Услуги Центра мониторинга ЗАО «ПМ»

Постоянный мониторинг событий ИБ и уровня защищённости поддерживает определённый корпоративной политикой или требованиями законодательства уровень информационной безопасности коммерческой или государственной организации.

«Перспективный мониторинг» — это MSSP (Managed Security Service Provider). Мы предоставляем заказчикам услуги Security Operation Center (SOC) по мониторингу и расследованию инцидентов ИБ, контролю защищённости, защите web-приложений, анализу исходного кода приложений и администрированию систем обнаружения вторжений ViPNet IDS.

Причины подключения

  1. Нехватка, отсутствие или загруженность собственного персонала для сбора и анализа поступающих данных. Дежурная смена выявляет инциденты и предлагает пути отражения атаки и снижения её последствий.
  2. Быстрый старт. Развёртывание собственного центра мониторинга занимает 5-7 месяцев. А если нужно «здесь и сейчас», то подключиться к SOC «Перспективного мониторинга» можно за 5-7 недель.
  3. Снижение рисков ИБ. Центр мониторинга отслеживает действия в информационной системе и изменения настройки оборудования и ПО, которые противоречат установленным требованиям и политикам.
  4. Понятные и прогнозируемые затраты. Собственный ЦМ — значительные единовременные расходы на оборудование, ПО, обучение. Услуги MSSP — ежемесячные или ежеквартальные фиксированные платежи.
  5. Измеряемая эффективность. Провайдер действует по SLA. Если услуги не соответствуют SLA — он несёт ответственность.
  6. Соответствие требованиям российских и международных нормативных актов, законов и отраслевых стандартов (ГосСОПКА, FinCERT, приказы ФСТЭК №№ 17, 21, 31).

Задачи центра мониторинга

  • собрать и проанализировать данные о текущем состоянии информационной безопасности и его изменениях;
  • обнаружить, предупредить и ликвидировать последствия компьютерных атак, направленных на контролируемые информационные ресурсы;
  • оповестить ответственных сотрудников об обнаружении, предупреждении и ликвидации последствий компьютерных атак;
  • оперативно отреагировать на инциденты ИБ;
  • установить причины компьютерных инцидентов;
  • собрать информацию для расследования компьютерных преступлений;
  • предоставить службам ИБ аналитику для принятия управленческих решений;
  • для ведомственных центров мониторинга, являющихся частью ГосСОПКА — обеспечить взаимодействие между центрами и обмен информацией о защищаемых ресурсах, сигнатурах, уязвимостях, атаках и инцидентах.

Как подключиться

Схема подключения к центру мониторинга

На первом этапе мы исследуем информационные системы заказчика и информационные ресурсы, состояние которых должен отслеживать ЦМ.

На втором этапе мы определяем перечень технических средств мониторинга, их спецификации и схемы размещения и подключения. Мы отлаживаем процессы управления: кто за что отвечает, как реагировать, если выявлена атака или другой инцидент ИБ.

Третий этап — мы устанавливаем и настраиваем оборудование на площадке, подключаем его к системам ЦМ по защищённым каналам связи.

Четвёртый этап — тестовая эксплуатация. Мы постепенно подключаем ранее определённые инструменты мониторинга и начинаем анализировать поступающие данные.

После этого исследователи и аналитики «Перспективного мониторинга» обрабатывают инциденты и устанавливают их причины, оценивают уровень защищённости информационных ресурсов (в том числе с помощью регулярных пентестов).

Пример схемы подключения

Пример схемы подключения к центру мониторинга

Как мы управляем инцидентами ИБ

Управление инцидентами ИБ

Средства мониторинга собирают данные о событиях от разнородных источников в инфраструктуре заказчика. На первом этапе собранные события подвергаются автоматической нормализации, фильтрации, классификации и анализу.

Оператор получает отфильтрованные данные и анализирует их с целью выявления подозрительных событий. По факту выявления потенциального инцидента ИБ он оповещает ответственных лиц и проводит предварительный разбор инцидента по детектирующим признакам. Информация о подозрительных событиях поступает не только от сенсоров — в ЦМ с информацией о событии может обратиться непосредственно заказчик, имеющий доступ к инструментам, применяемым в Центре мониторинга.

Далее информация передаётся аналитику Центра мониторинга для более детального исследования. Если инцидент подтверждается, аналитик оповещает группу реагирования. Он подробно описывает параметры инцидента (время, класс, источник данных, источник атаки, признаки атаки, эксплуатируемую уязвимость и т.д.).

Группа реагирования, которая обычно состоит из сотрудников служб ИБ и ИТ и дежурной смены Центра мониторинга, предпринимает меры по локализации атаки и защите атакованных информационных активов.

Каждый зафиксированный инцидент ИБ сопровождается выдачей информации для модернизации средств и мер защиты.

Сколько стоит

От 50 тысяч рублей в месяц (зависит от состава предоставляемых сервисов и опций).

Ежеквартальные отчёты Центра мониторинга

Второй квартал 2016 года.

Третий квартал 2016 года.

Четвёртый квартал 2016 года.

Первый квартал 2017 года.

Второй квартал 2017 года.