Внедрение центров управления информационной безопасности (SOC)

Внедрение центров управления информационной безопасности (SOC)

Ситуационный центр управления информационной безопасностью (Security Operation Center, SOC) – комплекс, предназначенный для централизованного сбора и анализа информации о событиях, поступающих из различных источников автоматизированной системы компании. Внедрение ситуационного центра управления информационной безопасностью позволит не только контролировать все события, происходящие в информационной системе, но и обеспечить своевременное реагирование на инциденты ИБ, а также предотвращение их в будущем.

Процесс создания ситуационного центра управления информационной безопасностью состоит из нескольких этапов:

    • обследование,
    • проектирование,
    • внедрение программно-технической части центра,
    • техническое сопровождение центра.

Ситуационный центр состоит из трех частей: программно-технической, документационной и кадровой. Программно-технические компоненты реализуются на основе специализированных систем мониторинга событий информационной безопасности. В западной терминологии данные системы обозначаются аббревиатурой SIM (Security Information Management) или SIEM (Security Information and Event Management). Одним из примеров подобных систем является продукт ArcSight ESM, который занимает одну из лидирующих позиций в данной области.

Процесс документационного обеспечения создания и эксплуатации ситуационного центра управления информационной безопасностью является неотъемлемой частью работ по созданию SOC. В составе базовых документов обязательно разрабатываются соответствующие должностные инструкции операторов, администраторов, политики информационной безопасности и регламенты управления инцидентами, базы данных и другие.

Немаловажной составляющей работ по созданию и внедрению ситуационного центра управления информационной безопасностью является его обеспечение кадровыми ресурсами. В ходе работ проводится выделение сотрудников, ответственных за работу в центре управления (как правило, рассматриваются роли системного администратора, администратора безопасности, оператора и аналитика инцидентов безопасности), их обучение, тренинги и разработка должностных инструкций и регламентов деятельности.

В случае появления вопросов или интереса к описанной услуге, пожалуйста, свяжитесь с нами по телефону +7 (495) 980-67-76 или через форму обратной связи, адресовав вопрос в «Коммерческий отдел».