При таком значительном количестве источников событий наблюдение за состоянием IT-инфраструктуры с точки зрения контроля над угрозами безопасности информации становится сложнейшей задачей, поскольку речь идет об обработке потока в сотни тысяч событий в день, которые должны быть соответствующим образом проанализированы.
Классический подход при решении данной задачи заключается в реализации функций мониторинга и контроля параметров ИБ с помощью специальных технических средств класса SIEM (Security Information and Event Management).
Данные решения позволяют принимать и обрабатывать информацию о событиях из множества источников (серверов, рабочих станций, операционных систем, телекоммуникационного оборудования, приложений, средств защиты), позволяя эффективно их анализировать, оперативно выявлять возможные угрозы и реагировать на инциденты ИБ.
Сбор событий безопасности и анализ в режиме реального времени на предмет оценки возможного вредоносного влияния на инфраструктуру предполагает следующие действия / шаги:
 |
Автоматизация процесса мониторинга событий и инцидентов ИБ. |
 |
Минимизация рисков возможного финансового и/или репутационного ущерба от инцидентов ИБ за счет повышения оперативности выявления инцидентов ИБ. |
 |
Автоматизация передачи информации о выявленных инцидентах ИБ в НКЦКИ и/или ФинЦЕРТ в рамках выполнения требований 187-ФЗ (672-П). |