Центр управления информационной безопасностью – это команда, процессы и интегрированные технологические решения, которые в комплексе и взаимодействии обеспечивают обнаружение, анализ и реагирование на инциденты информационной безопасности, а также эффективное восстановление ИТ-инфраструктуры организации в случаях успешной атаки злоумышленником.

Централизация высококвалифицированных специалистов по ИБ и дорогостоящих программно-аппаратных средств, разработка и применение, в большинстве случаев, типовых, апробированных и основанных на лучших практиках методов и сценариев реагирования, позволяют не только существенно снизить стоимость владения, но и значительно повысить скорость и эффективность защиты и реагирования.

Технологическим ядром ЦУИБ является связка SIEM-системы и IRP/SOAR-системы. SIEM обеспечивает автоматизированный сбор событий ИБ и детектирование инцидентов, а IRP/SOAR – автоматизацию работ по реагированию на инциденты ИБ и восстановлению деятельности организации после кибератак, планированию мероприятий по предотвращению подобных инцидентов в дальнейшем.

В качестве критериев оценки «нужности» ЦУИБ для организаций мы видим следующие:

  • организации с ИТ-инфраструктурой, включающей более 1000 активов;
  • организации, в которых в течении суток регистрируется более 10 инцидентов ИБ;
  • организации с территориально-распределенной инфраструктурой, территориальные (областные) и отраслевые управления.

Преимущества ЦУИБ

  • сокращение времени и стоимости создания и эксплуатации за счет централизации средств автоматизации и квалифицированных специалистов для сбора событий ИБ, детектирования, анализа инцидентов ИБ и реагирования на них;
  • непрерывность (24х7х365) мониторинга, эффективность обнаружения и реагирования на инциденты за счет наличия и применения единых методик и сценариев во всех структурных подразделениях, не зависимо от их размера и удаленности от центра;
  • контроль и обеспечение соответствия стандартам и законодательным актам всей системы информационной безопасности.

Основные функции центра управления ИБ.

Основные функции центра управления ИБ.

Управление ИТ-активами
Получение актуальной информации в режиме реального времени об ИТ- и Бизнес-активах

Управление уязвимостями
Получение объективной оценки состояния защищенности информационной системы, обнаружение и устранение уязвимостей

Оценка рисков ИБ
Оценка прямых и производных рисков ИБ, отслеживание их изменения с течением времени, формирование планов мероприятий по обработке рисков с возможностью контроля статусов мероприятий

Проведение аудитов ИБ
Проведение полного цикла проверок на соответствие международным требованиям и законодательству Республики Беларусь в сфере защиты информации

Сбор информации о событиях ИБ
Сбор и анализ информации о событиях ИБ из различных источников, в результате чего определяются и регистрируются инциденты ИБ

Реагирование на инциденты ИБ
При обнаружении инцидента запускаются преднастроенные алгоритмы и автоматизированные сценарии, которые обеспечивают быстроту реакции и слаженность действий команды реагирования, помогая свести к минимуму возможные негативные последствия от инцидента

Схема информационных потоков на примере одной территориально-распределенной организации приведена на рисунке 1:

Схема информационных потоков

Результаты создания ЦУИБ

Единый корпоративный, отраслевой или территориальный центр управления информационной безопасностью, представляющий собой:

  • разработанные и полностью описанные процессы с интегрированным комплексом решений по их автоматизации, а также обученным персоналом по их эксплуатации;
  • комплексное решение, сочетающее в себе опыт компаний-производителей ключевых компонентов ЦУИБ, компетенции и проверенные методологии по их интеграции, проектированию, внедрению, обучению и эксплуатации.

Масштабирование и развитие

ЦУИБ, как совокупность специалистов, процессов и технологий автоматизации, может и должен развиваться и масштабироваться за счет:

  • подключения к ЦУИБ новых узлов (подразделений, организаций) и средств защиты информации, использующихся «на местах»;
  • дополнения и интеграции в ЦУИБ новых средств, технологий и методологий выявления и реагирования на инциденты;
  • постоянного обучения и роста профессионализма персонала ЦУИБ.