Security operation center (SOC)

Противодействуйте компьютерным атакам и управляйте информационной безопасностью в режиме реального времени

Security operation center (SOC)

Об услуге

Security Operation Center (SOС) — комплексное решение для обеспечения защищенности ИТ-инфраструктуры, которое основывается на непрерывном контроле, мониторинге и реагировании на инциденты информационной безопасности. 

Основной целью SOС является противодействие кибератакам и проактивная защита компонентов ИТ-инфраструктуры от внешних и внутренних киберугроз. 

Мы предлагаем следующие функции SOC: 

  • мониторинг событий информационной безопасности;
  • выявление, реагирование и предотвращение инцидентов ИБ; 
  • регуляторное сканирование на уязвимости; 
  • учет и контроль компонентов ИТ-инфраструктуры.

Центр управления информационной безопасностью (SOC) значительно повышает общий уровень информационной безопасности, а также обеспечивает выполнение Федеральных законов и стандартов ГОСТ.

Зачем вам SOC?

Контролируйте защищенность информационной инфраструктуры в бесперебойном режиме

Предотвращайте взломы, утечки и другие неблагоприятные последствия

Выполняйте требований регуляторов

Экономьте бюджет за счет сокращения CAPEX

РАССЧИТАТЬ СТОИМОСТЬ

Как мы работаем?

Мы постоянно совершенствуем экспертизу команды и накапливаем собственные статистические данные по инцидентам ИБ.

Мониторинг событий ИБ осуществляется в режиме 24/7.

 

По результатам каждого отчетного периода мы предоставляем Отчет в электронном виде, из которого можно получить следующие сведения: 

краткие выводы о состоянии защищенности компонентов ИТ-инфраструктуры;

выявленные проблемы в процессах обеспечения ИБ;

общий перечень событий, зарегистрированных за отчетный период;

перечень подозрительных событий ИБ, не являющихся инцидентами;

описание инцидентов ИБ, выявленных за отчетный период;

описание уязвимостей и способов их устранения;

информацию об изменении состава компонентов ИТ-инфраструктуры.

Дополнительно отчет может содержать и другую информацию, относящуюся к результатам оказания Услуги за период.
РАССЧИТАТЬ СТОИМОСТЬ

Мониторинг событий безопасности в ИТ-инфраструктуре Клиента выполняется для оперативного выявления инцидентов ИБ. В основе Мониторинга событий лежит анализ большого количества событий безопасности, который выполняется командой аналитиков сервиса SOC при помощи SIEM-системы. «SIEM-система (Security information and event management) является одним из базовых компонентов любого коммерческого SOC, которая в режиме реального времени обрабатывает события безопасности согласно пред настроенным правилам (правилам корреляции)».

Таким образом, выявление инцидентов ИБ производится на ранней стадии, что позволяет не допустить возможных негативных последствий, связанных с поздним реагированием и недостатками при их выявлении.

Список источников событий ИБ в рамках услуги

Информация в SIEM-систему поступает от следующих источников информационной безопасности:

Сетевая инфраструктура

Маршрутизаторы, коммутаторы, МСЭ и др.

Вычислительная инфраструктура

Серверы под управлением ОС семейства Unix/Windows

Виртуальная инфраструктура

ПО управления, виртуальные машины

Оконечное оборудование пользователей

Ноутбуки, рабочие станции, моноблоки и др.

Программное обеспечение

ОС семейства Unix/Windows, СУБД, СРК, антивирусное ПО, DLP и др.

Системы контроля и управления доступом
СКУД, видеонаблюдение и др.
Инфраструктура беспроводной сети

Контроллер беспроводной сети, автономные и управляемые точки доступа

Индивидуальные решения
Кастомизация, собственная разработка и др.

Услуга позволяет выполнить:

ГОСТ Р 57580.1-2017: меры МАС.1-МАС.8, МАС.10-МАС.23 (возможный прирост к оценке по ГОСТ — 0,06);

приказ ФСТЭК России №21 и №17: требования РСБ.1-РСБ.7, РСБ.8 (17-й приказ);

ФЗ-187: Статья 4. Принципы обеспечения безопасности критической информационной инфраструктуры;

PCI DSS: требования 10.1 (включая подпункты), 10.2 (включая подпункты), 10.3 (включая подпункты), 10.5 (включая подпункты), 10.6 (включая подпункты), 10.7 (включая подпункты), 10.8.;

приказ ФСТЭК России №239: АУД.4-АУД.9.

Подключить мониторинг

При выявлении потенциального инцидента ИБ выполняется следующий план действий:

 

проведение анализа и фильтрации потенциального инцидента ИБ на предмет ложноположительных срабатываний;

выявление инцидента ИБ на ранней стадии;

определение степени критичности инцидента ИБ исходя из бизнес-процессов Клиента;

незамедлительное информирование Клиента об инциденте ИБ посредством электронной почты, мессенджеров и других каналов связи;

сопровождение процесса реагирования на инцидент ИБ, консультирование по проведению технических работ;

сопровождение процесса устранения последствий инцидента ИБ;

предоставление отчетности по инциденту ИБ;

формирование плана действий по недопущению повторения инцидента ИБ.

