ЦЕНТР ОПЕРАТИВНОГО РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ В ЦИФРОВОМ БИЗНЕСЕ

INCIDENT RESPONSE CENTER IN DIGITAL BUSINESS

Alexander Nesterov

student, Institute of Industrial Management, Economics and Trade, Graduate School of Management and Business, Peter the Great St. Petersburg Polytechnic University,

Russia, Saint-Petersburg

АННОТАЦИЯ

В статье рассматриваются основные проблемы информационной безопасности современного цифрового бизнеса и вопросы организации центра оперативного реагирования на инциденты.

ABSTRACT

The article talks about the main problems of information security of modern digital business and the organization of an incident response center.

Ключевые слова: информационная безопасность; цифровой бизнес; центр оперативного реагирования на инциденты.

Keywords: information security; digital business; incident response center.

Сейчас роль информационных активов в деятельности организаций играет все большее значение. Это обусловлено повсеместной цифровизацией современного бизнеса. Однако информационная сфера уже долгое время остается одним из главных источников различных рисков. Информационная безопасность - ключевая цель в планах любого цифрового бизнеса.

Чтобы обеспечить сохранность и защиту интеллектуальной собственности, конфиденциальной клиентский данных и другой критически важной информации, для ведения бизнеса, необходимо иметь комплексный план в сфере безопасности, который тесно связан с целями и задачами бизнеса.

Реализация этого плана тесно связана с материальными и трудовыми затратами. Так как информационная безопасность слабо связана с деятельностью по извлечению прибыли, то ее финансирование происходит по остаточному принципу. Но в то же время нарушение целостности, доступности или конфиденциальности информационных систем организации может привести к простоям, финансовому и репутационному ущербу.

В настоящее время сложилась ситуация, когда каждый день обнаруживаются сотни новых угроз, а количество целенаправленных атак становится все больше и больше. Компаниям приходится уделять внимание улучшению своих систем информационной безопасности.

Выбор устанавливаемых решений зависит от угроз, стоящих перед компанией, сложности ее инфраструктуры, уровня защиты конфиденциальных данных, необходимости ведения контроля за сотрудниками и множества других факторов. Тем не менее, инциденты все равно происходят.

Проблема заключается в том, что внедрение только средств защиты, не гарантирует полную защищенность. В результате нет контроля, насколько обеспеченный уровень безопасности соответствует необходимому, нет понимания, насколько эффективна вся система в целом.

В результате, оказывается, что [1]:

• критичные активы уязвимы и доступны для злоумышленников;
• на рабочих станциях установлено неразрешенное ПО;
• конфигурации систем не соответствуют разработанным политикам;
• многие события об инцидентах остаются незамеченными;
• при анализе инцидентов, нет четко построенных процессов по его решению;
• у администраторов структур нет полноценной информации об общим их состоянии и уровне защищенности.

Большинство таких проблем решается при организации комплексного мониторинга информационной и своевременного выявления и эффективного решения инцидентов.

Центр оперативного реагирования на инциденты представляет собой комплекс процессов, программно-аппаратных средств и команду людей, предназначенный для централизованного сбора и анализа информации о событиях и инцидентах ИБ, поступающих из различных источников ИТ инфраструктуры, и своевременное реагирование на них.

Формула идеального SOC выглядит так [2]:

                         (1)

Рассмотрим основные его решаемые задачи:

• активное предотвращение инцидентов ИБ;
• обнаружение и анализ нарушений ИБ в режиме реального времени;
• реагирование на инциденты;
• оповещение управляющих лиц в компании о текущем уровне безопасности.

В организационной структуре центр оперативного реагирования на инциденты – отдельное подразделение службы корпоративной защиты компании, подчиняющийся непосредственно его руководителю. При возможности в состав центра должны входить часть уже имеющихся сотрудников компании, имеющих представление об ее особенностях инфраструктуры и бизнес-процессов.

Выполняемые функции [3]:

• сбор, запись и хранение информации о событиях безопасности, регистрируемых системами аудита источников событий информационной безопасности;
• просмотр и анализ результатов регистрации событий информационной безопасности;
• обеспечение возможности просмотра и анализа действий отдельных пользователей в системе;
• обнаружение, идентификация и регистрация инцидентов информационной безопасности;
• просмотр, анализ и оценка результатов регистрации инцидентов информационной безопасности.

Стоит отдельно выделить SIEM-системы, как сердце центр оперативного реагирования. Большую часть времени оператор работает именно с ней. Эти системы собирают информацию с различных источников и совместно с другими решениями сопоставляют события и оценивают угрозу.

Перед системой SIEM стоят следующие задачи [4]:

• консолидация и хранение журналов событий от различных источников;
• предоставление инструментов для анализа событий и разбора инцидентов;
• корреляция и обработка событий по правилам;
• автоматическое оповещение и инцидент-менеджмент.

Организация центра оперативного реагирования на инциденты – сложная задача, к тому же достаточно дорогая для внедрения в малом и даже среднем бизнесе. Для его эффективного построения и эксплуатации вам необходимо иметь как минимум небольшую команду квалифицированных специалистов. Однако при успехе вы получите [4]:

• корреляцию и оценку влияния информационной активов и процессов на бизнес;
• анализ ситуации в инфраструктуре в режиме реального времени;
• автоматизацию процессов обнаружения угроз и аномалий;
• автоматизацию процессов регистрации и контроля инцидентов;
• аудит политик и стандартов соответствия, контроль и отчетность;
• задокументированное реагирование на возникающие угрозы безопасности в режиме реального времени;
• возможность расследования инцидентов и аномалий, в том числе произошедших давно;
• отчетность и показатели (KPI, ROI, управление событиями, управление уязвимостями).

Построение эффективного Центра управления событиями ИБ является важнейшей задачей организации и управления в современном цифровом бизнесе.

Список литературы:

1. Панкратов А. Центр оперативного управления ИБ – гарантия и уверенность в уровне обеспечения информационной безопасности [Электронный ресурс]. – Режим доступа: https://www.jetinfo.ru/tsentr-operativnogo-upravleniya-ib-garantiya-i-uverennost-v-urovne-obespecheniya-informatsionnoj-bezopasnosti/, свободный. – (дата обращения: 02.11.2020).
2. Ниязов Т. Как быстро запустить свой Security Operation Center (SOC) [Электронный ресурс]. – Режим доступа: https://www.anti-malware.ru/analytics/Technology_Analysis/How_fast_run_SOC_Security_Operation_Center#part2, свободный. – (дата обращения: 05.11.2020).
3. Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
4. Дрозд А. Обзор SIEM-систем на мировом и российском рынке [Электронный ресурс]. – Режим доступа: https://www.anti-malware.ru/analytics/Technology_Analysis/Overview_SECURITY_systems_global_and_Russian_market/, свободный. – (дата обращения: 04.11.2020).