Журнал "Information Security/ Информационная безопасность" #4, 2025

SIEM по своей природе является идеальной плат- формой для помощи аудито- рам, так как обладает всем необходимым для этого функционалом. SIEM работает с правила- ми корреляции. Это один из мощнейших инструментов подтверждения соответ- ствия политик и правил доступа. Задачи аудитора: в теории и на практике Обычно, когда нужно перечислить задачи аудитора, типовой ответ интегратора звучит так: собрать информацию об ИС по опрос- никам, провести интервью с владельцами ИС, изучить про- цессы, ЛНА, ОРД и соотнести это все с требованиями регуля- тора. Иногда в число задач добавляют пентест, ISO, ITIL, составление модели угроз и модели нарушителя. На прак- тике аудиты часто являются формальностью и могут прово- диться раз в 1–3 года. При этом негласное пожелание аудито- рам со стороны заказчиков, не желающих вносить сумятицу в отчеты ИТ- и ИБ-служб, звучит так: "скажите, что все хорошо, или дайте красивые рекомен- дации, как сделать так, чтобы все было хорошо в будущем". Безусловно, отношение к аудиту может быть принципи- ально другим. Так, есть неболь- шая категория компаний, кото- рые включают в задачи аудито- ра DataOps, Data Governance, DataSecOps, DevSecOps, VM, Compliance. Но такие организа- ции, как правило, имеют собст- венных штатных специалистов по внутреннему аудиту и в целом трансформируют процес- сы под проактивный подход к подобным проверкам. Большая часть компаний зачастую использует устаревшие подхо- ды и инструменты. Например, поставив перед собой задачу построить новую ИС, компания привлекает к этому процессу всех заинтересованных лиц, однако под пристальным вни- манием будущая ИС находится лишь на этапах составления ТЗ, проектирования и реализа- ции проекта. После ввода ИС в эксплуатацию контроль пере- ходит в реактивный режим, а риск нарушений информацион- ной безопасности существенно возрастает. SIEM в помощь SIEM по своей природе является идеальной платфор- мой для помощи аудиторам, так как обладает всем необхо- димым для этого функциона- лом. Во-первых, SIEM дает воз- можность централизованного сбора событий. Она освобож- дает аудиторов от необходимо- сти заходить в каждую систему (FW, AD, ERP и другие СЗИ) и вручную собирать логи – SIEM уже аккумулирует их в одном месте. Это огромная экономия времени и гарантия того, что данные не были локально изме- нены. Во-вторых, SIEM может про- водить инвентаризацию акти- вов. Список всех объектов с тегами и уровнем критичности позволяет оперативно ответить на вопросы о том, какие у заказ- чика существуют ИС и где они расположены. Кроме того, с помощью SIEM можно легко и быстро понять архитектуру ИС, что сэкономит аудитору несколько дней работы. В отли- чие от привычных аудиторам инструментов, таких как скане- ры, SIEM может собирать дан- ные не только с них, но еще и из ITSM, NTA, а также из событий. Подобный подход повышает прозрачность и поз- воляет найти как устройства с закрытыми портами, не доступными для сканирования, так и мертвые души, указывая на проблемы в процессах инвен- таризации и предоставлении оборудования. Третья опция – мониторинг netflow. SIEM позволяет отсле- живать связи между системами и пользователями, подтверждая или опровергая фактическое выполнение требований ком- плаенса. В своей практике я неоднократно встречал ситуа- ции, когда документация на ИС не соответствовала действи- тельности. Как правило, это обнаруживалось на этапе внед- рения СЗИ. В результате ком- пании приходилось тратить время специалистов на то, чтобы разобраться, а значит это приводило к простоям в основных задачах, дополни- тельным трудозатратам и необходимости вносить изме- нения в документацию. Наконец, SIEM работает с пра- вилами корреляции. Это один из мощнейших инструментов подтверждения соответствия политик и правил доступа. Вам не обязательно постоянно дер- жать включенными правила для аудита: достаточно при провер- ках провести ретро-корреляцию и убедиться, что, условно, ваш главный бухгалтер не заходит в систему с двух разных IP одно- временно или не выгружает отчетность из Канады в два часа утра. С другой же стороны, если у компании достаточно ресурсов для перехода к про- активному контролю, то правила мониторинга можно использо- вать на постоянной основе. Не все SIEM одинаково полезны Многие западные вендоры предлагают достаточно разви- тые решения: с функциями com- pliance-контроля как по требо- ваниям GDPR, так и по требо- ваниям PCI DSS. Если же гово- рить об отечественных реше- ниях, то большинство из них, 22 • СПЕЦПРОЕКТ Могут ли ИБ- и ИТ-аудиторы использовать SIEM для аудита и контроля комплаенса? удит ИТ- и ИБ-систем – важнейшая задача, от которой во многом зависит информационная безопасность компаний. Нередко к процессу аудита относятся формально, используя устаревшие подходы и инструменты, что приводит к плачев- ным последствиям. Сделать проверку качественной, а не для галочки, можно с помощью SIEM, которая по своей природе является идеальной платформой для помощи аудиторам. А Илья Одинцов, менеджер по продукту NGR Softlab Фото: NGR Softlab