Журнал "Information Security/ Информационная безопасность" #5, 2020

Положительным момен- том создания собственного центра мониторинга и реа- гирования является оптими- зация процессов управления информационной безопас- ностью и штата сотрудни- ков, задействованных в про- цессах обеспечения без- опасности КИИ и реализа- ции функций SOC. В портфеле SOC, помимо собственной запатентован- ной платформы ACR Plat- form, находятся решения класса SIEM, IRP/SOAR, Security Intelligence (BI для ИБ) и аналитический про- граммный комплекс Data- plan. тически осуществляет работу подрядчик, а следовательно ошибки в работе подрядчика, повлиять на которые субъект КИИ не сможет, могут привести к неблагоприятным для него последствиям. Ну и в качестве последнего минуса стоит отметить полную утрату компетенций в случае отказа от услуг провайдера, что может происходить по различ- ным причинам, например из-за резкого сокращения финанси- рования мероприятий по инфор- мационной безопасности либо принятия руководством ("новым руководством") организации решения о том, что не стоит тратить бюджеты на внешнего подрядчика, а служба инфор- мационной безопасности долж- на выполнять подобные работы своими силами. Создание собственного центра мониторинга и реагирования субъектом КИИ В качестве основного плюса такого подхода можно отметить создание единого центра ком- петенций по обеспечению без- опасности КИИ и реагированию на компьютерные инциденты. Однако следует иметь в виду, что создание процессов, фор- мирование команды и внедре- ние технических средств, как правило, бывает длительным и затратным (финансы, трудозат- раты). Следующим положительным моментом создания собствен- ного центра мониторинга и реа- гирования является оптимиза- ция процессов управления информационной безопас- ностью и штата сотрудников, задействованных в процессах обеспечения безопасности КИИ и реализации функций SOC. В качестве отрицательного момента можно отметить в пер- вую очередь значительные затра- ты на формирование штата ква- лифицированных сотрудников, внедрение технических средств, выстраивание и совершенство- вание процессов, а также дли- тельность создания SOC. Кроме того, если предпола- гается создание единого центра мониторинга и реагирования для холдинговой структуры (объ- единение нескольких юридиче- ских лиц под единым руковод- ством), то необходимо получе- ние лицензии ФСТЭК России на оказание услуг по монито- рингу информационной безопас- ности средств и систем инфор- матизации. В качестве вывода следует отметить, что центры монито- ринга и реагирования представ- ляют собой систему раннего предупреждения о компьютер- ном нападении, способную на ранних стадиях выявлять атаки на информационную инфра- структуру субъекта КИИ и осу- ществлять мероприятия по реа- гированию и нейтрализации последствий компьютерных атак, предотвращая негативное воздействие и тем самым осу- ществляя предупреждение нарушения функционирования объектов КИИ, таким образом не допуская компьютерных инцидентов. l Группа компаний Angara объ- явила о слиянии сервисного направления предоставления услуг SOC на базе собственного центра киберустойчивости ACRC с практикой мониторинга и реа- гирования на инциденты ИБ. Новое направление в формате единого окна будет решать кли- ентские запросы вне зависимо- сти от степени укомплектован- ности технической и экспертной базы путем замещения любых функциональных ролей SOC по подписной модели (MDRS), а также предоставит клиентам возможность подключить Red team, Blue team, Purple team и SOC L1/L2 в любом формате на любом этапе и платформе. "На сегодняшний день в России у функционального заказчика есть два варианта: отдать мони- торинг ИБ на аутсорсинг ком- мерческому SOC либо обеспечи- вать его на своих средствах защиты, наняв экспертизу для их настройки. Во втором случае заказчики нередко сталкивают- ся с проблемой, когда техниче- ские решения работают, а тру- довых ресурсов на обеспечение самого процесса нет. Здесь ска- зывается как высокая стоимость ФОТ, так и кадровый дефицит в этой области. При этом передать эту функцию подрядчикам не представляется возможным, поскольку они отказываются работать на чужих системах. И это одно из немногих ограниче- ний, которые существуют в рам- ках сложившегося разделения между практиками. Мы решили стереть границу между SOC on- premise и SOC outsource и пред- ложить заказчикам самим выби- рать, как "перемешивать" эти направления в соответствии со стоящими перед ними задача- ми", – комментирует Тимур Зин- нятуллин, вступивший в долж- ность директора Центра киберу- стойчивости ACRC. Запустить модель MDRS поз- воляет накопленная экспертиза как коммерческого SOC ком- пании, так и отдела систем мониторинга и реагирования. Центр киберустойчивости ACRC группы компаний Angara будет оказывать услуги и с использо- ванием своих систем монито- ринга, и с использованием систем заказчика. В портфеле SOC, помимо собственной запатентованной платформы ACR Platform, нахо- дятся решения, занимающие остальные основные доли сего- дняшнего рынка средств класса SIEM, а также решения класса IRP/SOAR, Security Intelligence (BI для ИБ) и аналитический программный комплекс Data- plan, позволяющий работать с большими данными и, применяя алгоритмы машинного обучения и статистического анализа, строить по этим данным метри- ки, покрывая дополняющую SOC деятельность по ретро- спективному анализу больших данных. l 18 • СПЕЦПРОЕКТ Ваше мнение и вопросы присылайте по адресу is@groteck.ru Группа компаний Angara стирает границы между коммерческим и корпоративным SOC АДРЕСА И ТЕЛЕФОНЫ "Группы компаний Angara" см. стр. 60 NM Реклама