Об услуге
Security Operation Center (SOС) — комплексное решение для обеспечения защищенности ИТ-инфраструктуры, которое основывается на непрерывном контроле, мониторинге и реагировании на инциденты информационной безопасности.
Основной целью SOС является противодействие кибератакам и проактивная защита компонентов ИТ-инфраструктуры от внешних и внутренних киберугроз.
Мы предлагаем следующие функции SOC:
- мониторинг событий информационной безопасности;
- выявление, реагирование и предотвращение инцидентов ИБ;
- регуляторное сканирование на уязвимости;
- учет и контроль компонентов ИТ-инфраструктуры.
Центр управления информационной безопасностью (SOC) значительно повышает общий уровень информационной безопасности, а также обеспечивает выполнение Федеральных законов и стандартов ГОСТ.
Зачем вам SOC?
Контролируйте защищенность информационной инфраструктуры в бесперебойном режиме.
Предотвращайте взломы, утечки и другие неблагоприятные последствия.
Выполняйте требований регуляторов.
Экономьте бюджет за счет сокращения CAPEX.
Как мы работаем?
Мы постоянно совершенствуем экспертизу команды и накапливаем собственные статистические данные по инцидентам ИБ.
Мониторинг событий ИБ осуществляется в режиме 24/7.
По результатам каждого отчетного периода мы предоставляем Отчет в электронном виде, из которого можно получить следующие сведения:
краткие выводы о состоянии защищенности компонентов ИТ-инфраструктуры;
выявленные проблемы в процессах обеспечения ИБ;
общий перечень событий, зарегистрированных за отчетный период;
перечень подозрительных событий ИБ, не являющихся инцидентами;
описание инцидентов ИБ, выявленных за отчетный период;
описание уязвимостей и способов их устранения;
информацию об изменении состава компонентов ИТ-инфраструктуры.
Мониторинг событий безопасности в ИТ-инфраструктуре Клиента выполняется для оперативного выявления инцидентов ИБ. В основе Мониторинга событий лежит анализ большого количества событий безопасности, который выполняется командой аналитиков сервиса SOC при помощи SIEM-системы. «SIEM-система (Security information and event management) является одним из базовых компонентов любого коммерческого SOC, которая в режиме реального времени обрабатывает события безопасности согласно пред настроенным правилам (правилам корреляции)».
Таким образом, выявление инцидентов ИБ производится на ранней стадии, что позволяет не допустить возможных негативных последствий, связанных с поздним реагированием и недостатками при их выявлении.
Список источников событий ИБ в рамках услуги
Информация в SIEM-систему поступает от следующих источников информационной безопасности:
Сетевая инфраструктура
Маршрутизаторы, коммутаторы, МСЭ и др.
Вычислительная инфраструктура
Серверы под управлением ОС семейства Unix/Windows
Виртуальная инфраструктура
ПО управления, виртуальные машины
Оконечное оборудование пользователей
Ноутбуки, рабочие станции, моноблоки и др.
Программное обеспечение
ОС семейства Unix/Windows, СУБД, СРК, антивирусное ПО, DLP и др.
Системы контроля и управления доступом
СКУД, видеонаблюдение и др.
Инфраструктура беспроводной сети
Контроллер беспроводной сети, автономные и управляемые точки доступа
Индивидуальные решения
Кастомизация, собственная разработка и др.
Услуга позволяет выполнить:
ГОСТ Р 57580.1-2017: меры МАС.1-МАС.8, МАС.10- МАС.23 (возможный прирост к оценке по ГОСТ – 0,06);
Приказ ФСТЭК России №21 и №17: требования РСБ.1-РСБ.7, РСБ.8 (17й приказ);
ФЗ-187: Статья 4. Принципы обеспечения безопасности критической информационной инфраструктуры;
PCI DSS: требования 10.1 (включая подпункты), 10.2 (включая подпункты), 10.3 (включая подпункты), 10.5 (включая подпункты), 10.6 (включая подпункты), 10.7 (включая подпункты), 10.8.
Приказ ФСТЭК России №239: АУД.4 — АУД.9.
