2-4 зачастую этого не требуется. Избыточное требование.

К) Средство (средства) защиты каналов передачи данных. Должно (должны) обеспечивать конфиденциальность и целостность данных, передаваемых по каналам связи между информационной системой, предназначенной для управления информационной безопасностью, и средствами, и системами информатизации, в отношении которых осуществляется мониторинг. Должно (должны) иметь сертификат (сертификаты) соответствия ФСБ России

С одной стороны, защита каналов связи между клиентом и заказчиком – это логичное требование. С другой стороны, требовать предъявить СКЗИ на этапе получения лицензии – глупо. На российском рынке более 30 вендоров СКЗИ и все они не совместимы между собой. Либо оператору услуги придется покупать все возможные варианты заранее, либо, что более вероятно, получать нужный вариант в момент заключения договора или контракта

К тому же, что даст ФСТЭК России формальное предъявление лицензиатом 1 сертифицированного vipnet клиента? Этого будет достаточно

Гораздо логичнее добавить в 17 и 21 приказы требования того, что необходима защита событий безопасности, удаленного управления, результатов мониторинга ИБ и т.п. Чтобы заказчик услуги потом требовал это от оператора услуги. Л) Информационная система, предназначенная для мониторинга информационной безопасности. Информационная система, предназначенная для оказания услуг по мониторингу информационной безопасности средств и систем информатизации, в состав которой входят средства и системы (или их компоненты), содержащиеся в настоящем перечне под NN 27-32, и в которой приняты меры по защите информации для первого класса защищенности государственных информационных систем в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17. Должна располагаться по адресу осуществления лицензируемого вида деятельностиТребованием маловыполнимое в вариантах мониторинга 2-3, когда используются некоторые коробочные решения без собственной разработки. В конце концов требование защиты по ГИС класса К1 (а также СЗИ 4 класса защищенности) не логично, если осуществляется мониторинг ИСПДн, например, класса К3. Получается, что система мониторинга на стороне оператора будет стоить гораздо дороже системы мониторинга на стороне Заказчика. А единственная причина почему аутсорсинг и услуги по мониторингу ИБ развиваются хоть какими-то вялыми темпами заключается в небольшой экономии.  Необходимо сформулировать требование так, чтобы в системе мониторинга выполнялись меры защиты, соответствующие классу / уровню защищаемой информационной системы. Вывод в целом. В Перечне ФСТЭК России с оборудованием необходимым лицензиатам для оказания услуг, имеются некорректные и избыточные требования, которые не могут быть выполнены иными лицензиатами, кроме операторов 1 вариант – SOC. В связи с тем, что услуги SOC (как и ГосСОПКа) дорогие и рассчитаны исключительно на крупные корпорации и федеральные ведомства (по словам владельцев SOC с SOC-forum) - деятельность многих других лицензиатов ФСТЭК окажется вне закона, а региональные   компании, гос. органы и учреждения полностью лишатся возможности мониторинга ИБ.Предлагаю исключить из перечня избыточные требования к деятельности по мониторингу ИБ, либо определять в официальных документах, что данные требования распространяются только на особый вид мониторинга ИБ, на базе центров оперативного управления ИБ.   Часть требований к оборудованию перенести в приказы ФСТЭК №17, 21, 31 как требования к процессам мониторинга.

ГОСТ Р 53114-2008

“А.19 мониторинг: Систематическое или непрерывное наблюдение за объектом с обеспечением контроля и/или измерения его параметров, а также проведение анализа с целью предсказания изменчивости параметров и принятия решения о необходимости и составе корректирующих и предупреждающих действий.

3.5.2 мониторинг информационной безопасности организации; мониторинг ИБ организации: Постоянное наблюдение за процессом обеспечения информационной безопасности в организации с целью установить его соответствие требованиям по информационной безопасности.”

ГОСТ Р 50922-2006

“2.8.7 мониторинг безопасности информации: Постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации.”

