Создание центров операционного управления ИБ (SOC)

Создание Центра операционного управления ИБ (SOC) — одна из наиболее эффективных мер снижения рисков и обеспечения требуемого уровня кибербезопасности в организации в современных условиях.

Существующие внешние факторы рисков:

• развитие киберкриминала и кибертерроризма,
• усложнение кибератак, в том числе рост количества таргетированных атак,
• рост количества инцидентов ИБ,
• длительного среднего времени выявления инцидентов ИБ.

Существующие внутренние факторы рисков:

• ориентация на соответствие требованиям, а не на управление киберрисками,
• разрывы в процессах мониторинга и контроля,
• недостаток централизации компетенций в сфере ИБ в организации,
• недостаток стандартизации действий в рамках операционной деятельности в сфере ИБ,
• разрозненность средств защиты информации, контроля и анализа,
• расширение и усложнение ИТ-ландшафта.

Основные цели создания SOC:

• Минимизация рисков.
  Своевременное выявление и предотвращение инцидентов информационной безопасности уменьшает финансовые затраты и репутационные потери. 
• Оптимизация затрат на ИБ за счет централизации функций анализа защищённости информационных ресурсов, выявления и расследования инцидентов, отслеживания изменений конфигураций СЗИ, соответствия требованиям, восстановления систем в случае атак и т.п. 
• Обеспечение соответствия требованиям российских и международных нормативных актов, законов и отраслевых стандартов. Требования и рекомендации по централизованному управлению информационной безопасностью присутствуют в СТО БР ИББС, 152-ФЗ, PCI DSS, ISO 27001. 
  

Состав работ

Полный цикл проекта по созданию SOC, как правило, состоит из четырех укрупненных стадий, включая стадию дальнейшей технической и аналитической поддержки.

• Предпроектная стадия:
  • Определение области охвата и границ проекта.
  • Аудит.
  • Формирование концепции.
  • Формирование ТЗ.
  • Формирование план-графика.
• Проектирование:
  • Формирование проектных решений.
  • Описание процессов.
  • Подготовка SOC-команды.
  • Подготовка ИТ-инфраструктуры.
  • Подготовка помещений и инженерной инфраструктуры.
• Ввод в действие:
  • Поставка оборудования и ПО.
  • Интеграция ИБ-систем между собой.
  • Интеграция с поставщиками Threat Intelligence Feeds.
  • Настройка систем управления, контроля и отчетности.
  • Опытная эксплуатация.
  • Испытания.
• Поддержка:
  • Инженерно-техническая поддержка.
  • Экспертно-аналитическая поддержка.

При реализации проекта создания SOC специалистами НТЦ «Вулкан» прорабатываются методологические, организационные и технические решения по следующим технологическим уровням:

• Уровень генерации данных (событий безопасности и их источников).
• Уровень анализа и обработки данных (SIEM-решение).
• Уровень визуализации и представления данных представлен (GRC-решение).

Преимущества

Ключевыми результатами создания SOC для заказчика являются:

• Минимизация киберрисков за счет:
  • работы профилированной иерархической команды,
  • стандартизации деятельности, направленной на своевременное выявление и устранение последствий инцидентов ИБ,
  • многоуровневой интеграции и кастомизации набора технических решений, соответствующих специфике ИТ-инфраструктуры и ландшафту угроз организации.
• Обеспечение непрерывности бизнеса и стабильности деятельности организации в условиях актуальных угроз в киберпространстве за счет непрерывного мониторинга и контроля
• Повышение эффективности работы персонала ИБ за счет:
  • внедрения инструментов оценки эффективности работы SOC и подразделений ИБ в режиме on-line.
  • получения своевременной многоуровневой отчетности.