Security Operations Center

Security Operations Center (SOC) — это подразделение внутри любой компании, которое проверяет работу систем информационной безопасности и реагирует на инциденты.

В SOC входят сотрудники компании, обладающие необходимыми навыками в сфере ИБ. Основные инструменты для работы подразделения — это SIEM (Security Information and Event Management), IRP (Incident Response Platform), SOAR (Security Orchestration, Automation and Response) и SGRS (Security Governance, Risk-management and Compliance).

[text_with_btn btn=”Внедрить” link=”/ru-ru/services/info-security/security-operation-center-soc/” btn_size=”small”]Security Operations Center[/text_with_btn]

Все эти системы помогают сотрудникам SOC проводить анализ и мониторинг событий, реагировать на угрозы и ложные срабатывания, организовывать превентивные меры, а также предоставлять отчеты и автоматизировать действия.

Сфера применения

Подразделение SOC:

контролирует информационные системы и инфраструктуру как внутри компании, так и переданные на аутсорсинг третьим лицам;
проводит превентивные мероприятия для снижения риска утечки конфиденциальной информации;
совершает мониторинг событий в онлайн-режиме и своевременно реагирует на инциденты;
регулярно проверяет инфраструктуры предприятия на наличие уязвимостей, слабых зон, а также анализирует нарушения в сфере ИБ;
фильтрует ложные угрозы или некорректные срабатывания средств защиты информации;
анализирует произошедшие инциденты для предотвращения подобных случаев в будущем;
предоставляет отчеты об актуальном состоянии инфраструктуры и защите информации в компании.

Создание SOC в организации приносит и экономическую выгоду: снижаются затраты на обеспечение информационной безопасности предприятия, уменьшаются риски кражи информации.

Внедрение

Интегрировать SOC в текущую инфраструктуру организации можно двумя способами: внутренним или внешним.

В первом случае подразделение создается собственными силами внутри компании. Предварительно проводится анализ текущего состояния, оцениваются риски для организации в случае утечки информации. Для SOC предоставляется отдельное помещение, приобретается специализированное ПО и оборудование.

Если у организации нет опыта создания подобного центра, то стоит сразу перейти ко второму варианту. В противном случае можно потратить ресурсы, но не достигнуть поставленной цели.

Во втором случае организация создает SOC при помощи аутсорсинга. Мониторингом и анализом событий в этом случае занимаются сотрудники внешней компании, которая обладает необходимыми сертификатами и квалификацией.

Security Operations Center необходим тем организациям, которые стремятся снизить риск утечки конфиденциальной информации. SOC можно создать как собственными ресурсами, так и при помощи сторонних организаций.