Блог

Приоритизированный подход к реализации требований по обеспечению безопасности объектов КИИ

Закон 187-ФЗ о безопасности КИИ вступил в силу, но при этом на текущий момент далеко не все необходимые методические документы и нормативные правовые акты приняты. В этих условиях у организаций, которые могут оказаться в сфере действия закона, больше вопросов, чем ответов. С какой стороны подступиться к этому вопросу? С чего начать и как оптимально спланировать реализацию необходимых мероприятий?

Проведя анализ требований к обеспечению безопасности значимых объектов КИИ, мы разработали приоритизированный подход, который позволяет поэтапно подойти к этой задаче. Как и во многих других процессах, здесь следует начинать с фундаментальных мероприятий и постепенно на их базе выстраивать следующие.

More

2.7. Инструменты и качество данных

Успех или провал в обеспечении защиты сетей зависит от способности аналитиков SOC собрать и понять нужные данные в нужное время в нужном контексте. Практически каждый зрелый SOC использует набор технологий для создания, сбора, анализа, хранения и представления огромного количества данных для своей команды. На рисунке 4 изображена высокоуровневая архитектура используемых в SOC инструментов и технологий.

SOC может размещать инструменты мониторинга в различных точках клиентских систем для поиска злонамеренной или аномальной активности на каждом этапе жизненного цикла кибератаки. Так, например, особый интерес для аналитиков SOC могут представлять ключевые хосты и «узкие места» сетей. Каждый инструмент генерирует серию событий и контекстных данных, которые после изучения могут служить доказательством инцидента.

More

Дайджест информационной безопасности № 140 за период с 25 июня по 6 июля 2018 года

Новости законодательства

More

Обзор R-Vision 3.6. Макрокорреляция

Макрокорреляция или корреляция второго уровня позволяет просматривать и обрабатывать инциденты, связанные между собой по определенному признаку. Возможна настройка корреляции инцидентов, произошедших за определенный промежуток времени, связанных с определенным оборудованием, пользователями, документами или по иному признаку.

Это удобно в разных ситуациях. Например, если SIEM-система сгенерила из событий несколько идентичных инцидентов, используя возможности макрокорреляции, можно вести работу сразу по всем этим инцидентам как с одним. Корреляция второго уровня позволяет быстро осуществить ретроспективный поиск по совершенно разным условиям в зависимости от ситуации.

Как настроить правила корреляции второго уровня, мы рассказываем в обзоре:



More

Обзор R-Vision 3.6. Новые действия в сценариях реагирования

В сценарий реагирования можно включить новые действия: автоматическое принятие решения и запрос информации.

В случае, если сценарий реагирования допускает несколько вариантов возможных действий, в него необходимо включить этап принятия решения. Решение может быть принято вручную специалистом или автоматически при срабатывании определенных критериев. Если критерии формализованы, то включение автоматического решения помогает здорово экономить время.

Запрос информации позволяет непосредственно через интерфейс консоли R-Vision получить дополнительные сведения от отдельных лиц. Такой функционал актуален, если для расследования инцидента нужно получить информацию от сотрудника, не являющегося пользователем системы R-Vision. Получив запрос от системы по e-mail, сотрудник может направить ответное письмо и приложить документы.

More