Об услуге
Security Operation Center (SOС) — комплексное решение для обеспечения защищенности ИТ-инфраструктуры, которое основывается на непрерывном контроле, мониторинге и реагировании на инциденты информационной безопасности.
Основной целью SOС является противодействие кибератакам и проактивная защита компонентов ИТ-инфраструктуры от внешних и внутренних киберугроз.
Мы предлагаем следующие функции SOC:
- мониторинг событий информационной безопасности;
- выявление, реагирование и предотвращение инцидентов ИБ;
- регуляторное сканирование на уязвимости;
- учет и контроль компонентов ИТ-инфраструктуры.
Центр управления информационной безопасностью (SOC) значительно повышает общий уровень информационной безопасности, а также обеспечивает выполнение Федеральных законов и стандартов ГОСТ.
Зачем вам SOC
Контролируйте защищенность информационной инфраструктуры в бесперебойном режиме
Предотвращайте взломы, утечки и другие неблагоприятные последствия
Выполняйте требований регуляторов
Экономьте бюджет за счет сокращения CAPEX
Как мы работаем?
Мы постоянно совершенствуем экспертизу команды и накапливаем собственные статистические данные по инцидентам ИБ.
Мониторинг событий ИБ осуществляется в режиме 24/7.
По результатам каждого отчетного периода мы предоставляем Отчет в электронном виде, из которого можно получить следующие сведения:
краткие выводы о состоянии защищенности компонентов ИТ-инфраструктуры;
выявленные проблемы в процессах обеспечения ИБ;
общий перечень событий, зарегистрированных за отчетный период;
перечень подозрительных событий ИБ, не являющихся инцидентами;
описание инцидентов ИБ, выявленных за отчетный период;
описание уязвимостей и способов их устранения;
информацию об изменении состава компонентов ИТ-инфраструктуры.
Виды услуг
Мониторинг событий безопасности в ИТ-инфраструктуре Клиента выполняется для оперативного выявления инцидентов ИБ. В основе Мониторинга событий лежит анализ большого количества событий безопасности, который выполняется командой аналитиков сервиса SOC при помощи SIEM-системы. «SIEM-система (Security information and event management) является одним из базовых компонентов любого коммерческого SOC, которая в режиме реального времени обрабатывает события безопасности согласно пред настроенным правилам (правилам корреляции)».
Таким образом, выявление инцидентов ИБ производится на ранней стадии, что позволяет не допустить возможных негативных последствий, связанных с поздним реагированием и недостатками при их выявлении.
Список источников событий ИБ в рамках услуги
Информация в SIEM-систему поступает от следующих источников информационной безопасности:
Маршрутизаторы, коммутаторы, МСЭ и др.
Вычислительная инфраструктура
Серверы под управлением ОС семейства Unix/Windows
ПО управления, виртуальные машины
Оконечное оборудование пользователей
Ноутбуки, рабочие станции, моноблоки и др.
Программное обеспечение
ОС семейства Unix/Windows, СУБД, СРК, антивирусное ПО, DLP и др.
Контроллер беспроводной сети, автономные и управляемые точки доступа
Услуга позволяет выполнить:
ГОСТ Р 57580.1-2017: меры МАС.1-МАС.8, МАС.10-МАС.23 (возможный прирост к оценке по ГОСТ — 0,06);
приказ ФСТЭК России №21 и №17: требования РСБ.1-РСБ.7, РСБ.8 (17-й приказ);
ФЗ-187: Статья 4. Принципы обеспечения безопасности критической информационной инфраструктуры;
PCI DSS: требования 10.1 (включая подпункты), 10.2 (включая подпункты), 10.3 (включая подпункты), 10.5 (включая подпункты), 10.6 (включая подпункты), 10.7 (включая подпункты), 10.8.;
приказ ФСТЭК России №239: АУД.4-АУД.9.
При выявлении потенциального инцидента ИБ выполняется следующий план действий:
проведение анализа и фильтрации потенциального инцидента ИБ на предмет ложно‑положительных срабатываний;
выявление инцидента ИБ на ранней стадии;
определение степени критичности инцидента ИБ исходя из бизнес-процессов Клиента;
незамедлительное информирование Клиента об инциденте ИБ посредством электронной почты, мессенджеров и других каналов связи;
сопровождение процесса реагирования на инцидент ИБ, консультирование по проведению технических работ;
сопровождение процесса устранения последствий инцидента ИБ;
предоставление отчетности по инциденту ИБ;
формирование плана действий по недопущению повторения инцидента ИБ.
