SlideShare a Scribd company logo

Кузнецов_v1

A
Aleksandr Kuznetcov, CISM
1 of 13
Download to read offline
Отчётность SIEM – шашечки или ехать? Александр Кузнецов, CISM Руководитель направления ИБ НТЦ «Вулкан» 2016
2 Содержание • Потребность в отчёте • Отчёт как форма отдачи от SIEM • Ожидание и реальность • Мнение Gartner • Главные вопросы при подготовке отчёта • Самый главный вопрос: «ЗАЧЕМ?» • Рекомендации по наполнению отчётов • Примеры • Заключение
3 Потребность в отчёте Руководству Аудиторам Коллегам ЦБ
4 Отчёт как форма отдачи от SIEM Источники событий SIEM-система Отчётность
5 ОЖИДАНИЕ и реальность
6 Ожидание и РЕАЛЬНОСТЬ
7 Мнение Gartner • Critical Capability • Reporting capabilities should include predefined reports, as well as the ability to define ad hoc reports or use third-party reporting tools Critical Capabilities Compliance Threat Management SIEM Log Management and Reporting 55% 10% 26% * - Источник: Gartner (September 2015) Weighting for Critical Capabilities in Use Cases AccelOps AlienVault Black Stratus EMC Event Tracker HP IBM Intel Security Log Rhythm NetIQ Solar Winds 2.8 3.0 2.5 3.2 2.8 3.5 3.6 2.8 4.2 3.8 3.3 Product/Service Rating on Critical Capabilities
8 Главные вопросы при подготовке отчёта • В какой форме отчёт? • Табличной • Графической (диаграммы, графики и т.д.) • Инфографика • Кто потребитель отчёта? • Технический специалист (сетевик, системщик и т.д.) • Владелец процесса (Event Mgmt, Incident Mgmt, Access Mgmt и т.д.) • IS-менеджер • IT-менеджер • Compliance-менеджер • Risk-менеджер • Top менеджер • Зачем отчёт?
9 Самый главный вопрос: «ЗАЧЕМ?» • Раскройте вопрос: • Почему эти данные важны? • Как дальше их использовать? • Что они позволят улучшить? • Тренд vs Количество • Количество инцидентов ( vs 88) • Нормированные значения vs [0; +∞) • Количество узлов с уязвимостями (33% vs 77) • Соответствие или отклонение
10 Рекомендации по оформлению отчётов • Объём ≠ Качество • Top vs All data • Принцип «7±2» • Графики ≥ таблиц • Русификация (адаптированный перевод) • Кастомизация оформления • Приоритизация результатов («светофоры»)
11 Примеры оформления
12 Заключение • Не бояться вопроса «ЗАЧЕМ?» • Ориентироваться на потребителя • Соблюсти баланс «внешности» и «содержания» • «Не гнаться» за объёмом отчёта • Приоритизировать результаты • Работать с отчётами
13 Спасибо за внимание! Александр Кузнецов, CISM Руководитель направления ИБ НТЦ «Вулкан» 105318, г. Москва, ул. Ибрагимова, д. 31 тел./факс +7 (495) 663-9516 http://www.ntc-vulkan.ru info@ntc-vulkan.ru 2016

Recommended

Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Банковское обозрение
 
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...Банковское обозрение
 
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...Банковское обозрение
 
Splunk sberbank cib
Splunk sberbank cibSplunk sberbank cib
Splunk sberbank cibTimur Bagirov
 
Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...
Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...
Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...Expolink
 
Renuncia de Mario Gomez
Renuncia de Mario GomezRenuncia de Mario Gomez
Renuncia de Mario GomezAurelio Suárez
 
Cre ar toledo juegos_101
Cre ar toledo juegos_101Cre ar toledo juegos_101
Cre ar toledo juegos_101Simetrías Fundación Internacional
 
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...UISGCON
 

Recommended

Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...
Презентация Евгения Матюшёнка с конференции «SIEM в банковской сфере: автомат...Банковское обозрение
 
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...
Презентация Владимира Бенгина с конференции «SIEM в банковской сфере: автомат...Банковское обозрение
 
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...Банковское обозрение
 
Splunk sberbank cib
Splunk sberbank cibSplunk sberbank cib
Splunk sberbank cibTimur Bagirov
 
Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...
Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...
Solar Security. Алексей Данилин. "Что действительно может и не может DLP в ко...Expolink
 
Renuncia de Mario Gomez
Renuncia de Mario GomezRenuncia de Mario Gomez
Renuncia de Mario GomezAurelio Suárez
 
Cre ar toledo juegos_101
Cre ar toledo juegos_101Cre ar toledo juegos_101
Cre ar toledo juegos_101Simetrías Fundación Internacional
 
