Искусственный интеллект на службе информационной безопасности в компании - Два в одном

Подробности

Создано 13.10.2013 01:14

При обеспечении безопасности важным аспектом является распределение ролей (separation of duties). То есть недопустимо, когда один сотрудник совмещает несколько функций, особенно если одна из них призвана контролировать другую.

Типичный пример — разделение полномочий между ИТ и ИБ департаментами. Специалисты ИТ могут вносить любые изменения в систему, кроме правки журналов событий, в которые пишутся все эти изменения. Специалисты ИБ не могут вносить никаких модификаций, но они могут просматривать журналы событий, тем самым контролируя действия админов. Насколько подобная модель реализуема на практике в современных ОС и приложениях — это тема отдельного разговора, выходящего за рамки статьи. Но, по сути, ни одна из сторон не обладает всей полнотой прав в системе.

Аналогичные примеры можно привести и для других отраслей. Допустим, у нас есть сотрудник, который выполняет две роли в системе: он отвечает за контроль выдачи наличных средств, но при этом также замещает отсутствующего кассира, выдающего наличность. Две роли — две учетки у одного человека. Для того чтобы снизить риск мошенничества в такой ситуации, обе учетные записи не могут одновременно выполнять вход в систему. Система SOC позволяет производить мониторинг этих действий в системе с уведомлением специалистов ИБ.

Отчеты и статистика

У большинства ИТ-специалистов существует предубеждение, что всевозможные отчеты с графиками и таблицами — только «красивые игрушки» для руководства. Считается, что с помощью распечаток с красочными графиками руководители ИТ и ИБ обосновывают перед топ-менеджерами компании необходимость расходов на соответствующие отрасли, проще говоря, выбивают деньги. Конечно, эта точка зрения не лишена смысла, ведь информационные технологии служат бизнес-интересам компании, и ее владельцу хочется знать, насколько эффективно расходуются его средства. Инструменты сбора и обработки статистики могут в этом помочь.

Но не стоит забывать, что статистические отчеты позволяют также выявить узкие места в имеющихся системах защиты информации. К примеру, можно узнать количество инцидентов в месяц, связанных с вирусами, парольной защитой, сетевым оборудованием и так далее. Исходя из полученных данных можно сделать выводы о том, какое из направлений наиболее нагружено, где требуется привлечение дополнительного штата специалистов и по каким направлениям нужно развиваться. Поэтому не стоит пренебрегать имеющимися в SOC инструментами для построения отчетов и обработки статистики.

Система мониторинга событий информационной безопасности может стать мощным средством обеспечения ИБ.

1. Бирюков А. Средство мониторинга событий ИБ. Выбираем подходящее. //«Системный администратор», №3, 2011 г. — С. 42-48.

2. Бирюков А. Как нас обворовывают? Внутренние мошенничества, и как с ними бороться. //Спецприложение «БИТ», №1, 2013 г. — С. 7-11 (https://bit.samag.ru/archive/article/1225).