+
solution

Построение центров мониторинга (SOC) и центров реагирования (IRP) информационной безопасности

Выполнение требований

Стандарты ISO/IEC 27035-1:2016 и ISO/IEC 27035-2:2016 устанавливают принципы управления инцидентами и дают рекомендации по планированию и подготовке к реагированию на инциденты соответственно. Данный стандарт является международным, его первая ревизия 2011 года заменила стандарт ISO/IEC TR 18044:2004, далее в 2016 году стандарт был обновлен. Данный документ может являться обязательным при условии прохождения организацией сертификации на соответствие стандарту ISO/IEC 27001.

Применимость:

·       Построение центров мониторинга информационной безопасности

Список требований стандарта ISO/IEC 27035-1:2016

Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования стандарта ISO/IEC 27035-1:2016

Сбор информации относительно событий ИБ или уязвимостей: п. 5.3 c)

Мониторинг и журналирование событий о действиях систем и сетей: п. 5.3 a)

Агент сбора

Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей

Детектирование и сообщение о произошедшем событии ИБ или о существовании уязвимости, в ручном или автоматическом режиме: п. 5.3 b)

Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей

Список требований стандарта ISO/IEC 27035-2:2016

Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования стандарта ISO/IEC 27035-2:2016

Автоматизация передачи и обмена данных об инцидентах ИБ: п. 6.3, 8.3.

Детектирование и сообщение о произошедшем событии ИБ, в ручном или автоматическом режиме: п. 6.4 b) 4)

Комплектация Incident Response Platform [IRP]: Управление жизненным циклом уязвимостей, Управление жизненным циклом инцидентов

Комплектация Security Operation Center [SOC]: Оповещение и эскалация

Детектирование и сообщение об уязвимостях: п. 6.4 b) 7)

Комплектация Incident Response Platform [IRP]: Управление жизненным циклом уязвимостей

Использование средств криптографического контроля целостности для определения наличия внесенных в результате инцидента изменений в данных систем, сервисов и/или сетей: п. 9.1 e)

Агент контроля целостности

Внесение изменений (учет новых угроз и уязвимостей, внедрение новых средств защиты) в имеющуюся систему оценки рисков по результатам анализа инцидентов: п. 6.4f) 3), 12.4

Комплектация Cyber Risk System [CRS]: Управление рисками кибербезопасности

 

Стандарты ISO/IEC 27035-1:2016 и ISO/IEC 27035-2:2016 устанавливают принципы управления инцидентами и дают рекомендации по планированию и подготовке к реагированию на инциденты соответственно. Данный стандарт является международным, его первая ревизия 2011 года заменила стандарт ISO/IEC TR 18044:2004, далее в 2016 году стандарт был обновлен. Данный документ может являться обязательным при условии прохождения организацией сертификации на соответствие стандарту ISO/IEC 27001.

Применимость:

·       Построение центров мониторинга информационной безопасности

Список требований стандарта ISO/IEC 27035-1:2016

Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования стандарта ISO/IEC 27035-1:2016

Сбор информации относительно событий ИБ или уязвимостей: п. 5.3 c)

Мониторинг и журналирование событий о действиях систем и сетей: п. 5.3 a)

Агент сбора

Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей

Детектирование и сообщение о произошедшем событии ИБ или о существовании уязвимости, в ручном или автоматическом режиме: п. 5.3 b)

Комплектация «Incident Response Platform [IRP]»: Управление жизненным циклом уязвимостей

Список требований стандарта ISO/IEC 27035-2:2016

Список продуктов и компонент Security Vision, закрывающих указанные нормативные требования стандарта ISO/IEC 27035-2:2016

Автоматизация передачи и обмена данных об инцидентах ИБ: п. 6.3, 8.3.

Детектирование и сообщение о произошедшем событии ИБ, в ручном или автоматическом режиме: п. 6.4 b) 4)

Комплектация Incident Response Platform [IRP]: Управление жизненным циклом уязвимостей, Управление жизненным циклом инцидентов

Комплектация Security Operation Center [SOC]: Оповещение и эскалация

Детектирование и сообщение об уязвимостях: п. 6.4 b) 7)

Комплектация Incident Response Platform [IRP]: Управление жизненным циклом уязвимостей

Использование средств криптографического контроля целостности для определения наличия внесенных в результате инцидента изменений в данных систем, сервисов и/или сетей: п. 9.1 e)

Агент контроля целостности

Внесение изменений (учет новых угроз и уязвимостей, внедрение новых средств защиты) в имеющуюся систему оценки рисков по результатам анализа инцидентов: п. 6.4f) 3), 12.4

