SOC имеет дело с практикой выявления инцидентов, реагирования на них и сопутствующей этому статистикой. Без преувеличения можно сказать, что SOC, опираясь на собранные сведения, больше остальных систем знает про реальную информационную безопасность. Его важность в общей ИБ- инфраструктуре и конкуренция подталкивают провайдеров к развитию технологий и подходов к организации центров мониторинга и реагирования.
Одним из наиболее известных центров является ФинЦЕРТ, входящий в структуру Центробанка. В начале ноября "Коммерсантъ" поделился новостью1 о том, что департамент информационной безопасности ждет реструктуризация, в результате которой ФинЦЕРТ может быть ликвидирован, а его функции перераспределены между другими управлениями, в том числе и новыми.
Артем Сычев, первый заместитель директора департамента информационной безопасности Банка России, правда, сразу поспешил успокоить2 руководителей российских банков, высказавшись в том духе, что деятельность ФинЦЕРТ по обеспечению информационной безопасности в кредитно- финансовой сфере востребована, а значит центр так или иначе продолжит свою работу. А банки со своей стороны отметили3, что функционал ФинЦЕРТ требует доработки, повышения оперативности реагирования на поступающие события и автоматизации процессов.
Будем с интересом наблюдать за грядущей перестройкой, ведь ФинЦЕРТ как элемент национальной системы обеспечения информационной безопасности в финансовой сфере объективно необходим, особенно с учетом появления в поле зрения российского законодательства криптовалют. Криптофинансы по сравнению с традиционными финансами технологически более сложны, менее контролируемы и более уязвимы, хотя бы с точки зрения социальной инженерии, на долю которой приходятся 70% всех преступлений в традиционных финансах, по сообщению самого Центробанка.
С точки зрения принципов и практики организации может оказаться полезным опыт ЦУП, одного из в первых на территории нашей страны центров мониторинга и реагирования, обслуживающего весьма критическую инфраструктуру. Центру управления полетами исполнилось этой осенью 60 лет. И пусть ЦУП борется не с внешними злоумышленниками, а с техническими неполадками и агрессивной внешней средой вокруг защищаемых систем, но тем не менее исправно выполняет SLA 24 х 7, успешно реагирует на нештатные ситуации и налаживает взаимодействие с аналогичными центрами в других странах.
В этом номере журнала авторы и эксперты постарались всесторонне рассмотреть особенности построения, деятельности и оптимизации SOC. А я в дополнение темы упомяну две части статьи Алексея Лукацкого "Измерение эффективности SOC" о многообразии метрик для центров мониторинга и реагирования, опубликованные в предыдущих номерах журнала.