Контакты
Подписка 2025

SOC в действии

Константин Саматов, 28/11/19

Вопросами функционирования SOC сейчас интересуются практически все организации, и в большей мере те, которые попали в сферу действия Федерального закона “О безопасности критической информационной инфраструктуры”. Что такое SOC, для чего он нужен и какие основные процессы определяют его функционирование? Об этом и поговорим в данной статье.
 

SOC (Security Operations Center – оперативный центр безопасности) на практике получил название "центр мониторинга и реагирования на инциденты информационной безопасности". Очевидно, что основной целью его деятельности является выявление и реагирование на такие инциденты.

Тонкости терминологии

Помимо SOC, встречаются и другие аббревиатуры, зачастую воспринимаемые как синонимы:

  •  CERT (Computer Emergency Response Team) – группа компьютерного реагирования на чрезвычайные ситуации;
  •  CSIRT (Computer Security Incident Response Team) – группа реагирования на инциденты компьютерной безопасности.

Как правило, указанные структуры хоть и выполняют, по сути, одинаковые задачи, связанные с выявлением, реагированием и расследованием инцидентов, но все-таки имеют некоторые различия.

Так, CERT ориентированы на определенную сферу, например FinCERT – на кредитно-финансовую отрасль, GovCERT изначально был ориентирован на сферу государственных информационных ресурсов, позже в него добавились направления, относящиеся к критической информационной инфраструктуре.

CSIRT обеспечивает мониторинг актуальных угроз, формирование информационной базы инцидентов и обмен информацией между участниками, в частности CSIRT-RU создан для обмена информацией об инцидентах между службами информационной безопасности организаций различных форм собственности.

В большинстве случаев CERT/CSIRT являются своего рода объединениями SOC.

Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) также представляет собой CERT (главный центр ГосСОПКА), объединяющий различные SOC – ведомственные (корпоративные) центры (сегменты) ГосСОПКА.

Пошаговая модель обработки инцидента

Структура SOC в виде блоков продемонстрирована на рис. 11.

Как видно из схемы, основные процессы в рамках SOC связаны с обработкой инцидентов. Рассмотрим их подробнее:

На рис. 2 показана общая модель обработки инцидента.

1. Обнаружение и регистрация события. С целью своевременного выявления факторов, обусловливающих появление угроз информационной безопасности и их реализации, проводится внутренний контроль соблюдения требований по защите информации (так называемая подготовка): в постоянном режиме осуществляется мониторинг информационных ресурсов. Источниками информации об инцидентах служат журналы аудита, содержимое рабочих станций, сетевой трафик, журналы SIEM- и DLP-систем, данные инструментального контроля, обращения пользователей.

2. Выявление инцидента. В случае выявления события, указывающего на свершившуюся, предпринимаемую или вероятную реализацию угрозы информационной безопасности, производится его фиксация.

Для совершенствования процессов используется цикл PDCA (цикл Деминга):

  •  P – Plan (планируй);
  •  D – Do (делай);
  •  C – Control (контролируй);
  •  A – Act (совершенствуй).

Это классический цикл, используемый в системах менеджмента, в том числе и информационной безопасности.

3. Оперативное реагирование на событие/инцидент. При возникновении события, свидетельствующего о вероятной реализации угрозы информационной безопасности (индикатора инцидента), локализуется источник вероятной угрозы.

4. Реагирование на инцидент. Как только становится понятным, что произошел инцидент, начинается документирование расследования и сбор доказательств. Определяются стратегии и процедуры для его нейтрализации, расставляются приоритеты при обработке инцидента, информируются соответствующие лица.

5. Расследование инцидента. Расследование инцидента ведется до тех пор, пока не будут выявлены все его причины: собирается максимум информации о лицах, инициировавших инцидент, порядке действий этих лиц, мотивах, наличии сговора и иных данных, способствующих установлению степени участия тех или иных лиц. При необходимости осуществляется взаимодействие (обращение за помощью) с внешними ресурсами – другими SOC/CERT/CSIRT, подрядчиками, обладающими экспертизой в расследовании инцидентов.

6. Анализ причин и факторов, подготовка рекомендаций. На данном этапе осуществляется анализ причин инцидентов, результатов устранения их последствий, получение, хранение, защита и документирование доказательств, извлечение уроков.

