Концентрированный SOC: весь наш опыт в одном пакете

Мы собрали для вас свой опыт по созданию SOC в одном сводном материале. Вы узнаете, как запустить SOC, как работать с инцидентами и обрабатывать конфиденциальные данные, какие лицензии понадобятся и другие важные аспекты.

 

Советы по запуску SOC

Делимся инсайтами, развенчиваем заблуждения и даем рекомендации на основе нашего опыта создания Security Operation Center. Рассказываем, с чего начинать, как собрать команду и наладить процессы.

 

Инсайт

На построение команды уйдет много времени. На поиск одного сотрудника приходится 1–2 месяца в лучшем случае. Не говоря уже об обучении — если человек не погружен, то закладывайте на это минимум год.

 

Заблуждение

“Политика обработки инцидентов не нужна”. Это не так. Многие считают, что ее можно не вводить: есть команды админов, которым всегда можно позвонить. Но реагирование на инциденты в таком случае становится неуправляемым процессом, все проблемы приходится решать на ходу. Поэтому лучше делать политику с самого начала, при подготовке построения SOC.

 

Рекомендация

Постройте схему взаимодействия команд. Команды мониторинга работают с командой реагирования заказчика (внешнего или внутреннего). Для постоянного взаимодействия с руководством лучше вводить отдельную роль — ИБ-менеджер, который отчитывается о развитии сервиса.

 

Больше инсайтов читайте в нашем материале, а также смотрите вебинар по теме с участием Юрия Бармотина, руководителя отдела управления интеллектуальными услугами, на «Коде ИБ».

 

Читать

 

Как устроен SOC: команда и функции

Рассказываем, какие функции выполняют разные команды и как они вместе реагируют на инциденты.

 

Функции команды CSOC

В разных компаниях Cyber Security Operations Center берет на себя разные задачи. Мы выделяем три сферы, на которых должны фокусироваться специалисты CSOC:

  • Обнаружение — основная задача CSOC.
  • Реагирование — CSOC представляет рекомендации и говорит, как нужно реагировать. Выполняет рекомендации команда реагирования.
  • Готовность — киберразведка позволяет CSOC обнаруживать новое в мире ИБ и не пропускать атаки на новые уязвимости.
     

Команда и роли

Есть три обязательных роли: операторы, аналитики и эксперты. Это ядро CSOC, которое выполняет основную работу. И есть две вспомогательных команды, которые обеспечивают нормальное функционирование CSOC:

  • Группа реагирования
    Выполняет рекомендации CSOC — настроить фаервол, заблокировать пользователя или станцию, пропатчить уязвимость. 
  • Группа поддержки инфраструктуры CSOC
    Все команды аналитиков должны работать с инфраструктурой и заниматься исследованием и работой с инцидентами. Все вопросы поддержки — это отдельные задачи, которые должны решаться другими специалистами.

О том, как выглядит процесс управления инцидентами, а также о взаимодействии специалистов CSOC и IT-команды читайте подробнее в блоге.

 

Читать

 

Регуляторика в сфере безопасности

Внедрение средств безопасности регулируется государством. Рассказываем, какие лицензии должны быть у вашего провайдера SOC или интегратора криптографического оборудования для фаервола.

 

Построение SOC и оказание на его базе услуг по мониторингу событий информационной безопасности — лицензируемая деятельность. ФСТЭК требует лицензии от интегратора SOC для мониторинга событий информационной безопасности. Субъекты критической инфраструктуры помимо этого должны передавать данные об этих событиях в ФСБ.

 

Защита конфиденциальной информации

Для работы SOC от интегратора требуется лицензия на деятельность по технической защите конфиденциальной информации. Причем для собственных нужд лицензия не нужна, по крайней мере, если у вас головной офис и все филиалы — это одно юридическое лицо. Во всех остальных случаях лицензию получать придется.

 

Передача статистики об ИБ-инцидентах

Для соблюдения ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» субъекты критической инфраструктуры — а в этот список попадают 80% крупных компаний из 13 отраслей — должны оповещать государство в лице НКЦКИ (Национальный координационный центр по компьютерным инцидентам) о своих ИБ-инцидентах. Передавать информацию в такие центры могут не только сами субъекты КИИ, но и посредники.

 

Построение защитных систем

Многие работы по построению защищенных систем требуют лицензирования. Часто в качестве межсетевых экранов и маршрутизаторов используется оборудование с функциями шифрования. Лицензии на оказание услуг с использованием такого оборудования, его установку, настройку и монтаж выдает Центр по лицензированию, сертификации и защите государственной тайны ФСБ России. Без такой лицензии установить и настроить шифровальное оборудование нельзя — нужно приобрести ее или воспользоваться услугами интегратора.

 

Подробнее о лицензиях, в том числе Orange как интегратора, а также о том, что входит в список субъектов критически важной инфраструктуры, читайте в нашем блоге.

 

Читать

 

Как мы работаем с данными клиентов

Будут ли данные в безопасности после подключения SOC? Какой доступ к ним имеют сотрудники оператора? Объясняем, почему данные клиентов SOC находятся в безопасности. Рассказываем, по каким признакам команды выявляют инциденты.

 

Три правила работы SOC, которые гарантируют безопасность данных:

  • Мы не получаем доступ на изменение.
  • Мы не получаем доступ к самим данным.
  • Информация о событиях прозрачна для клиента.

Для внедрения SOC нам не нужен доступ к данным клиента. Наша задача — реагировать на подозрительные события и оповещать о них. 
Мы смотрим только на события. Мы не можем ничего изменить, не можем сами просматривать файлы. К примеру, мы не можем изменить пароль и даже не знаем его — но видим, если он поменялся. Клиент видит, какую информацию видим мы.
 

О том, что помогает нам выявлять инциденты и о других аспектах безопасности данных читайте подробнее в блоге.

 

Читать

Команда кибербезопасности

Специалисты по кибербезопасности Orange Business Services Russia знают, как защитить бизнес от киберугроз, предотвратить атаки и предсказать поведение злоумышленников. Они делятся полезными кейсами из своего опыта.