Комплектация Cyber Risk System [CRS]: Управление рисками кибербезопасности

 

Проблематика

В последнее время резко возрос интерес к проблематике информационной безопасности как со стороны государства, так и со стороны бизнеса. Сформировался устойчивый тренд на создание операционных Центров мониторинга информационной безопасности (англ. Security Operations Center, SOC). Данные Центры являются сочетанием специалистов, процессов и технологий, которые решают задачи мониторинга состояния информационной безопасности в организации и объединяют в себе соответствующие компетенции и процессы. Такие Центры могут как оказывать услуги по мониторингу информационной безопасности внешнему клиенту, т.е. заказчику услуги MSSP (Managed Security Service Provider, провайдер услуг по управлению безопасностью) или MDR (Managed Detectionand Response, провайдер услуг по мониторингу и реагированию на киберинциденты), так и выполнять аналогичные функции внутри компании (в таком случае заказчик будет считаться внутренним).

Процесс мониторинга информационной безопасности включает в себя:

·       сбор, агрегацию, таксономию, корреляцию и анализ событий информационной безопасности (ИБ),

·       классификацию событий и потенциальных инцидентов ИБ,

·       реагирование на инциденты ИБ, в том числе и автоматизированное,

·       пост-анализ, проведение внутренних проверок (расследований), восстановление, улучшение процесса мониторинга.

Кроме того, зачастую Центры мониторинга информационной безопасности решают дополнительные задачи, такие как управление активами, уязвимостями, выдача рекомендаций по устранению причин возникновения инцидентов ИБ, обслуживание средств защиты информации, реверс-инжиниринг вредоносного ПО, проведение аудитов ИБ и тестов на проникновение, кибер-разведка, форензика (компьютерное криминалистическое исследование).

Центры мониторинга информационной безопасности можно условно разделить по объему решаемых ими задач и по количеству обслуживаемых пользователей/узлов информационных систем на виртуальные (представляют из себя подобие проектных групп), малые (обслуживают не более 5000 пользователей/узлов сети), большие (обслуживают не более 50000 пользователей/узлов сети), многоуровневые (обслуживают не более 500000 пользователей/узлов сети) и национальные (работающие в масштабах субъектов государства).

Сотрудники – члены Центров мониторинга информационной безопасности – как правило имеют одну или несколько совмещенных ролей. Основными ролями в SOC являются:

·       сотрудник 1-ой линии реагирования,

·       сотрудник 2-ой линии реагирования,

·       сотрудник 3-ой линии реагирования / аналитик информационной безопасности,

·       сотрудник, обслуживающий технические компоненты (технологии) Центра, такие, как системы управления журналами событий (Log Management, LM) системы сбора и корреляции событий ИБ (Security Information and Event Management, SIEM), системы обнаружения и предотвращения вторжений (Intrusion Detection/Prevention System, IDS/IPS), системы управления информационной безопасностью (SGRC),

·       сотрудники кибер-разведки, аналитики вредоносного ПО, реверс-инженеры, специалисты по форензике, пен-тестеры.

Следует отметить, что под определение Центров мониторинга информационной безопасности формально подпадают и Центры Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), однако отличие заключается в том, что деятельность Центров мониторинга информационной безопасности может определяться внутренним документам организации, а деятельность Центров ГосСОПКА регламентируется законодательно.

Основными инструментами при построении Центров мониторинга информационной безопасности являются:

·       системы управления журналами событий (Log Management, LM),

·       системы сбора и корреляции событий ИБ (Security Information and Event Management, SIEM),

·       системы обнаружения и предотвращения вторжений (Intrusion Detection/Prevention System, IDS/IPS),

·       системы автоматизации реагирования на инциденты ИБ (Incident Response Platform, IRP),

·       системы управления информационной безопасностью (SGRC),

·       средства и системы защиты и мониторинга функционирования, включая встроенные в ОС и оборудование, которые подключаются в качестве источников событий ИБ к LM/SIEM-системам.

В целом, основными рабочими инструментами сотрудников SOC являются как раз LM/SIEM-системы, которые осуществляют сбор, агрегацию, хранение, а в случае SIEM-систем еще и таксономию с корреляцией событий ИБ, а также предоставляют инструменты для анализа таких событий сотрудникам Центра мониторинга. Также следует отметить немаловажную роль систем IRP, которые позволяют операторам SOC-центров автоматизировать шаблонные ручные операции, а также существенно сократить время реагирования на инциденты ИБ путем выполнения заранее заданных шагов по сдерживанию или устранению быстроразвивающейся угрозы.

