Подобные задачи выполняет центр мониторинга и управления событиями информационной безопасности (Security Operations Center, SOC). На выставке InfoSecurity, которую в конце сентября провели в Москве компании Reed Exhibitions и «Гротек», было представлено несколько решений такого класса.
Лучшие практики рекомендуют строить систему управления информационной безопасностью по циклу Шухарта-Деминга: планирование, исполнение, контроль и корректировка, и SOC должен реализовывать все эти элементы бизнес-процесса. В нем есть модули, которые отвечают за инвентаризацию программного обеспечения, устройств и средств защиты; есть модули, которые позволяют управлять элементами информационной системы; есть модули для мониторинга и анализа инцидентов, а также подготовки отчетности и расследования инцидентов. В то же время практически все стандарты в области информационной безопасности требуют наличия на предприятии системы управления инцидентами, которая должна контролироваться отделом информационной безопасности. Александр Бондаренко, директор департамента консалтинга компании Leta IT, рекомендует часть полномочий передать в ИТ-службу — в основном те, которые связаны с эксплуатацией аппаратуры и программного обеспечения средств защиты и интеграции. А осуществление остальных — автоматизировать.
Для автоматизации процесса управления инцидентами приходится использовать несколько продуктов, назначение которых — инвентаризация, управление конфигурациями и обновлениями, проверка наличия уязвимостей, подготовка отчетности и т.д., но ключевым в SOC является этап анализа и принятия решений. Поэтому часто средства для автоматизации именно этого этапа и называются продуктами для SOC. Они, как правило, получают информацию от других систем, анализируют ее, отображают в виде статистики и отчетов. Решения такого типа автоматизируют наиболее рутинные, но ресурсоемкие операции выявления инцидентов и расследования. Построить такое решение непросто, и не все организации могут это сделать самостоятельно.
Компания «АйТи» представила на выставке продукт Security Vision, который является надстройкой над системой управления событиями информационной безопасности — компания рекомендует использовать для этого продукты Q1 Labs, которые входят в линейку QRadar. Впрочем, можно настроить Security Vision на работу и с решениями других производителей, таких как Cisco MARS и HP ArcSight. Эти продукты занимаются проблемой интеграции и сбора первичных данных. Анализ полученных сведений ведется в Security Vision, который представляет собой веб-приложение для составления отчетов и обработки выявленых инцидентов с помощью специализированной системы документооборота.
Предприятие не обязано строить SOC у себя — на российском рынке есть возможность часть функций передать в аутсорсинг. Анна Костина, руководитель направления систем менеджмента информационной безопасности «Инфосистемы Джет», отметила, что «Функции безопасности, которые компания может передать аутсорсеру, зависят от отрасли». Очевидно, что проектирование, построение и введение в эксплуатацию операционного центра безопасности может выполнить интегратор. Реагирование на инциденты и поиск нарушителей в некоторых случаях также стоит доверить профессионалам — у «Джет», по словам Костиной, есть уже работающий центр мониторинга и управления безопасностью, который можно настроить на обработку событий любого предприятия. Однако доверять сторонним компаниям принятие решений, общение с руководством и другими отделами, а также перекладывать полностью ответственность на аутсорсера, полагает Костина, не стоит: «У безопасности должно быть лицо — хотя бы менеджер по информационной безопасности».