ЦОУ ИБ. Мнение эксперта: Дмитрий Породин
1. Что такое ЦОУ ИБ – SOC (Security Operation Center) и для чего они нужны?
ЦОУ ИБ (SOC), также называемый ситуационным центром по ИБ, представляет собой взаимоувязанную совокупность технических средств выявления и обработки инцидентов, контроля и визуализации показателей состояния ИБ, а также процессов и регламентов управления ИБ организации. На текущем этапе развития ИТ все информационные системы корпоративного уровня являются сложной гетерогенной средой. Поэтому с учетом возрастающих и очень быстро изменяющихся угроз ЦОУ ИБ является единственным инструментом, позволяющим оперативно и эффективно реагировать на возникающие инциденты в области ИБ. Важно отметить, что полноценный ЦОУ нельзя построить только на продуктах обработки информации и событий ИБ (SIEM), поскольку даже являющиеся лидерами рынка продукты SIEM не могут реализовать все необходимые для ЦОУ ИБ функции.
Как правило, полнофункциональный ЦОУ ИБ включает в себя следующие компоненты: специальные средства мониторинга СУБД и файловых хранилищ, модуль кросс-корреляций и анализа, централизованное хранилище инцидентов, модуль визуализации бизнес-процессов и показателей, модуль управления процессом разрешения инцидентов ИБ.
Централизованное управление процессом разрешения инцидентов позволяет организации видеть полную картину состояния ИБ, а также мгновенно получать данные по текущим и прошедшим инцидентам и представлять результаты работы службы ИБ руководству и аудиторам.
2. В чем основные преимущества, которые дает компании использование ЦОУ ИБ?
Основное преимущество от внедрения ЦОУ ИБ – оперативность реакции на наиболее критичные инциденты ИБ в распределенной корпоративной информационной системе.
Без использования специальных средств анализа и корреляции практически невозможно выявить инцидент в огромном потоке информации и событий от средств защиты информации, общесистемного/прикладного ПО, сетевого оборудования. Отдельной проблемой является полноценный мониторинг больших корпоративных СУБД и файловых ресурсов. Здесь также не обойтись без специализированных решений ЦОУ ИБ, так как встроенные средства контроля могут привести к существенной деградации производительности систем.
Возможность увидеть степень соответствия показателей ИБ организации тем или иным законодательным и вертикальным требованиям в виде интуитивно понятных графических форм с возможностью детализации зачастую является не меньшим преимуществом, чем функционал анализа и корреляции ЦОУ ИБ.
3. В каком случае следует создавать собственный Центр, а в каком лучше воспользоваться услугами аутсорсинга? Есть ли здесь российская специфика?
На мой взгляд, все организации, имеющие распределенную информационную систему корпоративного уровня, должны создать собственный ЦОУ ИБ, построенный с учетом специфики существующих ресурсов и бизнес-процессов. Мне сложно представить, что такую критичную и конфиденциальную тему, как обработка инцидентов ИБ, российские компании могут доверить сторонним подрядчикам. Исключением, пожалуй, является сектор SMB, предприятиям которого сложно инвестировать большие средства в создание собственного ЦОУ ИБ и содержание квалифицированной службы ИБ. Однако, по моему мнению, аутсорсинговые услуги в части ЦОУ ИБ будут ограничены защитой от атак и вредоносной активности. К более глубокой и широкой услуге сейчас не готовы ни заказчики, ни провайдеры услуг ИБ.