В рамках сервиса формируется полноценный реестр инцидентов ИБ, как того требуют большинство стандартов по информационной безопасности. Информация об инцидентах ИБ хранится до полного прекращения обязательств по договору и спустя еще 6 месяцев после.
Кроме того, в рамках реагирования на инцидент ИБ может быть выполнено превентивное действие с целью недопущения распространения инцидента ИБ на остальные компоненты ИТ-инфраструктуры. Например, возможно заблокировать сетевые соединения или доступ в Интернет на определенном компоненте. Данная возможность дополнительно согласовывается с Клиентом в рамках разработки моделей реагирования.
Услуга позволяет выполнить:
ГОСТ Р 57580.1-2017: меры РИ.1-РИ.3, РИ.6, РИ.10, РИ.13-РИ.18;
приказ ФСТЭК России №21 и №17: требования ИНЦ.1-ИНЦ.6;
ФЗ-187: Статья 5. Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Статья 9. Права и обязанности субъектов критической информационной инфраструктуры;
PCI DSS: требования 10.8.1, 11.5.1, 12.10, 12.10.1-12.10.6;
приказ ФСТЭК России №239: СОВ.1, ИНЦ.1-ИНЦ.6.
Сканирование на уязвимости выполняется для оперативного выявления возможных уязвимостей в ИТ-инфраструктуре Клиента. Сканирование выполняется с использованием автоматизированных средств (сканера уязвимостей) в режиме реального времени. В составе сканера содержится пополняемая коллекция NVT тестов безопасности, которая позволяет выявить уязвимости, а также используется подключение к базе CVE, описывающей известные уязвимости.
По результатам сканирования аналитики SOC проводят анализ защищенности ИТ-инфраструктуры, определяют и закрывают ложно-положительные результаты работы сканера и предоставляют Отчет Клиенту с описанием найденных уязвимостей и способов их устранения.
Услуга позволяет выполнить:
ГОСТ Р 57580.1-2017: меры ЦЗИ.1, ЦЗИ.2, ЦЗИ.4-ЦЗИ.10, ЦЗИ.12, ЦЗИ.15;
приказ ФСТЭК России №21 и №17: требования АНЗ.1-АНЗ.5;
ФЗ-187: Статья 9. Права и обязанности субъектов критической информационной инфраструктуры;
PCI DSS: требования 6.1, 6.2, 11.2, 11.2.1.;
приказ ФСТЭК России №239: АУД.2.
Для контроля состава ИТ‑инфраструктуры выполняется учет и инвентаризация ее компонентов. Это предотвращает наличие в ИТ‑инфраструктуре неучтенных компонентов, на которые не будут распространяться общие правила по обеспечению ИБ, или, например, компонентов, внедренных злоумышленником. Услуга предоставляется только совместно с Услугой сканирования на уязвимости.
Услуга позволяет выполнить:
ГОСТ Р 57580.1-2017: меры ИУ.1-ИУ.8;
ФЗ-187: Статья 8. Реестр значимых объектов критической информационной инфраструктуры;
PCI DSS: требования п. 2.4.;
приказ ФСТЭК России №239: ЗНИ.1, АУД.1.
Подключение к SOC
Все действия по подключению ИТ-инфраструктуры Клиента к сервису SOC производятся совместно с командой SOC.
Этапы:
- Установка агентов на компоненты ИТ-инфраструктуры Клиента (Примечание 1).
- Установка сетевой связанности между инфраструктурой Клиента и сервисом SOC посредством VPN‑туннеля с шифрованием ГОСТ (Примечание 2).
- Передача, анализ, хранение и непрерывный мониторинг событий безопасности в режиме 24/7.
Примечание 1: в зависимости от типа компонента возможно безагентное подключение к сервису SOC. При таком способе подключения в ИТ-инфраструктуру клиента устанавливается ВМ.
Примечание 2: в отдельных случаях допускается другой способ организации сетевой связанности, который предварительно согласовывается с Клиентом.
Аутсорсинг ИБ или создание (внедрение) информационной безопасности «с нуля»
В каких случаях нужен SOC
Вы хотите соответствовать стандартам РФ (ГОСТ 57580, Положения ЦБ, 152-ФЗ, 187-ФЗ).
Вам нужно повысить уровень зрелости ИБ процессов.
В вашей компании возникали инциденты ИБ.
Наши клиенты