Кроме того, существуют законодательные и нормативные требования стандартов, в том числе отраслевых и международных, по сбору, хранению и аудиту событий ИБ, а также по реагированию на инциденты ИБ. В частности, стандарты СТО БР ИББС-1.3-2016, ISO/IEC 27035:2016, NIST SP 800-61, HIPAA, SOX, PCI DSS как определяют сроки хранения журналов событий информационной безопасности, так и регулируют вопросы реагирования на инциденты ИБ.

Таким образом, для построения зрелой системы управления информационной безопасностью, для эффективного и оперативного решения инцидентов ИБ, а также для соответствия нормативным документам организациям, особенно из сегмента большого и среднего бизнеса, следует рассмотреть возможность создания своего Центра мониторинга информационной безопасности либо подключение к уже существующим коммерческим Центрам, работающим по сервисной модели MSSP/MDR.

В последнее время резко возрос интерес к проблематике информационной безопасности как со стороны государства, так и со стороны бизнеса. Сформировался устойчивый тренд на создание операционных Центров мониторинга информационной безопасности (англ. Security Operations Center, SOC). Данные Центры являются сочетанием специалистов, процессов и технологий, которые решают задачи мониторинга состояния информационной безопасности в организации и объединяют в себе соответствующие компетенции и процессы. Такие Центры могут как оказывать услуги по мониторингу информационной безопасности внешнему клиенту, т.е. заказчику услуги MSSP (Managed Security Service Provider, провайдер услуг по управлению безопасностью) или MDR (Managed Detectionand Response, провайдер услуг по мониторингу и реагированию на киберинциденты), так и выполнять аналогичные функции внутри компании (в таком случае заказчик будет считаться внутренним).

Процесс мониторинга информационной безопасности включает в себя:

·       сбор, агрегацию, таксономию, корреляцию и анализ событий информационной безопасности (ИБ),

·       классификацию событий и потенциальных инцидентов ИБ,

·       реагирование на инциденты ИБ, в том числе и автоматизированное,

·       пост-анализ, проведение внутренних проверок (расследований), восстановление, улучшение процесса мониторинга.

Кроме того, зачастую Центры мониторинга информационной безопасности решают дополнительные задачи, такие как управление активами, уязвимостями, выдача рекомендаций по устранению причин возникновения инцидентов ИБ, обслуживание средств защиты информации, реверс-инжиниринг вредоносного ПО, проведение аудитов ИБ и тестов на проникновение, кибер-разведка, форензика (компьютерное криминалистическое исследование).

Центры мониторинга информационной безопасности можно условно разделить по объему решаемых ими задач и по количеству обслуживаемых пользователей/узлов информационных систем на виртуальные (представляют из себя подобие проектных групп), малые (обслуживают не более 5000 пользователей/узлов сети), большие (обслуживают не более 50000 пользователей/узлов сети), многоуровневые (обслуживают не более 500000 пользователей/узлов сети) и национальные (работающие в масштабах субъектов государства).

Сотрудники – члены Центров мониторинга информационной безопасности – как правило имеют одну или несколько совмещенных ролей. Основными ролями в SOC являются:

·       сотрудник 1-ой линии реагирования,

·       сотрудник 2-ой линии реагирования,

·       сотрудник 3-ой линии реагирования / аналитик информационной безопасности,

·       сотрудник, обслуживающий технические компоненты (технологии) Центра, такие, как системы управления журналами событий (Log Management, LM) системы сбора и корреляции событий ИБ (Security Information and Event Management, SIEM), системы обнаружения и предотвращения вторжений (Intrusion Detection/Prevention System, IDS/IPS), системы управления информационной безопасностью (SGRC),

·       сотрудники кибер-разведки, аналитики вредоносного ПО, реверс-инженеры, специалисты по форензике, пен-тестеры.

Следует отметить, что под определение Центров мониторинга информационной безопасности формально подпадают и Центры Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), однако отличие заключается в том, что деятельность Центров мониторинга информационной безопасности может определяться внутренним документам организации, а деятельность Центров ГосСОПКА регламентируется законодательно.

Основными инструментами при построении Центров мониторинга информационной безопасности являются:

·       системы управления журналами событий (Log Management, LM),

·       системы сбора и корреляции событий ИБ (Security Information and Event Management, SIEM),

·       системы обнаружения и предотвращения вторжений (Intrusion Detection/Prevention System, IDS/IPS),

·       системы автоматизации реагирования на инциденты ИБ (Incident Response Platform, IRP),

·       системы управления информационной безопасностью (SGRC),

·       средства и системы защиты и мониторинга функционирования, включая встроенные в ОС и оборудование, которые подключаются в качестве источников событий ИБ к LM/SIEM-системам.