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...
Дмитрий Петращук - Аутсорсинг системы мониторинга событий информационной безо...UISGCON
 
Internet Marketing Company of the Year 2012
Internet Marketing Company of the Year 2012Internet Marketing Company of the Year 2012
Internet Marketing Company of the Year 2012Clearpath Technology
 
[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...
[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...
[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...Netwrix Россия/СНГ
 
SIEM Security Capsule
SIEM Security CapsuleSIEM Security Capsule
SIEM Security CapsuleInnovative Technologies in Business
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Dmytro Petrashchuk
 
Siem
SiemSiem
Siemcnpo
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯDialogueScience
 
Scope of work IT DD
Scope of work IT DDScope of work IT DD
Scope of work IT DDIvan Piskunov
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиgrishkovtsov_ge
 
Решение для автоматизации деятельности подразделения информационной безопасности
Решение для автоматизации деятельности подразделения информационной безопасностиРешение для автоматизации деятельности подразделения информационной безопасности
Решение для автоматизации деятельности подразделения информационной безопасностиTechExpert
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Ivan Piskunov
 
Немного о Splunk в Yota
Немного о Splunk в YotaНемного о Splunk в Yota
Немного о Splunk в YotaTimur Bagirov
 
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistIvan Piskunov
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Vulnerability Management
Vulnerability ManagementVulnerability Management
Vulnerability ManagementAleksey Lukatskiy
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Крупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 годКрупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 годAleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEMAleksey Lukatskiy
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
ePlat4m Security GRC
ePlat4m Security GRCePlat4m Security GRC
ePlat4m Security GRCКомпания КИТ
 

More Related Content

Viewers also liked

Internet Marketing Company of the Year 2012
Internet Marketing Company of the Year 2012Internet Marketing Company of the Year 2012
Internet Marketing Company of the Year 2012Clearpath Technology
 
[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...
[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...
[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...Netwrix Россия/СНГ
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Dmytro Petrashchuk
 
Siem
SiemSiem
Siemcnpo
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯDialogueScience
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиgrishkovtsov_ge
 
Решение для автоматизации деятельности подразделения информационной безопасности
Решение для автоматизации деятельности подразделения информационной безопасностиРешение для автоматизации деятельности подразделения информационной безопасности
Решение для автоматизации деятельности подразделения информационной безопасностиTechExpert
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Ivan Piskunov
 
Немного о Splunk в Yota
Немного о Splunk в YotaНемного о Splunk в Yota
Немного о Splunk в YotaTimur Bagirov
 
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistIvan Piskunov
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Крупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 годКрупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 годAleksey Lukatskiy
 

Viewers also liked (17)

Internet Marketing Company of the Year 2012
Internet Marketing Company of the Year 2012Internet Marketing Company of the Year 2012
Internet Marketing Company of the Year 2012
 
[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...
[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...
[Инфографика] Исследование эффективности SIEM систем для аудита изменений в И...
 
SIEM Security Capsule
SIEM Security CapsuleSIEM Security Capsule
SIEM Security Capsule
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
 
Siem
SiemSiem
Siem
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
 
Scope of work IT DD
Scope of work IT DDScope of work IT DD
Scope of work IT DD
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
 
Решение для автоматизации деятельности подразделения информационной безопасности
Решение для автоматизации деятельности подразделения информационной безопасностиРешение для автоматизации деятельности подразделения информационной безопасности
Решение для автоматизации деятельности подразделения информационной безопасности
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001
 
Немного о Splunk в Yota
Немного о Splunk в YotaНемного о Splunk в Yota
Немного о Splunk в Yota
 
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistISO 27001 (v2013) Checklist
ISO 27001 (v2013) Checklist
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
 
Vulnerability Management
Vulnerability ManagementVulnerability Management
Vulnerability Management
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ) Модель зрелости процесса (мониторинг и оценка ИБ)
Модель зрелости процесса (мониторинг и оценка ИБ)
 
Крупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 годКрупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 год
 

Similar to Кузнецов_v1

Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийjet_information_security
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...DialogueScience
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Aleksey Lukatskiy
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03cnpo
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMDenis Batrankov, CISSP
 
Комплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdfКомплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdftrenders
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
Михаил Лукьянов, Дмитрий Шайхатаров, Agile среди водопадов. Использование SCR...
Михаил Лукьянов, Дмитрий Шайхатаров, Agile среди водопадов. Использование SCR...Михаил Лукьянов, Дмитрий Шайхатаров, Agile среди водопадов. Использование SCR...
Михаил Лукьянов, Дмитрий Шайхатаров, Agile среди водопадов. Использование SCR...ScrumTrek
 
черепанов форум Cfo и cio екатеринбург_2013_в1.2_print
черепанов форум Cfo и cio екатеринбург_2013_в1.2_printчерепанов форум Cfo и cio екатеринбург_2013_в1.2_print
черепанов форум Cfo и cio екатеринбург_2013_в1.2_printExpolink
 
RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.Olesya Shelestova
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 

Similar to Кузнецов_v1 (20)

Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
От SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящийОт SIEM к SOC дорогу осилит смотрящий
От SIEM к SOC дорогу осилит смотрящий
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
 
ePlat4m Security GRC
ePlat4m Security GRCePlat4m Security GRC
ePlat4m Security GRC
 
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
Вебинар: MaxPatrol + MaxPatrol SIEM - что нужно знать об оценке состояния и у...
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?
 
титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03титов российские Siem системы миф или реальность v03
титов российские Siem системы миф или реальность v03
 
JSOC Inside
JSOC InsideJSOC Inside
JSOC Inside
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEM
 
Комплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdfКомплексное руководство по построению SOC.pdf
Комплексное руководство по построению SOC.pdf
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
Михаил Лукьянов, Дмитрий Шайхатаров, Agile среди водопадов. Использование SCR...
Михаил Лукьянов, Дмитрий Шайхатаров, Agile среди водопадов. Использование SCR...Михаил Лукьянов, Дмитрий Шайхатаров, Agile среди водопадов. Использование SCR...
Михаил Лукьянов, Дмитрий Шайхатаров, Agile среди водопадов. Использование SCR...
 
черепанов форум Cfo и cio екатеринбург_2013_в1.2_print
черепанов форум Cfo и cio екатеринбург_2013_в1.2_printчерепанов форум Cfo и cio екатеринбург_2013_в1.2_print
черепанов форум Cfo и cio екатеринбург_2013_в1.2_print
 
RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБ
 

Кузнецов_v1

  • 1. Отчётность SIEM – шашечки или ехать? Александр Кузнецов, CISM Руководитель направления ИБ НТЦ «Вулкан» 2016
  • 2. 2 Содержание • Потребность в отчёте • Отчёт как форма отдачи от SIEM • Ожидание и реальность • Мнение Gartner • Главные вопросы при подготовке отчёта • Самый главный вопрос: «ЗАЧЕМ?» • Рекомендации по наполнению отчётов • Примеры • Заключение
  • 4. 4 Отчёт как форма отдачи от SIEM Источники событий SIEM-система Отчётность
  • 7. 7 Мнение Gartner • Critical Capability • Reporting capabilities should include predefined reports, as well as the ability to define ad hoc reports or use third-party reporting tools Critical Capabilities Compliance Threat Management SIEM Log Management and Reporting 55% 10% 26% * - Источник: Gartner (September 2015) Weighting for Critical Capabilities in Use Cases AccelOps AlienVault Black Stratus EMC Event Tracker HP IBM Intel Security Log Rhythm NetIQ Solar Winds 2.8 3.0 2.5 3.2 2.8 3.5 3.6 2.8 4.2 3.8 3.3 Product/Service Rating on Critical Capabilities
  • 8. 8 Главные вопросы при подготовке отчёта • В какой форме отчёт? • Табличной • Графической (диаграммы, графики и т.д.) • Инфографика • Кто потребитель отчёта? • Технический специалист (сетевик, системщик и т.д.) • Владелец процесса (Event Mgmt, Incident Mgmt, Access Mgmt и т.д.) • IS-менеджер • IT-менеджер • Compliance-менеджер • Risk-менеджер • Top менеджер • Зачем отчёт?
  • 9. 9 Самый главный вопрос: «ЗАЧЕМ?» • Раскройте вопрос: • Почему эти данные важны? • Как дальше их использовать? • Что они позволят улучшить? • Тренд vs Количество • Количество инцидентов ( vs 88) • Нормированные значения vs [0; +∞) • Количество узлов с уязвимостями (33% vs 77) • Соответствие или отклонение
  • 10. 10 Рекомендации по оформлению отчётов • Объём ≠ Качество • Top vs All data • Принцип «7±2» • Графики ≥ таблиц • Русификация (адаптированный перевод) • Кастомизация оформления • Приоритизация результатов («светофоры»)
  • 12. 12 Заключение • Не бояться вопроса «ЗАЧЕМ?» • Ориентироваться на потребителя • Соблюсти баланс «внешности» и «содержания» • «Не гнаться» за объёмом отчёта • Приоритизировать результаты • Работать с отчётами
  • 13. 13 Спасибо за внимание! Александр Кузнецов, CISM Руководитель направления ИБ НТЦ «Вулкан» 105318, г. Москва, ул. Ибрагимова, д. 31 тел./факс +7 (495) 663-9516 http://www.ntc-vulkan.ru info@ntc-vulkan.ru 2016