ЦОУ ИБ. Мнение эксперта: Виктор Сердюк
1. Что такое ЦОУ ИБ – SOC (Security Operation Center) и для чего они нужны?
Центры управления ИБ предназначены для автоматизации процесса сбора и анализа информации о событиях безопасности, поступающих из различных источников. Как правило, подобные центры функционируют 24 часа в сутки и позволяют анализировать данные, поступающие от средств защиты информации, общесистемного и прикладного ПО, телекоммуникационного обеспечения и других источников.
Любой ЦОУ ИБ состоит из трех частей: программно-технической, документационной и кадровой. Программно-технические компоненты реализуются на основе специализированных систем мониторинга событий информационной безопасности. В западной терминологии данные системы обозначаются аббревиатурой SIM (Security Information Management) или SIEM (Security Information and Event Management). Одним из примеров подобных систем является продукт ArcSight ESM, которая занимает одну из лидирующих позиций в данной области.
Документационная часть ЦОУ ИБ включает в себя набор документов, описывающих основные процессы, связанные с выявлением и реагированием на инциденты безопасности. Например, в состав базовых документов входят должностные инструкции операторов и администраторов ЦОУ ИБ, политика и регламенты управления инцидентами, база данных инцидентов ИБ и т. д.
Кадровая составляющая ЦОУ ИБ подразумевает выделение сотрудников, ответственных за работу с центром управления. Как правило, выделяются следующие роли сотрудников:
- системный администратор, отвечающий за поддержку общесистемного аппаратного обеспечения ЦОУ ИБ;
- администратор безопасности, обеспечивающий управление и настройку параметров функционирования ЦОУ ИБ;
- оператор, выполняющий задачи просмотра результатов работы ЦОУ ИБ и выполнения базовых функций реагирования на типовые инциденты;
- аналитик, обеспечивающий анализ и реагирование на сложные виды инцидентов.
2. В чем основные преимущества, которые дает компании использование ЦОУ ИБ?
ЦОУ ИБ обеспечивают повышение эффективности принятия решений по реагированию на инциденты безопасности. Это достигается за счет того, что ЦОУ ИБ позволяют значительно сократить объем информации, который должен анализировать оператор для реагирования на те или иные инциденты ИБ. Так, ЦОУ ИБ может ежесекундно обрабатывать десятки тысяч событий, поступающих из разных источников, формируя на выходе список из десятка наиболее значимых инцидентов, на которые в первую очередь должен реагировать администратор безопасности.
3. В каком случае следует создавать собственный Центр, а в каком лучше воспользоваться услугами аутсорсинга? Есть ли здесь российская специфика?
Для крупных компаний с большим количеством источников событий безопасности рекомендуется иметь собственный центр управления ИБ. Это позволит более оперативно реагировать на выявляемые инциденты. Для небольших компаний в ряде случаев может быть более выгодным передать функции мониторинга на аутсорсинг в целях экономии финансовых ресурсов.