ЦОУ ИБ. Мнение эксперта: Александр Чигвинцев

1. Что такое ЦОУ ИБ – SOC (Security Operation Center) и для чего они нужны?

Работа по обеспечению безопасности – как в крупной компании с выделенным персоналом и ресурсами, так и в небольшой организации – состоит в поддержании безопасности информационных активов на требуемом уровне посредством непрерывного наблюдения за вычислительной средой компании, предупреждения и оперативного устранения выявленных угроз и уязвимостей. Один из вариантов формализованного подхода к данной задаче сводится к созданию "Центра оперативного управления информационной безопасностью» (ЦОУ ИБ), или SOC (Security Operation Center). Это может быть как централизованная, так и распределенная служба, в идеале обеспечивающая выявление, контроль и устранение всех инцидентов информационной безопасности.

К сожалению, достаточно большое число специалистов по ИБ почерпнули представления о SOC из голливудских, да и из отечественных блокбастеров: полутемная комната; стена с огромными экранами, на которых высвечиваются постоянно меняющиеся графики, диаграммы и таблицы; ряды сотрудников отдела ИБ, что-то пристально рассматривающих на своих индивидуальных мониторах…

Сразу следует заметить, что SOC – это не только настенные мониторы и красочные диаграммы. Это прежде всего хорошо разработанная и формализованная политика информационной безопасности. Наибольший эффект от внедрения данного сервиса можно получить только после классификации информации, циркулирующей внутри организации, выявления потенциальных угроз, разработки стандартных процедур реагирования на те или иные инциденты, распределения ролей и обязанностей, составления четких должностных инструкций для сотрудников отдела ИБ и дежурной смены SOC.

Кроме того, SOC в его классическом виде (здесь правильнее использовать термин SIEM – Security Information and Event Management Solution) уже не является адекватным ответом на современные риски и угрозы информационной безопасности. Именно поэтому компания RSA (сейчас это подразделение информационной безопасности корпорации EMC) в конце октября этого года анонсировала инициативу Advanced Security Operations. Одна из основных идей, лежащих в основе данной стратегии, – идея объединения (конвергенции) различных инструментов и методов контроля и управления информационными рисками, благодаря чему достигается кардинальное расширение номенклатуры контролируемых параметров и возможность анализа не только событий информационной безопасности. В частности, в предложении RSA платформа enVision (SIEM) интегрируется с системой RSA DLP (Data Loss Prevention – система предотвращения утечки конфиденциальной информации), технологиями борьбы с онлайн-мошенничеством (RSA FraudAction, RSA eFraudNetwork), системами контроля и управления ИТ-инфраструктурой и приложениями – EMC Ionix.

2. В чем основные преимущества, которые дает компании использование ЦОУ ИБ?

Одна из главных задач, которые удается решить при внедрении SOC, – постоянный контроль текущего уровня информационных рисков. Это, в свою очередь, позволяет оперативно выявлять инциденты, связанные с нарушением принятых политик информационной безопасности, и реагировать на них; в конечном счете это обеспечивает достаточно серьезные конкурентные преимущества, а в некоторых случаях – сохранение (спасение) как репутации, так и финансовых средств.

EMC как одна из крупнейших транснациональных корпораций постоянно сталкивается с проблемой обеспечения адекватного уровня информационной безопасности. Для решения данной задачи в конце октября был открыт Корпоративный центр реагирования на критические инциденты (CIRC – Critical Incident Response Center). Данная служба как раз и построена на продуктах и концепции Advanced Security Operations, описанной выше.

3. В каком случае следует создавать собственный Центр, а в каком лучше воспользоваться услугами аутсорсинга? Есть ли здесь российская специфика?

На Западе уже давно появились компании, специализирующиеся на предоставлении услуг информационной безопасности (Managed Security Services Providers – MSSP). Многие из них в своей деятельности широко используют продукты и решения RSA (см., например, http://www.rsa.com/node.aspx?id=1295; http://www.communicationvalley.it). Таким образом, достаточно четко прослеживается тенденция переноса части функций обеспечения ИБ на внешние, специализированные организации. Тем не менее, наверное, трудно предложить формальные критерии, когда SOC надо создавать своими силами, а когда – отдавать на аутсорсинг. Возможно, внутренняя (собственная) служба в масштабе CIRC – прерогатива больших компаний, так как в этом случае дежурная смена получает доступ не только к информации о событиях информационной безопасности, но и к самим данным как таковым (например, через интерфейсы администрирования DLP), что требует совершенно другого уровня доверия к сотруднику SOC. Кроме того, формат CIRC подразумевает взаимодействие в одной команде специалистов как по ИБ, так и по ИТ-инфраструктуре, приложениям и т. п.

Как обычно, российская специфика вносит свои коррективы. Пока ситуация выглядит так, что практически все заказчики с которыми мы обсуждали тему построения SOC, намеревались внедрять этот сервис своими силами или, как вариант, силами собственных ИТ-подразделений. При этом служба ИБ выступала как внутренний заказчик и пользователь данного сервиса.