Центр управления информационной безопасностью – это команда, процессы и интегрированные технологические решения, которые в комплексе и взаимодействии обеспечивают обнаружение, анализ и реагирование на инциденты информационной безопасности, а также эффективное восстановление ИТ-инфраструктуры организации в случаях успешной атаки злоумышленником.
Централизация высококвалифицированных специалистов по ИБ и дорогостоящих программно-аппаратных средств, разработка и применение, в большинстве случаев, типовых, апробированных и основанных на лучших практиках методов и сценариев реагирования, позволяют не только существенно снизить стоимость владения, но и значительно повысить скорость и эффективность защиты и реагирования.
Технологическим ядром ЦУИБ является связка SIEM-системы и SOAR-системы. SIEM-система обеспечивает автоматизированный сбор событий ИБ и детектирование инцидентов, а SOAR – оркестрацию, автоматизацию ИБ и работ по реагированию на инциденты ИБ и восстановлению деятельности организации после кибератак, планированию мероприятий по предотвращению подобных инцидентов в дальнейшем.
В качестве оценки «нужности» ЦУИБ для организаций мы видим следующие критерии:
- организации с ИТ-инфраструктурой, включающей более 1000 активов;
- организации, в которых в течении суток регистрируется более 10 инцидентов ИБ;
- организации с территориально-распределенной инфраструктурой, территориальные (областные) и отраслевые управления.
Преимущества ЦУИБ
- сокращение времени и стоимости создания и эксплуатации за счет централизации средств автоматизации и квалифицированных специалистов для сбора событий ИБ, детектирования, анализа инцидентов ИБ и реагирования на них;
- превентивность реагирования за счет централизации функций детектирования и предотвращения;
- непрерывность (24х7х365) мониторинга, эффективность обнаружения и реагирования на инциденты за счет наличия и применения единых методик и сценариев во всех структурных подразделениях, не зависимо от их размера и удаленности от центра;
- контроль и обеспечение соответствия стандартам и законодательным актам всей системы информационной безопасности.
Основные функции центра управления ИБ.
Управление ИТ-активами
Получение актуальной информации в режиме реального времени об ИТ- и Бизнес-активах
Управление уязвимостями
Получение объективной оценки состояния защищенности информационной системы, обнаружение и устранение уязвимостей
Оценка рисков ИБ
Оценка прямых и производных рисков ИБ, отслеживание их изменения с течением времени, формирование планов мероприятий по обработке рисков с возможностью контроля статусов мероприятий
Проведение аудитов ИБ
Проведение полного цикла проверок на соответствие международным требованиям и законодательству Республики Беларусь в сфере защиты информации
Сбор информации о событиях ИБ
Сбор и анализ информации о событиях ИБ из различных источников, в результате чего определяются и регистрируются инциденты ИБ
Реагирование на инциденты ИБ
При обнаружении инцидента запускаются преднастроенные алгоритмы и автоматизированные сценарии, которые обеспечивают быстроту реакции и слаженность действий команды реагирования, помогая свести к минимуму возможные негативные последствия от инцидента
Схема информационных потоков на примере одной территориально-распределенной организации приведена на рисунке 1:
https://www.freepik.com/free-vector/sortation-systems-abstract-concept-illustration_12291385.htm#fromView=search&page=3&position=4&uuid=ed6088ff-8ba7-465d-a49d-a7dfdc167dde&query=avtomatization+information+technologies
https://www.freepik.com/free-vector/decentralized-application-abstract-concept-illustration-digital-application-blockchain-p2p-computer-network-web-app-multiple-users-cryptocurrency-open-source_10782923.htm#fromView=search&page=8&position=14&uuid=68dde15c-bc6c-412b-9272-af280d746e6b&query=+avtomatization+information+security
https://www.freepik.com/free-vector/e-sport-team-abstract-concept-illustration_12290857.htm#fromView=search&page=3&position=11&uuid=c4921ae2-dd8e-46dd-b105-95518c1329e8&query=technical+support