ГОСТ Р ИСО/МЭК 27001—2006

“А.10.10 Мониторинг - Цель: Обнаруживать несанкционированные действия, связанные с обработкой информации

A.10.10.1 (Ведение журналов аудита) Должны быть обеспечены ведение и хранение в течение определенного периода времени журналов аудита, регистрирующих действия пользователей, нештатные ситуации и события информационной безопасности, в целях помощи в будущих расследованиях и проведении мониторинга контроля доступа

A.10.10.2 (Мониторинг использования средств обработки информации) Должны быть установлены процедуры, позволяющие вести мониторинг и регулярный анализ результатов мониторинга использования средств обработки информации

A.10.10.3 (Защита информации журналов регистрации) Средства регистрации и информация журналов регистрации должны быть защищены от вмешательства и несанкционированного доступа

A.10.10.4 (Журналы регистрации действий администратора и оператора) Действия системного администратора и системного оператора должны быть регистрируемыми

A.10.10.5 (Регистрация неисправностей) Неисправности должны быть зарегистрированы, проанализированы и устранены

A.10.10.6 (Синхронизация часов) Часы всех соответствующих систем обработки информации в пределах организации или охраняемой зоны должны быть синхронизированы с помощью единого источника точного времени”

Приказ ФСТЭК №31

“16.8. В ходе контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления осуществляются:

контроль за событиямибезопасности и действиями персонала в автоматизированной системе управления;

контроль (анализ) защищенности информации, обрабатываемой в автоматизированной системе управления, с учетом особенностей ее функционирования;

анализ и оценка функционирования системы защиты автоматизированной системы управления, включая выявление, анализ и устранение недостатков в функционировании системы защиты автоматизированной системы управления;

документирование процедур и результатов контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления;

принятие решения по результатам контроля (мониторинга) за обеспечением уровня защищенности автоматизированной системы управления о необходимости пересмотра требований к защите информации в автоматизированной системе управления и доработке (модернизации) ее системы защиты.

Регистрация событийбезопасности РСБ.5 - Мониторинг(просмотр, анализ) результатов регистрации событий безопасности и реагирование на них”

PS: Другие комментарии к новым требованиям можно почитать у Алексея Лукацкого

Системы мониторинга событий безопасности

Главная » Каталог СЗИ

FortiSIEM Мощная технология управления информационной безопасностью и событиями MaxPatrol SIEM предлагает механизм передачи экспертизы ИБ напрямую в продукт и позволяет получить эффективную SIEM-систему даже с минимальными ресурсами эксплуатации. Компания «Биткоп» - это российский разработчик программного обеспечения, с 2008 года специализирующийся на создании автоматизированных систем контроля персонала и учета его продуктивности. PA LightCyber Magna - платформа обнаружения атак на базе поведенческого анализа, таргетированные атаки могут обойти старые средства предотвращения вторжений, а затем использовать неконтролируемый доступ к сетевым ресурсам. Microsoft Advanced Threat Analytics Microsoft Advanced Threat Analytics позволяет оценить ситуацию в реальном времени в наглядном представлении временной шкалы атак, а встроенные функции для обучения выявлять подозрительное поведение пользователей и устройств. Zecurion Staff Control ведёт учёт рабочего времени и журналы действий сотрудников на рабочих местах, оценивает эффективность и проверяет деятельность персонала на соответствие корпоративным стандартам и политикам безопасности. ПК «Стахановец» — программный комплекс, предназначенный для руководителей, HR-директоров, службы информационной безопасности, IT-специалистов. Exabeam Advanced Analytics Решение дает возможность детектировать и останавливать кибератаки, которые были бы незаметны для большинства компаний. Также Exabeam повышает эффективность отделов ИБ, позволяя быстро идентифицировать ненадежных пользователей и опасное поведение.

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

Мониторинг событий информационной безопасности - компания АСТ

Все компоненты ИТ-инфраструктуры и каждая система постоянно предоставляют данные о своем состоянии, записывают их в журналы событий. Именно они подлежат сбору, обработке и анализу. Эта информация является ключевой при выявлении инцидентов ИБ и возникающих проблем, именно на ее основе возможно вовремя принять эффективные меры для пресечения и устранения нежелательных действий и их последствий.

Самым важным фактором при обеспечении информационной безопасности (ИБ) является наличие полной и достоверной информации о событиях, происходящих в ИТ-инфраструктуре и информационных системах (ИС). Какими бы мерами не обеспечивалась ИБ, сколько бы и каких подсистем ни стояло на защите ИТ-ресурсов предприятия, отсутствие информации о происходящем и возможностей анализа на порядки снижает эффективность этих ИБ-систем просто потому, что они не получают данных об угрозах и «не видят» их. По статистике до 80–85% происходящих инцидентов ИБ могут быть вовремя выявлены, а ущерб от них может быть полностью нейтрализован за счет осуществления постоянного мониторинга и анализа происходящего. Наоборот – отсутствие такого функционала – увеличивает количество инцидентов в 6 раз, а ущерб – в разных случаях от 15-17 раз до бесконечности!

