Кузнецов�屹1

Aug 25, 20160 likes115 views

Aleksandr Kuznetcov, CISM

Отчётность SIEM –
шашечки или ехать?
Александр Кузнецов, CISM
Руководитель направления ИБ
НТЦ «Вулкан»
2016

2
Содержание
• Потребность в отчёте
• Отчёт как форма отдачи от SIEM
• Ожидание и реальность
• Мнение Gartner
• Главные вопросы при подготовке отчёта
• Самый главный вопрос: «ЗАЧЕМ?»
• Рекомендации по наполнению отчётов
• Примеры
• Заключение

3
Потребность в отчёте
Руководству
Аудиторам
Коллегам
ЦБ

4
Отчёт как форма отдачи от SIEM
Источники событий
SIEM-система
Отчётность

7
Мнение Gartner
• Critical Capability
• Reporting capabilities should include predefined reports, as
well as the ability to define ad hoc reports or use third-party
reporting tools
Critical Capabilities Compliance
Threat
Management
SIEM
Log Management and Reporting 55% 10% 26%
* - Источник: Gartner (September 2015)
Weighting for Critical Capabilities in Use Cases
AccelOps
AlienVault
Black
Stratus
EMC
Event
Tracker
HP
IBM
Intel
Security
Log
Rhythm
NetIQ
Solar
Winds
2.8 3.0 2.5 3.2 2.8 3.5 3.6 2.8 4.2 3.8 3.3
Product/Service Rating on Critical Capabilities

8
Главные вопросы при подготовке отчёта
• В какой форме отчёт?
• Табличной
• Графической (диаграммы, графики и т.д.)
• Инфографика
• Кто потребитель отчёта?
• Технический специалист (сетевик, системщик и т.д.)
• Владелец процесса (Event Mgmt, Incident Mgmt, Access Mgmt и т.д.)
• IS-менеджер
• IT-менеджер
• Compliance-менеджер
• Risk-менеджер
• Top менеджер
• Зачем отчёт?

9
Самый главный вопрос: «ЗАЧЕМ?»
• Раскройте вопрос:
• Почему эти данные важны?
• Как дальше их использовать?
• Что они позволят улучшить?
• Тренд vs Количество
• Количество инцидентов ( vs 88)
• Нормированные значения vs [0; +∞)
• Количество узлов с уязвимостями (33% vs 77)
• Соответствие или отклонение

10
Рекомендации по оформлению отчётов
• Объём ≠ Качество
• Top vs All data
• Принцип «7±2»
• Графики ≥ таблиц
• Русификация (адаптированный перевод)
• Кастомизация оформления
• Приоритизация результатов
(«светофоры»)

12
Заключение
• Не бояться вопроса «ЗАЧЕМ?»
• Ориентироваться на потребителя
• Соблюсти баланс «внешности» и «содержания»
• «Не гнаться» за объёмом отчёта
• Приоритизировать результаты
• Работать с отчётами

13
Спасибо за внимание!
Александр Кузнецов, CISM
Руководитель направления ИБ
НТЦ «Вулкан»
105318, г. Москва, ул. Ибрагимова, д. 31
тел./факс +7 (495) 663-9516
http://www.ntc-vulkan.ru
info@ntc-vulkan.ru
2016

The first Russian SIEM «Security Capsule» from the company JSC «Innovative Technologies in Business» certified by Federal Service for Technical and Export Control of Russia. Первая Российская SIEM «Security Capsule» от компании ООО «Инновационные Технологии в Бизнесе» сертифицированная Федеральной службой по техническому и экспортному контролю России.

Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Dmytro Petrashchuk

��

В условиях тотальной экономии и необходимости развития банка в мире онлайн-сервисов, обеспечение информационной безопасности становится неподъемной задачей. Использование управляемых услуг по информационной безопасности позволяют реализовать любые сценарии в максимально сжатые сроки при минимальном бюджете.

