1.2.3. Анализ событий информационной безопасности

В ходе анализа событий информационной безопасности осуществляются:

- отбор и фильтрация событий информационной безопасности;

- выявление последовательностей разнородных событий информационной безопасности, имеющих логическую связь, которые могут быть значимы для выявления возможных нарушений безопасности информации (корреляция) и объединения однородных данных о событиях информационной безопасности (агрегация);

- выявление компьютерных инцидентов, регистрация методов (способов) их обнаружения.

Анализ событий производится путем их агрегирования и сопоставления (корреляции) на основе правил, разрабатываемых в ходе анализа угроз. В силу большого потока таких событий их анализ требует применения автоматизированных средств (систем security information and event management, SIEM-систем). Такие средства должны включаться в состав отраслевого центра информационной безопасности Минздрава, а также центров ГосСОПКА.

При анализе событий информационной безопасности должны учитываться данные о существующих и потенциальных угрозах информационной безопасности и о способах их обнаружения. Получение таких данных, их обработку, накопление (хранение) и учет в составе отраслевого центра информационной безопасности и центров ГосСОПКА обеспечивают средства анализа и учета угроз информационной безопасности (threat intelligence).