Создание операционных центров информационной безопасности (SOC)

Услуга создания SOC на сегодняшний день актуальна для любой компании с развитой IT-инфраструктурой. В SOC консолидируется вся информация об ИТ-активах и событиях безопасности, получаемая от различных компонентов информационной инфраструктуры и средств защиты информации, которая в дальнейшем обрабатывается и анализируется квалифицированным персоналом SOC.

Специалисты IBS Platformix разрабатывают архитектуру SOC. Она включает в себя комбинацию нескольких основных элементов:

• процессная модель, представляющая собой совокупность взаимосвязанных процессов SOC;
• техническая инфраструктура SOC, состоящая из комплекса программных и технических средств;
• ролевая модель SOC, описывающая организационную структуру, функции и обязанности персонала SOC и смежных подразделений;
• нормативно-методическое обеспечение SOC, состоящее из комплекта технической, организационной и методической документации.

Предпосылки

• Несвоевременное реагирование на инциденты ИБ из-за недостаточно зрелых процессов мониторинга и реагирования на инциденты ИБ.
• Существующему подразделению ИБ удается выполнить реагирование только на малую часть от общего числа инцидентов ИБ.
• Наличие развитой геораспределенной IT-инфраструктуры компании с большим числом разнообразных IT-активов и средств защиты информации, а также большим объемом данных о событиях безопасности.
• Отсутствие технологической платформы для получения единой картины происходящего в информационной инфраструктуре компании, централизованного мониторинга и реагирования на инциденты ИБ, контроля метрик эффективности реализации ключевых процессов ИБ.
• Расследование инцидентов ИБ занимает очень много времени.
• Разрозненные центры ответственности в области мониторинга и реагирования на инциденты ИБ.
• Необходимость исполнения требований законодательства РФ в области защиты персональных данных, критической информационной инфраструктуры, банковских, платежных и государственных информационных систем, в части реагирования на компьютерные инциденты и реализации смежных процессов управления ИБ.
• Необходимость исполнения требований Федерального закона от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
• В части обеспечения непрерывного взаимодействия с ГосСОПКА и ФинЦЕРТ.
• соответствие лучшим практикам, закрепленным в отечественных и международных стандартах и рекомендациях в области ИБ (ЦБ РФ, MITRE, ENISA, NIST, ISO, PCI, SANS и прочие).

Наши услуги

Работы по созданию SOC включают в себя следующие основные этапы:

• Обследование информационной инфраструктуры и существующих процессов мониторинга и реагирования на инциденты ИБ
• Разработка концепции создания SOC, включающей описание операционной модели и архитектуры SOC
• Проектирование и внедрение технической инфраструктуры SOC, интеграция с источниками данных и внешними системами
• Разработка процессной модели SOC, пересмотр существующих и внедрение новых процессов SOC, разработка регламентов процессов SOC
• Настройка корреляционных правил, разработка и настройка сценариев реагирования на инциденты ИБ (playbook)
• Разработка программы обучения персонала SOC, проведение киберучений

Эффект для бизнеса

	Оперативное выявление инцидентов ИБ, анализ и ликвидация их последствий в соответствии с лучшими практиками и требованиями законодательства.
	Минимизация рисков возможного финансового и/или репутационного ущерба от инцидентов ИБ за счет повышения оперативности выявления и реагирования на инциденты ИБ.
	Обработка и расследование инцидентов ИБ с учетом оперативного получения актуальных данных об уязвимостях и кибератаках как от внутренних источников, так и от сторонних центров мониторинга (в т.ч. НКЦКИ, ФинЦЕРТ).
	Своевременная передача информации о выявленных инцидентах ИБ в НКЦКИ и/или ФинЦЕРТ в рамках выполнения требований 187-ФЗ (672-П).