Система собственной разработки активно используется для оказания услуг корпоративного центра мониторинга ГосСОПКА.

«В новой версии полностью переработан дизайн системы, повышена стабильность и надёжность её работы. Мы стремимся сделать работу заказчиков в процессе управления компьютерными инцидентами максимально удобной», — прокомментировал Артём Савчук, технический директор «Перспективного мониторинга». 

Ключевая задача системы управления инцидентами информационной безопасности «AM Incident Management System» АО «ПМ» — предоставить сервис или «службу одного окна» для всех специалистов, задействованных в процессе управления инцидентами ИБ, удобный как для операторов SOC ПМ, так и для владельцев инфраструктур, находящихся на мониторинге.

Возможности IM: 

• Управление инцидентами ИБ 

Система обеспечивает эффективное взаимодействие между сотрудниками групп мониторинга и реагирования на инциденты ИБ. Работа над инцидентами ведётся в соответствующих карточках компьютерных инцидентов и/или атак. При этом каждому пользователю доступна лишь своя функциональность и область работы согласно ролевой модели доступа. 

• Работа с организациями и филиалами

В разделе «Организации» содержится информация об организациях, подключенных к системе и для которых оказываются услуги SOC или корпоративного Центра ГосСОПКА, а также сведения об используемых средствах защиты информации – аналитических системах, системах обнаружения и предотвращения вторжений, средствах антивирусной защиты и других. В рамках системы IM объект «Организация» может быть разделен на головную организацию и филиалы.

• Учёт ИТ-активов

Система IM позволяет хранить информацию об ИТ-активах организации. Структура раздела предполагает разделение активов по логическим сегментам, подсетям и узлам сети; маркировку объектов КИИ и других критических ресурсов для приоритизации инцидентов ИБ.

• Формирование отчётности 

Система позволяет формировать различные отчёты по расписанию. Они содержат информационную сводку со всеми инцидентами ИБ, распределением по уровню критичности, времени суток, статусу, типу и многое другое. Также в отчете содержится статистика по всем зарегистрированным событиям ИБ, выводы и рекомендации по повышению уровня защищённости компании.

• Построение статистических графиков, дашбордов 

На дашборде размещается статистическая информация по организации в разрезе инцидентов ИБ. Здесь представлены данные распределения инцидентов ИБ по времени суток, критичности, типам, странам откуда велась атака на активы организации. На интерактивной карте можно изучить данные о местоположении источников угроз, а на тепловой карте – узнать об использованных техниках и тактиках MITRE ATT&CK. 

• Интеграция с ЛК ГосСОПКА 

Система позволяет автоматизированно обмениваться обмена информацией о компьютерных инцидентах и атаках с НКЦКИ. Также сведения об инцидентах в ЛК ГосСОПКА автоматически подгружаются в систему. Всё это позволяет субъектам КИИ непрерывно обмениваться информацией и взаимодействовать с НКЦКИ в одном веб-интерфейсе.

• Обмен информацией об угрозах ИБ 

В системе IM хранятся информационные бюллетени, поступающие от НКЦКИ, ФинЦЕРТ и Бюллетени безопасности, выпускаемые Центром мониторинга АО «ПМ». Все материалы возможно прочесть или скопировать напрямую из системы.

• Оперативное оповещение по e-mail, telegram, sms

Пользователь может настраивать и получать уведомления об инцидентах на электронную почту, в Telegram или по SMS. По открытым каналам связи данные об инцидентах передаются в кратком виде, без информации конфиденциального характера, что позволяет соблюдать NDA и при этом уведомлять пользователей о произошедших в организации инцидентах ИБ в любое время суток.