Журнал "Information Security/ Информационная безопасность" #5, 2019

SOC (Security Opera- tions Center – оператив- ный центр безопасности) на практике получил название "центр мони- торинга и реагирования на инциденты информа- ционной безопасности". Оче- видно, что основной целью его деятельности является выявле- ние и реагирование на такие инциденты. Тонкости терминологии Помимо SOC, встречаются и другие аббревиатуры, зача- стую воспринимаемые как синонимы: l CERT (Computer Emergency Response Team) – группа ком- пьютерного реагирования на чрезвычайные ситуации; l CSIRT (Computer Security Inci- dent Response Team) – группа реагирования на инциденты компьютерной безопасности. Как правило, указанные структуры хоть и выполняют, по сути, одинаковые задачи, связанные с выявлением, реа- гированием и расследованием инцидентов, но все-таки имеют некоторые различия. Так, CERT ориентированы на определенную сферу, например FinCERT – на кредитно-финан- совую отрасль, GovCERT изна- чально был ориентирован на сферу государственных инфор- мационных ресурсов, позже в него добавились направления, относящиеся к критической информационной инфраструк- туре. CSIRT обеспечивает монито- ринг актуальных угроз, форми- рование информационной базы инцидентов и обмен информа- цией между участниками, в частности CSIRT-RU создан для обмена информацией об инци- дентах между службами инфор- мационной безопасности орга- низаций различных форм собст- венности. В большинстве случаев CERT/CSIRT являются своего рода объединениями SOC. Государственная система обнаружения, предупреждения и ликвидации последствий ком- пьютерных атак (ГосСОПКА) также представляет собой CERT (главный центр ГосСОП- КА), объединяющий различные SOC – ведомственные (корпо- ративные) центры (сегменты) ГосСОПКА. Пошаговая модель обработки инцидента Структура SOC в виде блоков продемонстрирована на рис. 1 1 . Как видно из схемы, основ- ные процессы в рамках SOC связаны с обработкой инциден- тов. Рассмотрим их подробнее: На рис. 2 показана общая модель обработки инцидента. 1. Обнаружение и регистрация события. С целью своевремен- ного выявления факторов, обусловливающих появление угроз информационной безопас- ности и их реализации, прово- дится внутренний контроль соблюдения требований по защи- те информации (так называемая подготовка): в постоянном режи- ме осуществляется мониторинг информационных ресурсов. Источниками информации об инцидентах служат журналы аудита, содержимое рабочих станций, сетевой трафик, жур- налы SIEM- и DLP-систем, дан- ные инструментального контроля, обращения пользователей. 2. Выявление инцидента. В случае выявления события, указывающего на свершившую- ся, предпринимаемую или веро- ятную реализацию угрозы 24 • УПРАВЛЕНИЕ SOC в действии опросами функционирования SOC сейчас интересуются практически все организации, и в большей мере те, которые попали в сферу действия Федерального закона “О безопасности критической информационной инфраструктуры”. Что такое SOC, для чего он нужен и какие основные процессы определяют его функционирование? Об этом и поговорим в данной статье. В Константин Саматов, руководитель направления Аналитического центра Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова Рис. 1. Структурные блоки SOC Рис. 2. Общая модель обработки инцидента информационной безопасности 1 SANS. Building a World-Class Security Operations Center: A Roadmap.