Все компоненты ИТ-инфраструктуры и каждая система постоянно предоставляют данные о своем состоянии, записывают их в журналы событий. Именно они подлежат сбору, обработке и анализу. Эта информация является ключевой при выявлении инцидентов ИБ и возникающих проблем, именно на ее основе возможно вовремя принять эффективные меры для пресечения и устранения нежелательных действий и их последствий. Но, как правило, информация от каждого источника представлена в своем формате, не связана с другими источниками и разнородна по структуре. Ее объемы в больших ИТ-инфраструктурах огромны и не могут быть собраны и обработаны без использования специального инструментария. В итоге – инциденты остаются незамеченными. А те, которые все же удается выявить, остаются без реакции из-за отсутствия четких процедур реагирования.

Весь комплекс задач решают системы мониторинга и анализа событий информационной безопасности, управления инцидентами – SIEM (Security Information and Event Management). Как правило, это решение, выполняющее функционал:

  • SIM (Security Information Management) – управление логами и данными, включая такие подзадачи, как сбор, долговременное хранение и анализ.
  • SEM (Security Event Management) – управление событиями ИБ, включая их мониторинг в режиме реального времени и оперативное реагирование.

Внедрение таких систем позволяет выявлять и представлять в удобной и понятной форме информацию об инцидентах ИБ, а также быстро принимать решения и предпринимать эффективные меры к их устранению и нейтрализации возможных рисков от их воздействия. Для этого выполняется мониторинг, сбор и агрегирование информации о событиях от различных источников различного типа, ее нормализация и фильтрация; данные коррелируются и приоритезируются, что позволяет сфокусировать внимание на десятке действительно важных событий среди миллионов, обеспечить возможность проактивного реагирования на события ИБ, осуществляя:

  • Автоматизированный мониторинг и сбор информации о состоянии всего множества компонент ИТ-инфраструктуры, ее агрегацию, нормализацию и фильтрацию.
  • Мониторинг изменений в настройках активного сетевого оборудования и сетевых средств защиты, мониторинг соответствия политикам безопасности.
  • Обнаружение на основе анализа событий внешних и внутренних угроз, включая известные виды атак и предполагаемые злонамеренные действия.
  • Обнаружение уязвимостей ПО, некорректных конфигураций и настроек оборудования.
  • Выполнение действий управления инцидентами ИБ, включая информирование ответственных лиц, категорирование инцидентов, реагирование на них, локализацию и устранение последствий, проведение расследований и пр.
  • Автоматизация формирования тактических и стратегических отчетов о событиях ИБ.
  • Долговременное хранение данных о событиях ИБ с возможностью их анализа, использования в целях соблюдения требований законодательства, международных стандартов и проведения расследований.
  • Обеспечение соответствия уровня ИБ требованиям нормативных актов и законов.

Внедрение SIEM-решения позволит в полной мере решить вопрос наличия полной и достоверной информации о событиях ИБ, получить возможность своевременно и четко реагировать на возникающие угрозы, и даст такие результаты как:

  1. Снижение затрат на эксплуатацию систем управления событиями безопасности за счет автоматизации всего комплекса процессов, снижения нагрузки на персонал, широкого круга аналитических и статистических возможностей, позволяющих принимать гибкие и обоснованные решения.
  2. Повышение эффективности использования имеющихся средств защиты за счет использования информации, которую раньше невозможно было получить.
  3. Уменьшение ущерба от инцидентов ИБ за счет сокращения времени реагирования на них и своевременного разрешения.
  4. Возможность комплексного и централизованного управления событиями безопасности.
  5. Позитивное влияние на общий уровень ИБ за счет возможности использования при оценке рисков и для ее обеспечения реальных данных.
  6. Приведение уровня обеспечения ИБ в соответствие требованиям нормативных актов, законов и международных стандартов.
  7. Появление возможности использования объективных критериев в процессе анализа рисков ИБ и при планировании развития ИБ-систем.


Смотрите также