Siemcnpo

��

Управление инцидентами информационной безопасности от А до ЯDialogueScience

��

Управление инцидентами информационной безопасности один из ключевых процессов, направленный на снижение размера потенциального ущерба от реализации угроз информационной безопасности. В презентации рассмотрены ключевые этапы создания и внедрения процессов управления инцидентами информационной безопасности, а также рассмотрены подходы к реализации процесса в рамках комплексных систем обеспечения информационной безопасности. Управление инцидентами. Ключевые этапы создания и внедрения процесса. Классификация инцидентов. Необходимое и достаточное количество классификационных параметров. Выявление инцидентов. Достаточно ли SIEM? Обработка инцидентов информационной безопасности. Расследование инцидентов. Оценка эффективности процесса управления инцидентами информационной безопасности. Спикер: Антон Свинцицкий, Руководитель отдела консалтинга АО «ДиалогНаука»

Scope of work IT DDIvan Piskunov

��

A due diligence assessment of an organization’s IT function is often required by investors, as part of a merger or acquisition. It may also be required from time to time by the owners of a business, to ensure a better understanding of the opportunities, costs, and risks involved in the IT function. In either case, there are benefits to having a specialized and independent third party perform the assessment.

Общий план комплексного аудита информационной безопасностиgrishkovtsov_ge

��

Решение для автоматизации деятельности подразделения информационной безопасностиTechExpert

��

Компания TechExpert, совместно с нашими партнерами Агентством Активного Аудита) предлагает модуль «IT Risk Management» (ITRM) на базе ПО GLPI с дополнительными функциональными возможностями для подразделения Информационной безопасности. Подробнее http://techexpert.ua/?page_id=12776

Вопросы для интервью ISO 27001Ivan Piskunov

��

ISO/IEC 27001 — международный стандарт по информационной безопасности, разработанный совместно Международной организацией по стандартизации и Международной электротехнической комиссией. Стандарт содержит требования в области информационной безопасности для создания, развития и поддержания Системы менеджмента информационной безопасности (СМИБ).

Немного о Splunk в YotaTimur Bagirov

��

ISO 27001 (v2013) ChecklistIvan Piskunov

��

Комплект документов по ISO 27001-2013Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

��

Vulnerability ManagementAleksey Lukatskiy

��

пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

��

Модель зрелости процесса (мониторинг и оценка ИБ) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

��

Крупные мероприятия по информационной безопасности на 2017 годAleksey Lukatskiy

��

Уральский форум 2020 за 15 минутAleksey Lukatskiy

��

От SIEM к SOC дорогу осилит смотрящийjet_information_security

��

SOC vs SIEMAleksey Lukatskiy

��

Как построить SOC?Aleksey Lukatskiy

��

ePlat4m Security GRCКомпания КИТ

��

More Related Content

Viewers also liked (17)

Internet Marketing Company of the Year 2012Clearpath Technology

��

[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...Netwrix Россия/СНГ

��

SIEM Security CapsuleInnovative Technologies in Business

��

Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Dmytro Petrashchuk

��

Siemcnpo

��

Управление инцидентами информационной безопасности от А до ЯDialogueScience

��

Scope of work IT DDIvan Piskunov

��

Общий план комплексного аудита информационной безопасностиgrishkovtsov_ge

��

Решение для автоматизации деятельности подразделения информационной безопасностиTechExpert

��

Вопросы для интервью ISO 27001Ivan Piskunov

��

Немного о Splunk в YotaTimur Bagirov

��

ISO 27001 (v2013) ChecklistIvan Piskunov

��

Комплект документов по ISO 27001-2013Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

��

Vulnerability ManagementAleksey Lukatskiy

��

пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

��

Модель зрелости процесса (мониторинг и оценка ИБ) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

��

Крупные мероприятия по информационной безопасности на 2017 годAleksey Lukatskiy

��

Internet Marketing Company of the Year 2012Clearpath Technology

��

[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...Netwrix Россия/СНГ

��

SIEM Security CapsuleInnovative Technologies in Business

��

Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Dmytro Petrashchuk

��

Siemcnpo

��

Управление инцидентами информационной безопасности от А до ЯDialogueScience

��

Scope of work IT DDIvan Piskunov

��

Общий план комплексного аудита информационной безопасностиgrishkovtsov_ge

��

Решение для автоматизации деятельности подразделения информационной безопасностиTechExpert

