Создание корпоративных и ведомственных центров мониторинга

Для чего нужен SOC

Любая организация должна поддерживать определённый корпоративной политикой или требованиями законодательства уровень информационной безопасности. Иначе её ждут ущерб от злоумышленников или штрафы от государства. Создание центра мониторинга в крупной коммерческой компании или государственной организации — одна из мер поддержания должного уровня безопасности. Оно преследует 3 главных цели:

  1. Сократить расходы и потери. Вовремя замеченный и предотвращённый инцидент информационной безопасности — прямое уменьшение финансовых и репутационных потерь. Центр мониторинга автоматизирует корреляцию событий, анализ защищённости информационных ресурсов, расследование инцидентов, отслеживание изменений конфигураций СЗИ и некоторые другие операции. Меньше персонала — меньше расходов. Кроме этого он снижает время и ресурсы, необходимые на восстановление информационной системы после атак.
  2. Соответствовать требованиям российских и международных нормативных актов, законов и отраслевых стандартов. Требования и рекомендации по централизованному управлению информационной безопасностью есть в СТО БР ИББС, 152-ФЗ, PCI DSS, ISO 27001.
  3. Снизить риски ИБ. Например, Банк России выделяет информационные системы как главный фактор бесперебойного функционирования кредитной организации и снижения риска возникновения убытков. Центр мониторинга отслеживает действия в информационной системе и изменения настроек оборудования и ПО, которые противоречат установленным требованиям и политикам.

Задачи центра мониторинга

  • собрать и проанализировать данные о текущем состоянии информационной безопасности и его изменениях;
  • обнаружить, предупредить и ликвидировать последствия компьютерных атак, направленных на контролируемые информационные ресурсы;
  • оповестить ответственных сотрудников об обнаружении, предупреждении и ликвидации последствий компьютерных атак;
  • оперативно отреагировать на инциденты ИБ;
  • установить причины компьютерных инцидентов;
  • собрать информацию для расследования компьютерных преступлений;
  • предоставить службам ИБ аналитику для принятия управленческих решений;
  • для ведомственных центров мониторинга, являющихся частью ГосСОПКА — обеспечить взаимодействие между центрами и обмен информацией о защищаемых ресурсах, сигнатурах, уязвимостях, атаках и инцидентах.

Как создать SOC?

«Перспективный мониторинг» поможет создать корпоративный или ведомственный центр мониторинга. Этот процесс состоит из пяти этапов. По каждому из них «Перспективный мониторинг» отчитывается перед заказчиком.

На первом этапе мы проводим предпроектное исследование информационных систем заказчика, инвентаризируем информационные ресурсы и системы, состояние которых должен отслеживать ЦМ.

На втором этапе мы проектируем корпоративный или ведомственный SOC, определяем перечень технических средств мониторинга, их спецификации и схемы размещения и подключения. Мы помогаем наладить процессы управления: кто за что отвечает, что делать, если выявлена атака или другой инцидент ИБ, и как правильно организовать взаимодействие с ГосСОПКА.

Третий этап — мы устанавливаем и настраиваем оборудование на площадке. После этого обучаем сотрудников заказчика дальнейшей эксплуатации для бесперебойного функционирования центра мониторинга.

Четвёртый этап — ввод в действие. Заказчик определяет и назначает функциональные подразделения и должностных лиц, которые отвечают за проведение приёмо-сдаточных испытаний. Совместно мы разрабатываем программу и методику испытаний, проводим их, при необходимости устраняем выявленные замечания, вводим центр мониторинга в эксплуатацию и оформляем документы по ГОСТ 34 и ОРД.

Центр мониторинга работает. Дежурная смена ЦМ выявляет и предотвращает инциденты. Налажено информационное взаимодействие (в рамках ГосСОПКА, FinCERT, между SOC). Начинается пятый этап — экспертная поддержка центра мониторинга. Исследователи «Перспективного мониторинга» при необходимости обрабатывают инциденты и устанавливают их причины, оценивают уровень защищённости информационных ресурсов (в том числе с помощью регулярных пентестов). Также мы готовы разработать программы повышения осведомлённости в области ИБ, провести учения групп реагирования, инструктаж и тестирование персонала.

Сроки

Мы оцениваем срок создания корпоративного или ведомственного центра мониторинга в 5-7 месяцев в зависимости от текущего состояния информационных систем, зрелости процессов управления ИБ и выделенных заказчиком ресурсов.

Стоимость создания Security Operation Center (SOC)

Мы не знаем, какие процессы и решения по управлению ИБ уже внедрены. Напишите нам, а мы посчитаем стоимость за 2 рабочих дня.


Реализованные проекты
Услуги Центра мониторинга для крупного оператора связи топливно-энергетического комплекса
Заказчик — крупный оператор, организующий связь для компаний топливно-энергетического сектора. Для защиты коммерческой информации и соответствия требованиям регулятора, компании требовалось организовать многоуровневую систему защиты корпоративной мобильной связи, одной из частей которой должна была быть система обнаружения событий информационной безопасности.
Обслуживание информационной инфраструктуры силового ведомства средствами Центра мониторинга
Заказчик — силовое ведомство с развитой информационной инфраструктурой, которая включает несколько Центров обработки данных и программно-аппаратных комплексов ViPNet IDS. За первый месяц эксплуатации мы донастроили 52 решающих правила и выявили и предупредили 7 инцидентов информационной безопасности. Теперь мы расширяем зону взаимодействия за счёт подключения дополнительных сегментов информационной инфраструктуры.