Byte/RE ИТ-издание

ЦОУ ИБ. Мнение эксперта: Руслан Рахметов

Безопасность
--> 66

1. Что такое ЦОУ ИБ – SOC (Security Operation Center) и для чего они нужны?

ЦОУ ИБ — это, если выражаться образно, «глаза» системы информационной безопасности компании. Сейчас никого из наших заказчиков не удовлетворяет точечный подход к решению проблемы ИБ. Нашим заказчикам необходим именно целостный, отлаженный процесс обеспечения информационной безопасности в организации. Эффективно организовать такой процесс можно только при условии, что система информационной безопасности будет пронизывать все уровни организации и включать три основные составляющие: люди, процессы и технологии.

Компания «АйТи» – одна из первых, кто серьезно занялся вопросом создания ЦОУ ИБ, разработав собственное решение. Наше решение позволяет мгновенно увидеть целостную картину состояния информационной безопасности в организации, причем, что немаловажно, — в динамике.

2. В чем основные преимущества, которые дает компании использование ЦОУ ИБ?

Основные преимущества, которые дает создание ЦОУ ИБ, — это скорость реакции на инциденты и повышение управляемости процесса обеспечения ИБ.

Время протекания большинства инцидентов в сфере информационной безопасности составляет не более секунды, а последствия этих секундных сбоев могут быть катастрофичны. В свою очередь, построение ЦОУ ИБ, по данным западных исследований, снижает задержки реагирования на инциденты ИБ из-за человеческого фактора на 80–90%.

Вторым немаловажным преимуществом является возможность видеть срез состояния информационной безопасности в комплексе, в режиме реального времени.

Можно выделить и более частные преимущества, такие как:

  • снижение рисков и времени простоя в критичных бизнес-процессах;
  • контроль и предотвращение инцидентов безопасности. Сокращение сроков работ по расследованию инцидентов и предоставлению отчетов руководству;
  • высвобождение ресурсов специалистов информационной безопасности и ИТ-службы, поскольку они затрачивают много времени на консолидацию и анализ инцидентов, связанных с нарушениями политики информационной безопасности компании;
  • ответственность за процесс (когда нет процесса реакции на инциденты, тогда нет и ответственного);
  • расстановка приоритетов по рискам для принятия адекватных мер защиты.

При разработке собственного решения — Центра мониторинга информационной безопасности IT SMMC — мы старались учесть основные потребности наших заказчиков, которые не закрывались решениями западных вендоров. Во-первых, в большинстве российских компаний используется множество средств защиты информации, в том числе отечественных, а порой и собственной разработки. Поэтому наши заказчики постоянно сталкивались с необходимостью интеграции мультивендорных решений. Во-вторых, необходимо формировать единую, консолидированную отчетности на русском языке.

Центр мониторинга информационной безопасности IT SMMC представляет собой систему с распределенной сетью агентов сбора, единым ядром аналитики и порталом русскоязычной отчетности. В качестве ядра аналитики, обеспечивающего хранение, обработку событий, управление инцидентами информационной безопасности, «АйТи» использует продукты и практики Cisco Systems. В качестве агентов сбора используются собственные разработки компании «АйТи», позволяющие интегрировать существующие и планируемые к внедрению системы защиты информации к ЦОУ ИБ. Портал отчетности ЦОУ ИБ дает возможность формировать отчеты о состоянии ИБ компании в соответствии с принятой в компании политикой или отраслевой спецификой.

Решение позволяет организовать глубокую интеграцию существующих систем защиты путем централизации управления и мониторинга и перевести разрозненные системы защиты в разряд сервисов, управляемых из единого центра.

3. В каком случае следует создавать собственный Центр, а в каком лучше воспользоваться услугами аутсорсинга? Есть ли здесь российская специфика?

В данном вопросе необходимо учитывать специфику работы каждой конкретной компании. «АйТи» предлагает три основных варианта внедрения ЦОУ ИБ. Два из них, Onsite и Outsourcing, различаются только местом размещения необходимого оборудования — у заказчика или в «АйТи». Третий вариант — Comanaged — самый гибкий: помимо выбора места расположения оборудования он предполагает различные опции. Это может быть линия поддержки: например, клиент обеспечивает первую линию поддержки, «АйТи» — вторую; или интервал времени поддержки: например, клиент управляет ЦОУ ИБ в рабочие часы, «АйТи» — в нерабочие.

Безусловно, российская специфика существует. В первую очередь это касается вопросов аутсорсинга в сфере ИБ: то, что для большинства западных компаний является распространенной практикой, в России пока не находит столь широкого применения. Вторая проблема, характерная для многих российских компаний, — необходимость формирования отчетности на русском языке. Причем требования к такой отчетности имеют значительную отраслевую специфику: различный порядок классификации инцидентов безопасности, обработки инцидентов безопасности, мониторинга событий безопасности, визуализации системы мониторинга и т. д. Естественно, подобный функционал не заложен в стандартных западных продуктах и решениях по ИБ. И в большинстве случаев каждое решение требует серьезной локализации. Поэтому при выборе и построении ЦОУ ИБ необходимо учитывать вопросы мультивендорности, локализации, надежности ядра аналитики, гибкости решения и, конечно, цены.

Вам также могут понравиться

RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool

Опрос системного интегратора CTI: «Пирамида проблем» контактного центра

Компания «Наносемантика» усовершенствовала обработку входящих вызовов КАПИТАЛ LIFE с…

Netwell заключила дистрибьюторское соглашение с отечественным разработчиком…

В Севастополе стартовала акселерационная программа «КиберРой»

Selectel и Neoflex объявили о технологическом партнерстве в области ML-разработки