Центр управления информационной безопасностью – это команда, процессы и интегрированные технологические решения, которые в комплексе и взаимодействии обеспечивают обнаружение, анализ и реагирование на инциденты информационной безопасности, а также эффективное восстановление ИТ-инфраструктуры организации в случаях успешной атаки злоумышленником.
Централизация высококвалифицированных специалистов по ИБ и дорогостоящих программно-аппаратных средств, разработка и применение, в большинстве случаев, типовых, апробированных и основанных на лучших практиках методов и сценариев реагирования, позволяют не только существенно снизить стоимость владения, но и значительно повысить скорость и эффективность защиты и реагирования.
Технологическим ядром ЦУИБ является связка SIEM-системы и IRP/SOAR-системы. SIEM обеспечивает автоматизированный сбор событий ИБ и детектирование инцидентов, а IRP/SOAR – автоматизацию работ по реагированию на инциденты ИБ и восстановлению деятельности организации после кибератак, планированию мероприятий по предотвращению подобных инцидентов в дальнейшем.
В качестве критериев оценки «нужности» ЦУИБ для организаций мы видим следующие:
- организации с ИТ-инфраструктурой, включающей более 1000 активов;
- организации, в которых в течении суток регистрируется более 10 инцидентов ИБ;
- организации с территориально-распределенной инфраструктурой, территориальные (областные) и отраслевые управления.
Преимущества ЦУИБ
- сокращение времени и стоимости создания и эксплуатации за счет централизации средств автоматизации и квалифицированных специалистов для сбора событий ИБ, детектирования, анализа инцидентов ИБ и реагирования на них;
- непрерывность (24х7х365) мониторинга, эффективность обнаружения и реагирования на инциденты за счет наличия и применения единых методик и сценариев во всех структурных подразделениях, не зависимо от их размера и удаленности от центра;
- контроль и обеспечение соответствия стандартам и законодательным актам всей системы информационной безопасности.
Основные функции центра управления ИБ.
Управление ИТ-активами
Получение актуальной информации в режиме реального времени об ИТ- и Бизнес-активах
Управление уязвимостями
Получение объективной оценки состояния защищенности информационной системы, обнаружение и устранение уязвимостей
Оценка рисков ИБ
Оценка прямых и производных рисков ИБ, отслеживание их изменения с течением времени, формирование планов мероприятий по обработке рисков с возможностью контроля статусов мероприятий
Проведение аудитов ИБ
Проведение полного цикла проверок на соответствие международным требованиям и законодательству Республики Беларусь в сфере защиты информации
Сбор информации о событиях ИБ
Сбор и анализ информации о событиях ИБ из различных источников, в результате чего определяются и регистрируются инциденты ИБ
Реагирование на инциденты ИБ
При обнаружении инцидента запускаются преднастроенные алгоритмы и автоматизированные сценарии, которые обеспечивают быстроту реакции и слаженность действий команды реагирования, помогая свести к минимуму возможные негативные последствия от инцидента
Схема информационных потоков на примере одной территориально-распределенной организации приведена на рисунке 1:
Data recovery vector created by vectorjuice - www.freepik.com
Computer cartoon vector created by pch.vector - www.freepik.com
Business vector created by freepik - www.freepik.com
Clouds vector created by vectorjuice - www.freepik.com
Banner vector created by upklyak - www.freepik.com