В целом, основными рабочими инструментами сотрудников SOC являются как раз LM/SIEM-системы, которые осуществляют сбор, агрегацию, хранение, а в случае SIEM-систем еще и таксономию с корреляцией событий ИБ, а также предоставляют инструменты для анализа таких событий сотрудникам Центра мониторинга. Также следует отметить немаловажную роль систем IRP, которые позволяют операторам SOC-центров автоматизировать шаблонные ручные операции, а также существенно сократить время реагирования на инциденты ИБ путем выполнения заранее заданных шагов по сдерживанию или устранению быстроразвивающейся угрозы.

Кроме того, существуют законодательные и нормативные требования стандартов, в том числе отраслевых и международных, по сбору, хранению и аудиту событий ИБ, а также по реагированию на инциденты ИБ. В частности, стандарты СТО БР ИББС-1.3-2016, ISO/IEC 27035:2016, NIST SP 800-61, HIPAA, SOX, PCI DSS как определяют сроки хранения журналов событий информационной безопасности, так и регулируют вопросы реагирования на инциденты ИБ.

Таким образом, для построения зрелой системы управления информационной безопасностью, для эффективного и оперативного решения инцидентов ИБ, а также для соответствия нормативным документам организациям, особенно из сегмента большого и среднего бизнеса, следует рассмотреть возможность создания своего Центра мониторинга информационной безопасности либо подключение к уже существующим коммерческим Центрам, работающим по сервисной модели MSSP/MDR.

Применение

Для создания Центров мониторинга информационной безопасности ГК «Интеллектуальная безопасность» предлагает решение Security Vision в комплектации «Security Operation Center [SOC]» – программный продукт для построения ситуационного центра информационной безопасности (SOC) в масштабе организации или страны. В данной комплектации решение обладает полным функционалом для построения и визуализации информационной безопасности в режиме реального времени на масштабируемой карте мира/здания/помещения с целью повышения управляемости процессами ИБ. Операторы ситуационного центра способны оперативно реагировать на инциденты любой сложности, получая полную информацию и аналитику в любой момент времени. В дополнение к функционалу комплектации Security Operation Center [SOC] следует обратить внимание на комплектацию Incident Response Platform [IRP] – программный продукт для автоматизации действий по реагированию на инциденты кибер-безопасности. Комплектация предназначена для построения полноценной системы управления информационной безопасностью и реагирования на инциденты в организации. Управление и автоматизация процессов позволяют выстроить как реактивную, так и проактивную защиту, а также существенно сократить время реагирования на инциденты ИБ и ручной труд сотрудников Центров мониторинга информационной безопасности.

Для создания Центров мониторинга информационной безопасности ГК «Интеллектуальная безопасность» предлагает решение Security Vision в комплектации «Security Operation Center [SOC]» – программный продукт для построения ситуационного центра информационной безопасности (SOC) в масштабе организации или страны. В данной комплектации решение обладает полным функционалом для построения и визуализации информационной безопасности в режиме реального времени на масштабируемой карте мира/здания/помещения с целью повышения управляемости процессами ИБ. Операторы ситуационного центра способны оперативно реагировать на инциденты любой сложности, получая полную информацию и аналитику в любой момент времени. В дополнение к функционалу комплектации Security Operation Center [SOC] следует обратить внимание на комплектацию Incident Response Platform [IRP] – программный продукт для автоматизации действий по реагированию на инциденты кибер-безопасности. Комплектация предназначена для построения полноценной системы управления информационной безопасностью и реагирования на инциденты в организации. Управление и автоматизация процессов позволяют выстроить как реактивную, так и проактивную защиту, а также существенно сократить время реагирования на инциденты ИБ и ручной труд сотрудников Центров мониторинга информационной безопасности.

Ссылки

СТО БР ИББС-1.3-2016 https://www.cbr.ru/Content/Document/File/46920/st-13-16.pdf

СТО БР БФБО-1.5-2018: https://www.cbr.ru/Content/Document/File/51269/st-15-18.pdf

ISO/IEC 27035:2016 https://www.iso.org/standard/60803.html

NIST SP 800-61 https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf

Sarbanes-Oxley Act of 2002 (SOX) https://www.iasplus.com/en/binary/resource/usreform.pdf

Стандарт безопасности данных индустрии платежных карт (PCI DSS) https://ru.pcisecuritystandards.org/


Это поле обязательно для заполнения
Это поле обязательно для заполнения

Согласен с Политикой конфиденциальности и с обработкой персональных данных в соответствии с Политикой обработки персональных данных

Это поле обязательно для заполнения
Необходимо ваше согласие на обработку персональных данных