7. Закрытие инцидента. Фиксация факта прекращения работы по нему.

Помимо основного процесса, функционирование SOC обеспечивает ряд вспомогательных действий:

  •  рутинные операции: развитие, эксплуатация и поддержка инфраструктуры;
  •  техническое обеспечение: соответствие стандартам и законодательству, развитие и улучшение бизнес-процессов;
  •  бизнес-процессы.

Уровни зрелости процессов

Процессы не являются неизменными и требуют совершенствования. Для оценки зрелости процесса и определения необходимых действий по его совершенствованию можно использовать PAM (Process Assessment Model) методологии COBIT 5 (с учетом ГОСТ Р ИСО/МЭК 15504-2–2009 Информационная технология (ИТ). Оценка процесса. Часть 2. Проведение оценки).

В ее основу положена оценка вероятности того, что процессы будут приводить к ожидаемым и запланированным результатам. В соответствии с указанной моделью выделяются уровни зрелости, представленные в таблице.

Три стадии создания SOC

Разворачивание SOC можно рассматривать как некий проект и, соответственно, применять для этого процессы проектного управления. Условно его можно разбить на три стадии, включающие в себя различные этапы:

1. Проектирование SOC. Определяются требования к центру (подготавливается техническое задание), осуществляется проектирование технической инфраструктуры (разрабатывается технический проект), формируется команда проекта.

2. Техническое оснащение SOC. Создание технической инфраструктуры по разработанному техническому проекту и ее ввод в эксплуатацию. После ввода в эксплуатацию процесс мониторинга и реагирования на инциденты информационной безопасности будет носить несистемный характер.

3. Функционирование SOC и совершенствование процессов (повышение их уровня зрелости). Процессы мониторинга и реагирования становятся более формализованными, появляется дополнительный инструментарий, устанавливаются процессы предупреждения появления инцидентов.

По мере дальнейшего развития расширяется спектр средств автоматизации, обеспечивается накопление опыта и компетенций, разрабатываются различные метрики контроля, SOC растет и совершенствуется, превращаясь в инструмент, способный существенно повысить эффективность деятельности по защите информации.

___________________________________________
1 SANS. Building a World-Class Security Operations Center: A Roadmap.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2019

Темы:Управление

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Кризисный менеджмент в информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В данной статье рассмотрим, что такое кризисный менеджмент и как его принципы соотносятся с классическим циклом PDCA, обеспечивая системный подход к управлению информационной безопасностью.
  • Ключевые индикаторы риска: как ими правильно пользоваться
    Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
    Ключевые индикаторы риска (КИР) необходимо корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы.
  • Секьюритизация сотрудников: практики и инструменты в интересах безопасности организации
    Кирилл Шалеников, руководитель проектов в интеграторе Angara Security
    Security Awareness – неотъемлемая часть стратегии информационной безопасности для любой организации. Обученные сотрудники способствуют созданию более защищенной среды и снижают риски для потери данных и репутации компании. Инвестиции в обучение и повышение осведомленности сотрудников могут оказаться одной из наиболее эффективных мер по обеспечению безопасности информации.
  • Ключевые показатели эффективности для подразделений информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В практической деятельности у руководителей cлужб информационной безопасности часто возникают проблемы, связанные с оценкой эффективности возглавляемого ими подразделения.
  • Что такое Compromise Assessment и зачем он нужен бизнесу
    Семен Рогачев, руководитель отдела реагирования на инциденты системного интегратора “Бастион”
    Если СЗИ молчат, то это не значит, что систему безопасности организации не взломали. Некоторые хакеры могут годами прятаться в ИТ-инфраструктуре и шпионить, прежде чем решат нанести удар. Вовремя выявить такую опасность или убедиться в ее отсутствии помогает практика Compromise Assessment.
  • От черного ящика к прозрачности: что CEO должен знать об ИБ
     Евгений Сурков, менеджер продуктов компании Innostage
    Почему CEO и высшему руководству иногда сложно понять ИБ-вызовы, какие проблемы несет отсутствие единой методологии и где найти баланс между открытостью и безопасностью?

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...