При выявлении потенциального инцидента ИБ выполняется следующий план действий:
Проведение анализа и фильтрации потенциального инцидента ИБ на предмет ложного‑положительных срабатываний;
Выявление инцидента ИБ на ранней стадии;
Определение степени критичности инцидента ИБ исходя из бизнес-процессов Клиента;
Незамедлительное информирование Клиента об инциденте ИБ по средствам электронной почты, мессенджеров и других каналов связи;
Сопровождение процесса реагирования на инцидент ИБ, консультирование по проведению технических работ;
Сопровождение процесса устранения последствий инцидента ИБ;
Предоставление отчетности по инциденту ИБ;
Формирование плана действий по недопущению повторения инцидента ИБ.
В рамках сервиса формируется полноценный реестр инцидентов ИБ, как того требуют большинство стандартов по информационной безопасности. Информация об инцидентах ИБ хранится до полного прекращения обязательств по договору и спустя еще 6 месяцев после.
Кроме того, в рамках реагирования на инцидент ИБ может быть выполнено превентивное действие, с целью недопущения распространения инцидента ИБ на остальные компоненты ИТ-инфраструктуры. Например, возможно заблокировать сетевые соединения или доступ в Интернет на определенном компоненте. Данная возможность дополнительно согласовывается с Клиентом в рамках разработки моделей реагирования.
Услуга позволяет выполнить:
ГОСТ Р 57580.1-2017: меры РИ.1-РИ.3, РИ.6, РИ.10, РИ.13 — РИ.18;
Приказ ФСТЭК России №21 и №17: требования ИНЦ.1-ИНЦ.6;
ФЗ-187: Статья 5 Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Статья 9. Права и обязанности субъектов критической информационной инфраструктуры;
PCI DSS: требования 10.8.1, 11.5.1, 12.10, 12.10.1 — 12.10.6;
Приказ ФСТЭК России №239: СОВ.1, ИНЦ.1 — ИНЦ.6.
Сканирование на уязвимости (далее – Сканирование) выполняется для оперативного выявления возможных уязвимостей в ИТ-инфраструктуре Клиента. Сканирование выполняется с использованием автоматизированных средств (сканера уязвимостей) в режиме реального времени. В составе сканера содержится пополняемая коллекция NVT тестов безопасности, которая позволяет выявить уязвимости, а также используется подключение к базе CVE, описывающей известные уязвимости.
По результатам сканирования аналитики SOC проводят анализ защищенности ИТ-инфраструктуры, определяют и закрывают ложно-положительные результаты работы сканера и предоставляют Отчет Клиенту с описанием найденных уязвимостей и способов их устранения.
Услуга позволяет выполнить:
ГОСТ Р 57580.1-2017: меры ЦЗИ.1, ЦЗИ.2, ЦЗИ.4 — ЦЗИ.10, ЦЗИ.12, ЦЗИ.15;
Приказ ФСТЭК России №21 и №17: требования АНЗ.1 – АНЗ.5;
ФЗ-187: Статья 9. Права и обязанности субъектов критической информационной инфраструктуры;
PCI DSS: требования 6.1, 6.2, 11.2, 11.2.1.
Приказ ФСТЭК России №239: АУД.2.
Услуга позволяет выполнить:
ГОСТ Р 57580.1-2017: меры ИУ.1 — ИУ.8;
ФЗ-187: Статья 8. Реестр значимых объектов критической информационной инфраструктуры;
PCI DSS: требования п. 2.4.
Приказ ФСТЭК России №239: ЗНИ.1, АУД.1.
Подключение к SOC
Все действия по подключению ИТ-инфраструктуры Клиента к сервису SOC производятся совместно с командой SOC.
Этапы:
- Установка агентов на компоненты ИТ-инфраструктуры клиента (примечание1)
- Установка сетевой связанности между инфраструктурой Клиента и сервисом SOC по средствам VPN‑туннеля с шифрованием ГОСТ (примечание 2)
- Передача, анализ, хранение и непрерывный мониторинг событий безопасности в режиме 24/7
Примечание 1: В зависимости от типа компонента возможно безагентное подключение к сервису SOC. При таком способе подключения в ИТ-инфраструктуру клиента устанавливается ВМ.
Примечание 2: В отдельных случаях, допускается другой способ организации сетевой связанности, который предварительно согласовывается с Клиентом.
Для кого подходит
Компании, желающие соответствовать стандартам РФ (ГОСТ 57580, Положения ЦБ, 152-ФЗ, 187-ФЗ)
Компании, желающие повысить уровень зрелости ИБ процессов
Компании, у которых возникали инциденты ИБ
Наши клиенты
