Мы собрали для вас свой опыт по созданию SOC в одном сводном материале. Вы узнаете, как запустить SOC, как работать с инцидентами и обрабатывать конфиденциальные данные, какие лицензии понадобятся и другие важные аспекты.
Советы по запуску SOC
Делимся инсайтами, развенчиваем заблуждения и даем рекомендации на основе нашего опыта создания Security Operation Center. Рассказываем, с чего начинать, как собрать команду и наладить процессы.
Инсайт
На построение команды уйдет много времени. На поиск одного сотрудника приходится 1–2 месяца в лучшем случае. Не говоря уже об обучении — если человек не погружен, то закладывайте на это минимум год.
Заблуждение
“Политика обработки инцидентов не нужна”. Это не так. Многие считают, что ее можно не вводить: есть команды админов, которым всегда можно позвонить. Но реагирование на инциденты в таком случае становится неуправляемым процессом, все проблемы приходится решать на ходу. Поэтому лучше делать политику с самого начала, при подготовке построения SOC.
Рекомендация
Постройте схему взаимодействия команд. Команды мониторинга работают с командой реагирования заказчика (внешнего или внутреннего). Для постоянного взаимодействия с руководством лучше вводить отдельную роль — ИБ-менеджер, который отчитывается о развитии сервиса.
Больше инсайтов читайте в нашем материале, а также смотрите вебинар по теме с участием Юрия Бармотина, руководителя отдела управления интеллектуальными услугами, на «Коде ИБ».
Как устроен SOC: команда и функции
Рассказываем, какие функции выполняют разные команды и как они вместе реагируют на инциденты.
Функции команды CSOC
В разных компаниях Cyber Security Operations Center берет на себя разные задачи. Мы выделяем три сферы, на которых должны фокусироваться специалисты CSOC:
- Обнаружение — основная задача CSOC.
- Реагирование — CSOC представляет рекомендации и говорит, как нужно реагировать. Выполняет рекомендации команда реагирования.
- Готовность — киберразведка позволяет CSOC обнаруживать новое в мире ИБ и не пропускать атаки на новые уязвимости.
Команда и роли
Есть три обязательных роли: операторы, аналитики и эксперты. Это ядро CSOC, которое выполняет основную работу. И есть две вспомогательных команды, которые обеспечивают нормальное функционирование CSOC:
- Группа реагирования
Выполняет рекомендации CSOC — настроить фаервол, заблокировать пользователя или станцию, пропатчить уязвимость. - Группа поддержки инфраструктуры CSOC
Все команды аналитиков должны работать с инфраструктурой и заниматься исследованием и работой с инцидентами. Все вопросы поддержки — это отдельные задачи, которые должны решаться другими специалистами.
О том, как выглядит процесс управления инцидентами, а также о взаимодействии специалистов CSOC и IT-команды читайте подробнее в блоге.
Регуляторика в сфере безопасности
Внедрение средств безопасности регулируется государством. Рассказываем, какие лицензии должны быть у вашего провайдера SOC или интегратора криптографического оборудования для фаервола.
Построение SOC и оказание на его базе услуг по мониторингу событий информационной безопасности — лицензируемая деятельность. ФСТЭК требует лицензии от интегратора SOC для мониторинга событий информационной безопасности. Субъекты критической инфраструктуры помимо этого должны передавать данные об этих событиях в ФСБ.
Защита конфиденциальной информации
Для работы SOC от интегратора требуется лицензия на деятельность по технической защите конфиденциальной информации. Причем для собственных нужд лицензия не нужна, по крайней мере, если у вас головной офис и все филиалы — это одно юридическое лицо. Во всех остальных случаях лицензию получать придется.
Передача статистики об ИБ-инцидентах
Для соблюдения ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» субъекты критической инфраструктуры — а в этот список попадают 80% крупных компаний из 13 отраслей — должны оповещать государство в лице НКЦКИ (Национальный координационный центр по компьютерным инцидентам) о своих ИБ-инцидентах. Передавать информацию в такие центры могут не только сами субъекты КИИ, но и посредники.
Построение защитных систем
Многие работы по построению защищенных систем требуют лицензирования. Часто в качестве межсетевых экранов и маршрутизаторов используется оборудование с функциями шифрования. Лицензии на оказание услуг с использованием такого оборудования, его установку, настройку и монтаж выдает Центр по лицензированию, сертификации и защите государственной тайны ФСБ России. Без такой лицензии установить и настроить шифровальное оборудование нельзя — нужно приобрести ее или воспользоваться услугами интегратора.
Подробнее о лицензиях, в том числе Orange как интегратора, а также о том, что входит в список субъектов критически важной инфраструктуры, читайте в нашем блоге.
Как мы работаем с данными клиентов
Будут ли данные в безопасности после подключения SOC? Какой доступ к ним имеют сотрудники оператора? Объясняем, почему данные клиентов SOC находятся в безопасности. Рассказываем, по каким признакам команды выявляют инциденты.
Три правила работы SOC, которые гарантируют безопасность данных:
- Мы не получаем доступ на изменение.
- Мы не получаем доступ к самим данным.
- Информация о событиях прозрачна для клиента.
Для внедрения SOC нам не нужен доступ к данным клиента. Наша задача — реагировать на подозрительные события и оповещать о них.
Мы смотрим только на события. Мы не можем ничего изменить, не можем сами просматривать файлы. К примеру, мы не можем изменить пароль и даже не знаем его — но видим, если он поменялся. Клиент видит, какую информацию видим мы.
О том, что помогает нам выявлять инциденты и о других аспектах безопасности данных читайте подробнее в блоге.
Специалисты по кибербезопасности Orange Business Russia знают, как защитить бизнес от киберугроз, предотвратить атаки и предсказать поведение злоумышленников. Они делятся полезными кейсами из своего опыта.