19.11.2009 Решения
Дмитрий Породин, начальник отдела систем информационной безопасности компании INLINE Technologies
1. Что такое ЦОУ ИБ – SOC (Security Operation Center) и для чего они нужны? ЦОУ ИБ (SOC), также называемый ситуационным центром по ИБ, представляет собой взаимоувязанную совокупность технических средств выявления и обработки инцидентов, контроля и визуализации показателей состояния ИБ, а также процессов и регламентов управления ИБ организации. На текущем этапе развития ИТ все информационные системы корпоративного уровня являются сложной гетерогенной средой. Поэтому с учетом возрастающих и очень быстро изменяющихся угроз ЦОУ ИБ является единственным инструментом, позволяющим оперативно и эффективно реагировать на возникающие инциденты в области ИБ. Важно отметить, что полноценный ЦОУ нельзя построить только на продуктах обработки информации и событий ИБ (SIEM), поскольку даже являющиеся лидерами рынка продукты SIEM не могут реализовать все необходимые для ЦОУ ИБ функции. Как правило, полнофункциональный ЦОУ ИБ включает в себя следующие компоненты: специальные средства мониторинга СУБД и файловых хранилищ, модуль кросс-корреляций и анализа, централизованное хранилище инцидентов, модуль визуализации бизнес-процессов и показателей, модуль управления процессом разрешения инцидентов ИБ. Централизованное управление процессом разрешения инцидентов позволяет организации видеть полную картину состояния ИБ, а также мгновенно получать данные по текущим и прошедшим инцидентам и представлять результаты работы службы ИБ руководству и аудиторам. 2. В чем основные преимущества, которые ...
читать далее.