��

Вопросы для интервью ISO 27001Ivan Piskunov

��

Немного о Splunk в YotaTimur Bagirov

��

ISO 27001 (v2013) ChecklistIvan Piskunov

��

Комплект документов по ISO 27001-2013Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

��

Vulnerability ManagementAleksey Lukatskiy

��

пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

��

Модель зрелости процесса (мониторинг и оценка ИБ) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

��

Крупные мероприятия по информационной безопасности на 2017 годAleksey Lukatskiy

��

Similar to Кузнецов�屹1 (20)

Уральский форум 2020 за 15 минутAleksey Lukatskiy

��

От SIEM к SOC дорогу осилит смотрящийjet_information_security

��

SOC vs SIEMAleksey Lukatskiy

��

Как построить SOC?Aleksey Lukatskiy

��

ePlat4m Security GRCКомпания КИТ

��

Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...DialogueScience

��

Совместный вебинар Positive Technologies и ДиалогНаука будет посвящен типичным сложностям, с которыми сталкиваются организации при внедрении SIEM-систем, а также тому, с чем сталкиваются организации при попытке оценить уровень своей защищенности.

Измерение эффективности ИБ промышленных системAleksey Lukatskiy

��

Почему аналитики L1 в SOC бесполезны?Aleksey Lukatskiy

��

титов российские Siem системы миф или реальность v03cnpo

��

JSOC InsideSolar Security

��

пр 03.JSOC insideAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

��

Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP

��

Многие заказчики жалуются, что купив SIEM думали, что он _сам_ будет за них находить все угрозы в сети. Но оказывается это лишь хороший продукт, к которому нужно примешать немного хороших людей и правильных процессов и вот к этому люди не готовы. Как подготовиться к этому и как это правильно сделать - моя презентация.

Комплексное руководство по построению SOC.pdftrenders

��

Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience

��

Рассматриваются основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности. Спикер: Родион Чехарин, Руководитель проекта технического департамента ЗАО «ДиалогНаука»

Вебинар по HP ArcSight 25.11.14DialogueScience

��

На вебинаре участники ознакомились с актуальными проблемами, связанными с реализацией задач по сбору, анализу и корреляции событий информационной безопасности, регистрируемых в территориально-распределенных автоматизированных системах предприятий. В рамках мероприятия были рассмотрены основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности и также рассмотрена одна из возможных реализаций центра мониторинга событий безопасности (Security Operation Center, SOC) на базе программных продуктов HP ArcSight.

Михаил Лукьянов, Дмитрий Шайхатаров, Agile среди водопадов. Использование SCR...ScrumTrek

��

Трудно представить возможность применения Agile в компаниях с большим количеством зарегламентированных процессов, которые, к тому же, ориентированны на водопадную модель разработки ПО. На примере разработки системы управления рисками на Финансовых рынках мы поделимся своим опытом как можно построить полноценный Agile процесс исключительно с использованием стандартного SCRUM framework. Мы расскажем об бизнес процессе, решенных проблемах и инженерных практиках, которые позволили обеспечить высокую скорость delivery в рамках данной системы.

черепанов форум Cfo и cio екатеринбург_2013_в1.2_printExpolink

��

RuSIEM. Потребители. Состав продукта. Отличия. Применение.Olesya Shelestova

��

Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy

��

пр Про интегральные метрики ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

��

Уральский форум 2020 за 15 минутAleksey Lukatskiy

��

От SIEM к SOC дорогу осилит смотрящийjet_information_security

��

SOC vs SIEMAleksey Lukatskiy

��

Как построить SOC?Aleksey Lukatskiy

��

ePlat4m Security GRCКомпания КИТ

��

Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...DialogueScience

��

Измерение эффективности ИБ промышленных системAleksey Lukatskiy

��

Почему аналитики L1 в SOC бесполезны?Aleksey Lukatskiy

��

титов российские Siem системы миф или реальность v03cnpo

��

JSOC InsideSolar Security

��

пр 03.JSOC insideAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

��

Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP

��

Комплексное руководство по построению SOC.pdftrenders

��

Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience

��

Вебинар по HP ArcSight 25.11.14DialogueScience

��

Михаил Лукьянов, Дмитрий Шайхатаров, Agile среди водопадов. Использование SCR...ScrumTrek

