INLINE Technologies
Eng

Публикации

BYTEmag.ru , 16 ноября 2009 г.

Дмитрий Породин «Центры оперативного управления информационной безопасностью»

Дмитрий ПородинЧто такое ЦОУ ИБ? В чем основные преимущества, которые дает компании использование ЦОУ ИБ? В каком случае следует создавать собственный Центр, а в каком лучше воспользоваться услугами аутсорсинга? На эти и другие вопросы редакции «BYTE/Россия» ответил начальник отдела систем информационной безопасности  INLINE Technologies Дмитрий Породин.

Что такое ЦОУ ИБ – SOC (Security Operation Center) и для чего они нужны?

ЦОУ ИБ (SOC), также называемый ситуационным центром по ИБ, представляет собой взаимоувязанную совокупность технических средств выявления и обработки инцидентов, контроля и визуализации показателей состояния ИБ, а также процессов и регламентов управления ИБ организации. На текущем этапе развития ИТ все информационные системы корпоративного уровня являются сложной гетерогенной средой. Поэтому с учетом возрастающих и очень быстро изменяющихся угроз ЦОУ ИБ является единственным инструментом, позволяющим оперативно и эффективно реагировать на возникающие инциденты в области ИБ. Важно отметить, что полноценный ЦОУ нельзя построить только на продуктах обработки информации и событий ИБ (SIEM), поскольку даже являющиеся лидерами рынка продукты SIEM не могут реализовать все необходимые для ЦОУ ИБ функции.

Как правило, полнофункциональный ЦОУ ИБ включает в себя следующие компоненты: специальные средства мониторинга СУБД и файловых хранилищ, модуль кросс-корреляций и анализа, централизованное хранилище инцидентов, модуль визуализации бизнес-процессов и показателей, модуль управления процессом разрешения инцидентов ИБ.

Централизованное управление процессом разрешения инцидентов позволяет организации видеть полную картину состояния ИБ, а также мгновенно получить данные по текущим и прошедшим инцидентам и представить результаты работы службы ИБ руководству и аудиторам.

В чем основные преимущества, которые дает компании использование ЦОУ ИБ?

Основное преимущество от внедрения ЦОУ ИБ – оперативность реакции на наиболее критичные инциденты ИБ в распределенной корпоративной информационной системе.

Без использования специальных средств анализа и корреляции практически невозможно выявить инцидент в огромном потоке информации и событий от средств защиты информации, общесистемного/прикладного ПО, сетевого оборудования. Отдельной проблемой является полноценный мониторинг больших корпоративных СУБД и файловых ресурсов. Здесь также не обойтись без специализированных решений ЦОУ ИБ, т. к. встроенные средства контроля могут привести к существенной деградации производительности систем.

Возможность увидеть степень соответствия показателей ИБ организации тем или иным законодательным и вертикальным требованиям в виде интуитивно понятных графических форм с возможностью детализации зачастую является не меньшим преимуществом, чем функционал анализа и корреляции ЦОУ ИБ.

В каком случае следует создать собственный Центр, а в каком лучше воспользоваться услугами аутсорсинга? Есть ли здесь российская специфика?

На мой взгляд, все организации, имеющие распределенную информационную систему корпоративного уровня, должны создать собственный ЦОУ ИБ, построенный с учетом специфики существующих ресурсов и бизнес-процессов. Мне сложно представить, что такую критичную и конфиденциальную тему, как обработка инцидентов ИБ, российские компании могут доверить сторонним подрядчикам. Исключением, пожалуй, является сектор SMB, предприятиям которого сложно инвестировать большие средства в создание собственного ЦОУ ИБ и содержание квалифицированной службы ИБ. Однако, по моему мнению, аутсорсинговые услуги в части ЦОУ ИБ будут ограничены защитой от атак и вредоносной активности. К более глубокой и широкой услуге сейчас не готовы ни заказчики, ни провайдеры услуг ИБ.


Наверх
Вопрос эксперту
Сергей Гаврилов
Серверы, СХД, системы виртуализации
Олег Сухов
Видеонаблюдение, биометрия, системы контроля доступа
Александр Переведенцев
Инженерная инфраструктура ЦОД
Александр Гурьянов
Обслуживание систем и аутсорсинг
Константин Соловьев
КСПД, центры обработки данных, технологические сети
Дмитрий Мороз
Информационная безопасность
  
|  Карта сайта
1-й Волоколамский пр-д, 10, стр. 1, эт. 6, Москва, 123060   Телефон/факс: +7 (495) 721-35-05   эл. почта: info@in-line.ru   Схема проезда
    © 2010-2020  ООО «Инлайн технолоджис»