Давайте рассмотрим ключевые элементы системы отслеживания инцидентов: Отслеживание запросов. Это то, как обнаруживается и регистрируется новый инцидент (ему присваивается порядковый номер). Координация сообщений. Система отслеживания должна распространять информацию о каждом инциденте, часто в форме сообщений по электронной почте. Обновление статуса инцидента. Заинтересованные стороны должны быть уведомлены о текущем статусе конкретного инцидента в любое время. Контроль над сроками. Система отслеживания должна посылать напоминания о событиях, требующих внимания или затянувшихся по времени в соответствии с согласованным периодом, в течение которого инцидент должен быть урегулирован. Отслеживание улик. Для инцидентов, требующих расследования, система должна отслеживать местонахождение улик.
Это основные функции системы отслеживания инцидентов. Для их обеспечения ведется учет следующей информации: Можно добавить еще ряд пунктов по вашему усмотрению. Давайте обсудим, как организовать и упорядочить всю эту информацию. Конечно, часть элементов вполне можно поместить в обычную базу данных, но не все. Например, никто не захочет сохранить в таблице 8-гигабайтную копию жесткого диска. Лучше поддерживать одну базу данных для небольших индексируемых элементов, а другую — для электронных улик. Как и большинство IT-проблем, приобретение системы отслеживания инцидентов сводится к дилемме «что лучше — купить чужую или создать свою». Решение этой дилеммы зависит от того, какие системы слежения за вносимыми изменениями у вас уже есть и какие понадобятся в будущем. Например, если у вас есть действующая система контроля, которой пользуется справочная служба, и реляционная база данных о ваших компьютерах, их можно объединить. Интересный (хотя и неудивительный) факт: университеты внесли заметный, если не самый значительный, вклад в развитие систем отслеживания инцидентов. Некоторые из них предлагают свои системы или, по крайней мере, информацию по их созданию. На Web-сервере государственного университета штата Огайо представлен набор слайдов, который демонстрирует, как выбиралась система отслеживания инцидентов (в конце концов была создана собственная система). Вы можете найти эти слайды на сайте Www. net. оЫо-state. edu/security/