��

черепанов форум Cfo и cio екатеринбург_2013_в1.2_printExpolink

��

RuSIEM. Потребители. Состав продукта. Отличия. Применение.Olesya Shelestova

��

Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy

��

пр Про интегральные метрики ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

��

Кузнецов�屹1

1. Отчётность SIEM – шашечки или ехать? Александр Кузнецов, CISM Руководитель направления ИБ НТЦ «Вулкан» 2016

2. 2 Содержание • Потребность в отчёте • Отчёт как форма отдачи от SIEM • Ожидание и реальность • Мнение Gartner • Главные вопросы при подготовке отчёта • Самый главный вопрос: «ЗАЧЕМ?» • Рекомендации по наполнению отчётов • Примеры • Заключение

3. 3 Потребность в отчёте Руководству Аудиторам Коллегам ЦБ

4. 4 Отчёт как форма отдачи от SIEM Источники событий SIEM-система Отчётность

5. 5 ОЖИДАНИЕ и реальность

6. 6 Ожидание и РЕАЛЬНОСТЬ

7. 7 Мнение Gartner • Critical Capability • Reporting capabilities should include predefined reports, as well as the ability to define ad hoc reports or use third-party reporting tools Critical Capabilities Compliance Threat Management SIEM Log Management and Reporting 55% 10% 26% * - Источник: Gartner (September 2015) Weighting for Critical Capabilities in Use Cases AccelOps AlienVault Black Stratus EMC Event Tracker HP IBM Intel Security Log Rhythm NetIQ Solar Winds 2.8 3.0 2.5 3.2 2.8 3.5 3.6 2.8 4.2 3.8 3.3 Product/Service Rating on Critical Capabilities

8. 8 Главные вопросы при подготовке отчёта • В какой форме отчёт? • Табличной • Графической (диаграммы, графики и т.д.) • Инфографика • Кто потребитель отчёта? • Технический специалист (сетевик, системщик и т.д.) • Владелец процесса (Event Mgmt, Incident Mgmt, Access Mgmt и т.д.) • IS-менеджер • IT-менеджер • Compliance-менеджер • Risk-менеджер • Top менеджер • Зачем отчёт?

9. 9 Самый главный вопрос: «ЗАЧЕМ?» • Раскройте вопрос: • Почему эти данные важны? • Как дальше их использовать? • Что они позволят улучшить? • Тренд vs Количество • Количество инцидентов ( vs 88) • Нормированные значения vs [0; +∞) • Количество узлов с уязвимостями (33% vs 77) • Соответствие или отклонение

10. 10 Рекомендации по оформлению отчётов • Объём ≠ Качество • Top vs All data • Принцип «7±2» • Графики ≥ таблиц • Русификация (адаптированный перевод) • Кастомизация оформления • Приоритизация результатов («светофоры»)

11. 11 Примеры оформления

12. 12 Заключение • Не бояться вопроса «ЗАЧЕМ?» • Ориентироваться на потребителя • Соблюсти баланс «внешности» и «содержания» • «Не гнаться» за объёмом отчёта • Приоритизировать результаты • Работать с отчётами

13. 13 Спасибо за внимание! Александр Кузнецов, CISM Руководитель направления ИБ НТЦ «Вулкан» 105318, г. Москва, ул. Ибрагимова, д. 31 тел./факс +7 (495) 663-9516 http://www.ntc-vulkan.ru info@ntc-vulkan.ru 2016

�ݺ�ߣ

Кузнецов�屹1

Recommended

More Related Content

Viewers also liked (17)

Similar to Кузнецов�屹1 (20)

Кузнецов�屹1