18.11.2009 РешенияДенис Батранков, эксперт-консультант по ИТ-безопасности (IT Security Consultant), IBM Internet Security Systems
1. Что такое ЦОУ ИБ – SOC (Security Operation Center) и для чего они нужны? Центр управления безопасностью (SOC) предоставляет необходимые ресурсы для управления безопасностью корпоративной сети из единой точки и в реальном времени. Под ресурсами мы понимаем и утилиты, и инфраструктуру, и самую главную компоненту SOC: профессионалов, которые там находятся круглосуточно. Перед SOC ставятся следующие задачи: сбор событий информационной безопасности вне зависимости от производителя средства защиты, зачастую в формате, пригодном для представления в суд; просмотр, анализ и реагирование на события; расследование инцидентов и предотвращение аналогичных инцидентов в будущем; прием заявок от пользователей корпоративной сети и их исполнение; решение текущих задач согласно политике ИБ, например, ежедневное сканирование сети или создание отчетов для руководства; внесение изменений в политики средств защиты сети. Нельзя ставить перед SOC задачу только сбора информации и анализа собранных событий. Ведь про то, что началась эпидемия очередного червя Conficker, вы узнаете просто включив телевизор. А вот чтобы узнать, где он в вашей сети, и затем начать как-то защищаться, нужно иметь соответствующую инфраструктуру. Нужно иметь возможность удаленно перенастраивать системы защиты для предотвращения инцидентов безопасности и распространения угроз в сети. Очень распространены SOC у интернациональных компаний, в которых сети разбросаны по всему миру и нужно иметь единый центр управления вне ...
читать далее.