Определяем текущее состояние ИБ и даем рекомендации по улучшению уровня защиты
Помогаем обеспечить выполнение требований 152-ФЗ по защите персональных данных
Отчет с рекомендациями и дорожная карта для выполнения требований Указа №250
Проведем категорирование объектов, подготовим ОРД и поможем обеспечить безопасность КИИ
Курсы информационной безопасности для вас и ваших сотрудников
Услуги:
Статьи:
Аттестация объектов информатизации и подключение к ГИС
Поиск путей проникновения внешнего нарушителя во внутреннюю сеть
Экспертный анализ и оценка уровня защищенности инфраструктуры
Анализ защищенности от атак с доступом к локальной сети организации
Услуги:
Статьи:
Анализ защищенности от атак с эксплуатацией уязвимостей веб-ресурсов
Симуляция атак с использованием методов социальной инженерии
Анализ защищенности от атак с эксплуатацией уязвимостей мобильных приложений
Реализация требований ГОСТ Р 57580.1 , начиная с аудита и заканчивая построением системы защиты
Проводим оценку рисков ИБ для организации, вероятность их реализации и степень допустимости
Проводим аудит по требованиям Положения 716-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положений 787-П и 779-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положения SWIFT CSCF, готовим отчёт и комплект ОРД
Статьи:
Услуги:
Полный комплекс работ по обеспечению информационной безопасности КИИ
Защита автоматизированных систем управления технологическими процессами
Готовим документы для выполнения требований по защите ПДн (152-ФЗ)
Обеспечение соответствия Приказам ФСТЭК № 235 и № 239
Поможем выполнить требования Указа № 250 Президента Российской Федерации
Оценка и подтверждение соответствия объектов информатизации требованиям безопасности
Услуги:
Статьи:
Внедрение и сопровождение IDM, аудит прав доступа, построение ролевой модели
Внедрение и поддержка средств мультифакторной аутентификации
Внедрение и поддержка систем контроля привилегированных пользователей
Услуги:
Услуги:
Статьи:
Проектирование, внедрение, поддержка систем защиты конечных точек
Проектирование, внедрение, поддержка систем защиты конечных точек от комплексных угроз
Проектирование, внедрение, поддержка систем Extended Detection and Response
Услуги:
Статьи:
Сервис обучения сотрудников навыкам кибербезопасности на базе Phishman
15 базовых курсов по информационной безопасности для ваших сотрудников
Автоматизированная система обучения сотрудников основам ИБ
Услуги:
Разработка системы управления информационной безопасностью в соответствии с ISO/IEC 27001
Экспертный аудит и разработка стратегии непрерывности бизнеса в соответствии с ISO 22301
Новости

SOC (Security Operation Center) – разговор с экспертами

Сiso Club поинтересовался у Алексея Юдина, директора центра мониторинга Infosecurity, и других специалистов, для чего нужен SOC, какую модель развертывания SOС надо предлагать заказчикам, из чего состоит современный SOC, какие специалисты должны входить в SOC-команду со стороны исполнителя и заказчика. Также эксперты рассказали нам об оценке эффективности SOC, актуальных лицензиях и сертификатах для SOC, разнице между отечественным и иностранным подходом, и, конечно, о том, почему необходимо посетить предстоящий SOC-Форум.


Для чего нужен SOC? Какие потребности CEO, CFO, CIO, CISO закрывают с помощью SOC?


Алексей Юдин, директор центра мониторинга Infosecurity:
«Однозначно ответить на этот вопрос невозможно – выбор модели SOC зависит исключительно от потребностей и финансовых возможностей заказчика. Если мы говорим про собственный SOC (On Premise), то он находится полностью в собственности заказчика с точки зрения владения оборудованием и найма специалистов. Это самый дорогой и длительный по времени вариант реализации центра мониторинга – его построение может занять годы и не всегда гарантирует результат. В случае облачной модели SOC центр мониторинга находится полностью на стороне сервис-провайдера. В этом случае заказчику не нужно нанимать и содержать персонал, разрабатывать регламенты и т.д. Облачный вариант позволяет заказчику оптимизировать затраты на информационную безопасность и сосредоточить внимание на своих основных бизнес-процессах».

Как правильно выстроить процесс управления жизненным циклом инцидента?


«Самое главное в процессе управления инцидентами – это качественное отсеивание ложных срабатываний и быстрое реагирование всеми ответственными лицами в случае реальных инцидентов. В процесс расследования и реагирования на инциденты должны быть вовлечены сотрудники SOC, специалисты ИТ-подразделения и владельцы бизнес-систем для оперативного принятия решений. Таким образом, для оптимального выстраивания процесса необходимо, чтобы все заинтересованные подразделения могли вовремя вносить корректировки в работу и оптимизировать процессы под задачи бизнеса».

Из каких специалистов состоит SOC-команда со стороны исполнителя, а также заказчика?


«В идеале, наиболее эффективно разделить специалистов SOC на две линии. Группа 1-й линии обеспечивает оперативный разбор входящей информации и выделение в общем потоке данных угроз безопасности. Если инцидент оказывается среднего или высокого уровня критичности, то он передается специалистам 2-й линии SOC. Сотрудники 2-й линии должны обладать более глубокими экспертными компетенциями: они могут расследовать инцидент от нескольких минут до недель, собирая детальные данные, привлекая экспертов, восстанавливая последовательность действий и т.д. Помимо сотрудников 1 и 2 линии в команде могут быть эксперты по цифровой криминалистике и аналитики вредоносного ПО, специалисты по анализу угроз, эксперты по разработке контента для SIEM и IRP систем и руководитель, который отвечает за координацию всего центра мониторинга и смежных подразделений. Если мы говорим про модель On Premise, то организация-заказчик должна самостоятельно «вырастить» или нанять специалистов, способных обеспечить мониторинг и разбор инцидентов ИБ, а если про облачную модель – то тогда сервис и специалисты находятся в ведении сервис-провайдера, то есть исполнителя».

Какой KPI у SOC? Как оценить эффективность современного SOC?


«Помимо количества и скорости выявления и реагирования на инциденты немаловажным является и процент ложных срабатываний: чем он ниже, тем более качественно работает SOC и более плотно выстроено взаимодействие со службами эксплуатации средств защиты и информационных систем. Также важной характеристикой является покрытие инфраструктуры, как по объему инфраструктуры, так и по набору сценариев реагирования. Хорошей практикой является проведение тестов на проникновение (Redteaming) для проверки эффективности и выявления «белых пятен» в зоне ответственности специалистов SOC».

Какие лицензии и сертификаты должен иметь современный SOC? Какие требования регуляторов необходимо соблюдать?


«Как правило, обязательной для всех компаний, оказывающих услуги SOC, является лицензия ФСТЭК на техническую защиту конфиденциальной информации. Для финансовой отрасли необходимо выполнять требования ГОСТ 57580.1 и обеспечить взаимодействие с ФинЦЕРТ в части обмена данными об угрозах и критичных инцидентах. Для компаний, в которых присутствуют объекты критической инфраструктуры, необходимо выполнять перечень требований ФСБ и ФСТЭК по защите данных объектов, а также организовать передачу инцидентов и информации об уязвимостях объектов КИИ в НКЦКИ».

 Полную версию статьи читайте в иточнике: https://cisoclub.ru/soc-security-operation-center-razgovor-s-ekspertami/
Блог