Построение корпоративного security operation center (SOC)



С точки зрения информационной безопасности Security Operation Center начинается с SIEM системы, но ей не ограничивается. Security Operation Center– это совокупность технических средств, сотрудников и процессов информационной безопасности.

К функциям SOC относятся:

  •          Мониторинг и анализ данных в режиме реального времени
  •          Управление и работа с инцидентам
  •          Поддержка работоспособности смежных информационных систем
  •          Стратегическое планирование
  •          Сбор, хранение и обработка информации со смежных информационных систем и цифровых устройств в сети
  •          Расследование случаев внутренних нарушений
  •          Инструмент ускоренной «эволюции» службы информационной безопасности
  •          Построение карты сети и отслеживание её состояния
  •          Оценка защищенности
  •          Прозрачность при внедрении механизмов ключевых показателей эффективности
  •          Повышение осведомленности
  •          Оперативное информирование
  •          Оперативное управление

За счет выстраивания процессов информационной безопасности, SOC позволяет глубже интегрироваться в процессы смежных подразделений - от ИТ, кадровой службы, производства, до анализа и обучения на основе программируемых логических контроллеров (ПЛК).

Для обеспечения функционирования SOC предлагается следующая модель в подборе обслуживающего персонала:

  •          Диспетчеры, для оперативной обработки заявок и инцидентов от клиентов, т.е. сотрудников смежных подразделений
  •          Аналитики для обработки инцидентов, заведенных на первой линии. Обычно к сотрудникам, так называемой второй линии выдвигаются более серьезные требования к квалификации, так как они занимаются разбором инцидентов, продолжительное время, собирая информацию воедино при расследовании инцидентов информационной безопасности
  •          Специалисты отвечают за функционирование и настройку своих систем, т.к. SOC состоит из нескольких систем информационной безопасности

Организация работы SOC предполагает функционирование в режиме 24\7, но не обязательно увеличивать штат персонала, часть работы, особенно с некритичными инцидентами можно делегировать смежному персоналу, например, диспетчерам или ИТ инженерам.

Обычно, когда возникает вопрос о создании собственного SOC, технические средства защиты информации уже имеются. При этом возникает необходимость роста, оптимизации и централизации. Мы считаем, что минимальный набор технических средств должен включать следующие централизованные средства защиты:

  •          SIEM система
  •          UTM решения, для защиты периметра сети
  •          Антивирусные средства
  •          Защита виртуализации, при использовании виртуализации
  •          Управление привилегированными пользователями (PAM) при доступе к критической информации и для доступа подрядчиков
  •          Средства анализа защищенности
  •          Песочницы