Компания «Инфосистемы Джет» оказывает полный спектр услуг по созданию Центров управления инцидентами ИБ. Применяемые технологии позволяют оптимизировать работу отделов ИБ, сократить время реакции на события ИБ и минимизировать ущерб от инцидентов. Также внедрение SOC (Security Operation Center) способствует повышению управляемости компании и выявлению «слабых мест» в системе защиты.

Проблематика

Огромное количество антивирусов, межсетевых экранов, систем защиты СУБД, web-сервисов, сканеров уязвимостей и других активных средств защиты информации не создают единой картины происходящего в ИБ-инфраструктуре. Все элементы защиты по отдельности настроены и работают, но между ними нет связующего звена. Именно оно позволяет эффективно использовать комплекс средств защиты, максимально быстро выявлять инциденты и учиться действовать проактивно.

Проблемы при децентрализованном мониторинге событий ИБ:

  • отсутствует оперативная реакция на инциденты ИБ;
  • невозможно определить источник угрозы и найти ответственных за возникновение инцидента;
  • крайне осложнено получение полной и достоверной информации о реализации угроз ИБ в режиме реального времени;
  • сложно продемонстрировать эффективный анализ событий ИБ аудиторам и регуляторам в ходе сертификаций и проверок;
  • сложно планировать направления развития ИБ.

Решение

Решением этих проблем в обеспечении ИБ является построение Центра управления инцидентами ИБ, которое позволяет решить целый ряд задач:

  • сократить время обнаружения инцидентов ИБ и реакции на них;
  • контролировать выполнение политик и правил ИБ по результатам расследования инцидентов;
  • осуществлять централизованный мониторинг состояния ИБ;
  • повысить эффективность управления рисками ИБ и выявить необходимые меры защиты;
  • повысить уровень стабильности и управляемости компании;
  • реализовать нормативные и международные требования по мониторингу событий ИБ.

Подход к созданию Центра управления инцидентами ИБ базируется на трех основополагающих направлениях: технологии, процессы и персонал.

Технологии

Технологии разделяются на следующие группы:

  • аудит событий;
  • сбор, фильтрация и хранение событий;
  • корреляция событий и выявление инцидентов;
  • расследование инцидентов и эскалация проблем;
  • отчетность на всех уровнях управления инцидентами.

Для аудита событий используются как штатные механизмы операционных систем, сетевого оборудования, серверов приложений, web-сервисов и баз данных, так и наложенные средства ИБ – например, системы защиты СУБД Imperva SecureSphere или IBM Guardium.

В целях корреляции событий ИБ с данными о реальных уязвимостях ИТ-инфраструктуры проводится интеграция Центра управления инцидентами ИБ с системами MaxPatrol от Positive Technologies или Vulnerability Management от McAfee.

Непосредственно сами технологии обработки событий, расследования инцидентов и отчетности базируются на системах ведущих производителей, таких как HP ArcSight, IBM QRadar, McAfee ESM, RSA enVision.

Одно из перспективных направлений – оказание облачных услуг SOC – включает:

  • подключение инфраструктуры клиентов к собственному SOC;
  • непрерывный мониторинг и анализ событий ИБ;
  • оперативное реагирование в режиме 24х7 на инциденты ИБ;
  • создание регулярных отчетов для технических специалистов отделов ИБ и руководства.

Процессы

Создание процесса управления инцидентами ИБ позволяет существенно повысить эффективность применяемых технологий, а именно добиться полноценного решения задач SOC в соответствии с лучшими практиками. В ходе выстраивания процесса управления инцидентами ИБ эксперты компании «Инфосистемы Джет» проводят следующие процедуры:

  • классификация возможных событий;
  • формирование перечня событий, на которые необходимо реагировать;
  • типизация и приоритизация инцидентов;
  • определение ролей сотрудников, участвующих в расследовании инцидентов;
  • расследование инцидентов;
  • подготовка и планирование проактивных мер ИБ, предотвращающих повторное возникновение инцидента.

Процессный подход делает реагирование и разрешение инцидентов ИБ более оперативным и позволяет использовать как аккумулированный в ходе проектов, так и собственный опыт клиентов по разрешению инцидентов ИБ.

Персонал

Для поддержки выстроенных процессов и обслуживания внедренных технологий необходима команда опытных и квалифицированных специалистов. Компания «Инфосистемы Джет» формирует требования к персоналу и оказывает услуги по аутсорсингу процесса управления инцидентами ИБ.

Только наличие и связанность всех трех компонентов – технологий, процессов и персонала – позволяет создать эффективный Центр управления инцидентами ИБ и качественно решить поставленные задачи.

Выгоды

Создание SOC позволяет снизить ущерб от инцидентов ИБ за счет своевременного и эффективного реагирования и сбора доказательной базы.

Постоянный анализ событий и инцидентов ИБ, выяснение причин их возникновения позволяют оценить эффективность мер защиты, выявить их недостатки и выработать предложения по их замене или корректировке.

С помощью Центра управления инцидентами ИБ реализуются нормативные и международные требования по мониторингу событий PCI DSS, СТО БР, ISO/IEC 27001, ФЗ «О персональных данных».

Централизация информации о состоянии ИБ в единой системе позволяет сократить расходы на аудит и контроль событий ИБ.

И наконец, SOC повышает управляемость и стабильность компании, что ведет к увеличению её стоимости.

Преимущества работы с компанией «Инфосистемы Джет»

Созданные компанией «Инфосистемы Джет» Центры управления инцидентами ИБ, помимо интеграции с классическими сетевыми средствами безопасности, позволяют собирать и коррелировать события с дополнительных элементов защиты. Таких как системы защиты баз данных и web-сервисов, средства анализа уязвимостей, системы контроля утечек информации и контроля администраторов, а также средства защиты мобильных устройств.

За последние 5 лет был накоплен обширный опыт интеграции и получения событий ИБ с ключевых бизнес-систем:

  • автоматизированных банковских систем;
  • платежных систем процессинговых центров;
  • автоматизированных систем управления технологическими процессами;
  • технологических систем связи телеком-операторов;
  • CRM- и ERP-систем корпоративного уровня.

Компания «Инфосистемы Джет» успешно завершила несколько десятков проектов по созданию Центров управления инцидентами ИБ. Компании присвоены высокие партнерские статусы:

  • Платиновый партнер HP ArcSight.
  • Высший партнерский статус Premier Imperva SecureSphere.
  • Высший партнерский статус Premier IBM Guardium.
  • Авторизованный Reseller Positive Technologies MaxPatrol.
  • Высший партнерский статус Elite McAfee Vulnerability Manager.
  • Высший партнерский статус Symantec Platinum Partner.

По каждому решению в компании есть штат сертифицированных специалистов, которые обеспечивают высокое качество работ на всех этапах проекта: от подготовки коммерческих предложений до реализации проекта и технической поддержки созданных систем.