ЦОУ ИБ. Мнение эксперта: Руслан Рахметов
1. Что такое ЦОУ ИБ – SOC (Security Operation Center) и для чего они нужны?
ЦОУ ИБ — это, если выражаться образно, «глаза» системы информационной безопасности компании. Сейчас никого из наших заказчиков не удовлетворяет точечный подход к решению проблемы ИБ. Нашим заказчикам необходим именно целостный, отлаженный процесс обеспечения информационной безопасности в организации. Эффективно организовать такой процесс можно только при условии, что система информационной безопасности будет пронизывать все уровни организации и включать три основные составляющие: люди, процессы и технологии.
Компания «АйТи» – одна из первых, кто серьезно занялся вопросом создания ЦОУ ИБ, разработав собственное решение. Наше решение позволяет мгновенно увидеть целостную картину состояния информационной безопасности в организации, причем, что немаловажно, — в динамике.
2. В чем основные преимущества, которые дает компании использование ЦОУ ИБ?
Основные преимущества, которые дает создание ЦОУ ИБ, — это скорость реакции на инциденты и повышение управляемости процесса обеспечения ИБ.
Время протекания большинства инцидентов в сфере информационной безопасности составляет не более секунды, а последствия этих секундных сбоев могут быть катастрофичны. В свою очередь, построение ЦОУ ИБ, по данным западных исследований, снижает задержки реагирования на инциденты ИБ из-за человеческого фактора на 80–90%.
Вторым немаловажным преимуществом является возможность видеть срез состояния информационной безопасности в комплексе, в режиме реального времени.
Можно выделить и более частные преимущества, такие как:
- снижение рисков и времени простоя в критичных бизнес-процессах;
- контроль и предотвращение инцидентов безопасности. Сокращение сроков работ по расследованию инцидентов и предоставлению отчетов руководству;
- высвобождение ресурсов специалистов информационной безопасности и ИТ-службы, поскольку они затрачивают много времени на консолидацию и анализ инцидентов, связанных с нарушениями политики информационной безопасности компании;
- ответственность за процесс (когда нет процесса реакции на инциденты, тогда нет и ответственного);
- расстановка приоритетов по рискам для принятия адекватных мер защиты.
При разработке собственного решения — Центра мониторинга информационной безопасности IT SMMC — мы старались учесть основные потребности наших заказчиков, которые не закрывались решениями западных вендоров. Во-первых, в большинстве российских компаний используется множество средств защиты информации, в том числе отечественных, а порой и собственной разработки. Поэтому наши заказчики постоянно сталкивались с необходимостью интеграции мультивендорных решений. Во-вторых, необходимо формировать единую, консолидированную отчетности на русском языке.
Центр мониторинга информационной безопасности IT SMMC представляет собой систему с распределенной сетью агентов сбора, единым ядром аналитики и порталом русскоязычной отчетности. В качестве ядра аналитики, обеспечивающего хранение, обработку событий, управление инцидентами информационной безопасности, «АйТи» использует продукты и практики Cisco Systems. В качестве агентов сбора используются собственные разработки компании «АйТи», позволяющие интегрировать существующие и планируемые к внедрению системы защиты информации к ЦОУ ИБ. Портал отчетности ЦОУ ИБ дает возможность формировать отчеты о состоянии ИБ компании в соответствии с принятой в компании политикой или отраслевой спецификой.
Решение позволяет организовать глубокую интеграцию существующих систем защиты путем централизации управления и мониторинга и перевести разрозненные системы защиты в разряд сервисов, управляемых из единого центра.
3. В каком случае следует создавать собственный Центр, а в каком лучше воспользоваться услугами аутсорсинга? Есть ли здесь российская специфика?
В данном вопросе необходимо учитывать специфику работы каждой конкретной компании. «АйТи» предлагает три основных варианта внедрения ЦОУ ИБ. Два из них, Onsite и Outsourcing, различаются только местом размещения необходимого оборудования — у заказчика или в «АйТи». Третий вариант — Comanaged — самый гибкий: помимо выбора места расположения оборудования он предполагает различные опции. Это может быть линия поддержки: например, клиент обеспечивает первую линию поддержки, «АйТи» — вторую; или интервал времени поддержки: например, клиент управляет ЦОУ ИБ в рабочие часы, «АйТи» — в нерабочие.
Безусловно, российская специфика существует. В первую очередь это касается вопросов аутсорсинга в сфере ИБ: то, что для большинства западных компаний является распространенной практикой, в России пока не находит столь широкого применения. Вторая проблема, характерная для многих российских компаний, — необходимость формирования отчетности на русском языке. Причем требования к такой отчетности имеют значительную отраслевую специфику: различный порядок классификации инцидентов безопасности, обработки инцидентов безопасности, мониторинга событий безопасности, визуализации системы мониторинга и т. д. Естественно, подобный функционал не заложен в стандартных западных продуктах и решениях по ИБ. И в большинстве случаев каждое решение требует серьезной локализации. Поэтому при выборе и построении ЦОУ ИБ необходимо учитывать вопросы мультивендорности, локализации, надежности ядра аналитики, гибкости решения и, конечно, цены.