EnglishVKTelegram
  • О компании
  • Пресс-центр
  • Решения и услуги
  • Отрасли
  • Проекты
  • Карьера
    • Публикации
    BYTEmag.ru , 16 ноября 2009 г.

    Дмитрий Породин: «Центры оперативного управления информационной безопасностью»

    Дмитрий ПородинЧто такое ЦОУ ИБ? В чем основные преимущества, которые дает компании использование ЦОУ ИБ? В каком случае следует создавать собственный Центр, а в каком лучше воспользоваться услугами аутсорсинга? На эти и другие вопросы редакции «BYTE/Россия» ответил начальник отдела систем информационной безопасности  INLINE Technologies Дмитрий Породин.

    BYTE: Что такое ЦОУ ИБ – SOC (Security Operation Center) и для чего они нужны?

    Дмитрий Породин: ЦОУ ИБ (SOC), также называемый ситуационным центром по ИБ, представляет собой взаимоувязанную совокупность технических средств выявления и обработки инцидентов, контроля и визуализации показателей состояния ИБ, а также процессов и регламентов управления ИБ организации. На текущем этапе развития ИТ все информационные системы корпоративного уровня являются сложной гетерогенной средой. Поэтому с учетом возрастающих и очень быстро изменяющихся угроз ЦОУ ИБ является единственным инструментом, позволяющим оперативно и эффективно реагировать на возникающие инциденты в области ИБ. Важно отметить, что полноценный ЦОУ нельзя построить только на продуктах обработки информации и событий ИБ (SIEM), поскольку даже являющиеся лидерами рынка продукты SIEM не могут реализовать все необходимые для ЦОУ ИБ функции.

    Как правило, полнофункциональный ЦОУ ИБ включает в себя следующие компоненты: специальные средства мониторинга СУБД и файловых хранилищ, модуль кросс-корреляций и анализа, централизованное хранилище инцидентов, модуль визуализации бизнес-процессов и показателей, модуль управления процессом разрешения инцидентов ИБ.

    Централизованное управление процессом разрешения инцидентов позволяет организации видеть полную картину состояния ИБ, а также мгновенно получить данные по текущим и прошедшим инцидентам и представить результаты работы службы ИБ руководству и аудиторам.

    BYTE: В чем основные преимущества, которые дает компании использование ЦОУ ИБ?

    Дмитрий Породин: Основное преимущество от внедрения ЦОУ ИБ – оперативность реакции на наиболее критичные инциденты ИБ в распределенной корпоративной информационной системе.

    Без использования специальных средств анализа и корреляции практически невозможно выявить инцидент в огромном потоке информации и событий от средств защиты информации, общесистемного/прикладного ПО, сетевого оборудования. Отдельной проблемой является полноценный мониторинг больших корпоративных СУБД и файловых ресурсов. Здесь также не обойтись без специализированных решений ЦОУ ИБ, т. к. встроенные средства контроля могут привести к существенной деградации производительности систем.

    Возможность увидеть степень соответствия показателей ИБ организации тем или иным законодательным и вертикальным требованиям в виде интуитивно понятных графических форм с возможностью детализации зачастую является не меньшим преимуществом, чем функционал анализа и корреляции ЦОУ ИБ.

    BYTE: В каком случае следует создать собственный Центр, а в каком лучше воспользоваться услугами аутсорсинга? Есть ли здесь российская специфика?

    Дмитрий Породин: На мой взгляд, все организации, имеющие распределенную информационную систему корпоративного уровня, должны создать собственный ЦОУ ИБ, построенный с учетом специфики существующих ресурсов и бизнес-процессов. Мне сложно представить, что такую критичную и конфиденциальную тему, как обработка инцидентов ИБ, российские компании могут доверить сторонним подрядчикам. Исключением, пожалуй, является сектор SMB, предприятиям которого сложно инвестировать большие средства в создание собственного ЦОУ ИБ и содержание квалифицированной службы ИБ. Однако, по моему мнению, аутсорсинговые услуги в части ЦОУ ИБ будут ограничены защитой от атак и вредоносной активности. К более глубокой и широкой услуге сейчас не готовы ни заказчики, ни провайдеры услуг ИБ.