Автоматизированная система организации и автоматизации мониторинга, регистрации и реагирования на инциденты (далее – Система) позволяет создать единую точку консолидации информации обо всех инцидентах ИБ, а также платформу для совместной работы группы реагирования на инциденты ИБ с возможностью сбора, анализа и хранения сведений, относящихся к инцидентам ИБ.

Системы такого рода создаются на базе решений класса IRP (Incident Response Platform).

В условиях все возрастающего количества фиксируемых сообщений о возможных инцидентах ИБ и роста скорости реализации современных кибератак, единственным способом сохранить возможность оперативного реагирования является автоматизация выполняемых действий и разработка готовых планов реагирования на возникающие ситуации.

Система предусматривает функционал сценариев реагирования (так называемые playbooks), которые позволяют в автоматическом режиме реализовать алгоритм действий, заданный для конкретного типа инцидента.

В сценарий реагирования могут быть включены такие действия как:

  • формирование команды реагирования и постановка задач;
  • проактивные действия, направленные на блокировку атаки и минимизацию возможных последствий;
  • сбор ключевой информации для расследования инцидента;
  • отправка уведомлений и др.

Скрипты автоматизации позволяют удаленно осуществлять сбор данных и выполнять определенные действия на оборудовании.

В Системе также могут быть определены нормативы по выполнению тех или иных действий, а также общие сроки реагирования на инциденты различных категорий и уровней критичности. Все это в совокупности позволяет оценивать эффективность команды реагирования и определять области для улучшения.

Использование Системы в качестве основы для реализации центра реагирования на инциденты ИБ (корпоративный Security Operation Centre, SOC) позволяет обеспечить фиксацию фактов обнаружения инцидентов информационной безопасности, а также релевантной информации в единой, централизованной базе. Это, в свою очередь, позволяет повысить управляемость деятельности по реагированию на инциденты и оперативность обработки возникающих инцидентов, а также соблюсти соответствующие требования методических документов и стандартов, установленных регуляторами.

Система содержит широкий спектр механизмов, позволяющих адаптировать логику работы системы под специфику и особенности процесса реагирования на инциденты у конкретного заказчика. К таким механизмам относятся:

  • конструктор описания инцидентов, позволяющий задать состав сведений, собираемых по соответствующим категориям инцидентов;
  • конструктор циклов обработки инцидентов, позволяющий создавать различные схемы статусов (маршруты) движения инцидентов в процессе обработки;
  • гибкие правила настройки доступа к сведениям по инцидентам, включая возможность автоматического назначения ответственных лиц на инциденты на основании связанных активов, или заданных правил;
  • настраиваемые справочники и шаблоны инцидентов, обеспечивающие возможность быстрого ввода данных по зафиксированным инцидентам.

Функции Системы также позволяют обеспечить слаженную работу команды реагирования, что является важным фактором, влияющим на результативность деятельности по реагированию на инциденты ИБ.

Работы ООО «МультиТек Инжиниринг» (далее – Компания) по проектированию и созданию Системы, как правило, включают: предпроектное обследование, формирование требований и разработку технического задания, техническое проектирование, поставку, монтаж, наладку средств защиты информации, разработку эксплуатационной документации, опытную эксплуатацию Системы.

Кроме того, Компания оказывает услуги по послегарантийному обслуживанию и развитию (модернизации) созданной ею Системы.