В рамках сервиса формируется полноценный реестр инцидентов ИБ, как того требуют большинство стандартов по информационной безопасности. Информация об инцидентах ИБ хранится до полного прекращения обязательств по договору и спустя еще 6 месяцев после.

Кроме того, в рамках реагирования на инцидент ИБ может быть выполнено превентивное действие с целью недопущения распространения инцидента ИБ на остальные компоненты ИТ-инфраструктуры. Например, возможно заблокировать сетевые соединения или доступ в Интернет на определенном компоненте. Данная возможность дополнительно согласовывается с Клиентом в рамках разработки моделей реагирования.

Услуга позволяет выполнить:

ГОСТ Р 57580.1-2017: меры РИ.1-РИ.3, РИ.6, РИ.10, РИ.13-РИ.18;

приказ ФСТЭК России №21 и №17: требования ИНЦ.1-ИНЦ.6;

ФЗ-187: Статья 5. Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. Статья 9. Права и обязанности субъектов критической информационной инфраструктуры;

PCI DSS: требования 10.8.1, 11.5.1, 12.10, 12.10.1-12.10.6;

приказ ФСТЭК России №239: СОВ.1, ИНЦ.1-ИНЦ.6.

Подключить реагирование

Сканирование на уязвимости выполняется для оперативного выявления возможных уязвимостей в ИТ-инфраструктуре Клиента. Сканирование выполняется с использованием автоматизированных средств (сканера уязвимостей) в режиме реального времени. В составе сканера содержится пополняемая коллекция NVT тестов безопасности, которая позволяет выявить уязвимости, а также используется подключение к базе CVE, описывающей известные уязвимости. 

По результатам сканирования аналитики SOC проводят анализ защищенности ИТ-инфраструктуры, определяют и закрывают ложно-положительные результаты работы сканера и предоставляют Отчет Клиенту с описанием найденных уязвимостей и способов их устранения.

Услуга позволяет выполнить:

ГОСТ Р 57580.1-2017: меры ЦЗИ.1, ЦЗИ.2, ЦЗИ.4-ЦЗИ.10, ЦЗИ.12, ЦЗИ.15;

приказ ФСТЭК России №21 и №17: требования АНЗ.1-АНЗ.5;

ФЗ-187: Статья 9. Права и обязанности субъектов критической информационной инфраструктуры;

PCI DSS: требования 6.1, 6.2, 11.2, 11.2.1.;

приказ ФСТЭК России №239: АУД.2.

Подключить сканирование

Для контроля состава ИТ‑инфраструктуры выполняется учет и инвентаризация ее компонентов. Это предотвращает наличие в ИТ‑инфраструктуре неучтенных компонентов, на которые не будут распространяться общие правила по обеспечению ИБ, или, например, компонентов, внедренных злоумышленником. Услуга предоставляется только совместно с Услугой сканирования на уязвимости.

Услуга позволяет выполнить:

ГОСТ Р 57580.1-2017: меры ИУ.1-ИУ.8;

ФЗ-187: Статья 8. Реестр значимых объектов критической информационной инфраструктуры;

PCI DSS: требования п. 2.4.;

приказ ФСТЭК России №239: ЗНИ.1, АУД.1.

Подключить учет и контроль

Подключение к SOC

Все действия по подключению ИТ-инфраструктуры Клиента к сервису SOC производятся совместно с командой SOC.

Этапы:

  1. Установка агентов на компоненты ИТ-инфраструктуры Клиента (Примечание 1).
  2. Установка сетевой связанности между инфраструктурой Клиента и сервисом SOC посредством VPN‑туннеля с шифрованием ГОСТ (Примечание 2).
  3. Передача, анализ, хранение и непрерывный мониторинг событий безопасности в режиме 24/7.

Примечание 1:  в зависимости от типа компонента возможно безагентное подключение к сервису SOC. При таком способе подключения в ИТ-инфраструктуру клиента устанавливается ВМ. 

Примечание 2: в отдельных случаях допускается другой способ организации сетевой связанности, который предварительно согласовывается с Клиентом.

Аутсорсинг ИБ или создание (внедрение) информационной безопасности «с нуля»

SOС является одним из элементов, необходимых для аутсорсинга функций по информационной безопасности или дополнением к инструментам отдела ИБ.

В каких случаях нужен SOC

Вы хотите соответствовать стандартам РФ (ГОСТ 57580, Положения ЦБ, 152-ФЗ, 187-ФЗ).

Вам нужно повысить уровень зрелости ИБ процессов.

В вашей компании возникали инциденты ИБ.

Наши клиенты

Заказать услугу

Нажимая на кнопку, Вы соглашаетесь с условиями «Политики конфиденциальности»
Пользуясь нашим сайтом, вы соглашаетесь с тем, что мы используем cookies