19.11.2009 РешенияВиктор Сердюк, к. т. н., CISSP, Генеральный директор ЗАО «ДиалогНаука»
1. Что такое ЦОУ ИБ – SOC (Security Operation Center) и для чего они нужны? Центры управления ИБ предназначены для автоматизации процесса сбора и анализа информации о событиях безопасности, поступающих из различных источников. Как правило, подобные центры функционируют 24 часа в сутки и позволяют анализировать данные, поступающие от средств защиты информации, общесистемного и прикладного ПО, телекоммуникационного обеспечения и других источников. Любой ЦОУ ИБ состоит из трех частей: программно-технической, документационной и кадровой. Программно-технические компоненты реализуются на основе специализированных систем мониторинга событий информационной безопасности. В западной терминологии данные системы обозначаются аббревиатурой SIM (Security Information Management) или SIEM (Security Information and Event Management). Одним из примеров подобных систем является продукт ArcSight ESM, которая занимает одну из лидирующих позиций в данной области. Документационная часть ЦОУ ИБ включает в себя набор документов, описывающих основные процессы, связанные с выявлением и реагированием на инциденты безопасности. Например, в состав базовых документов входят должностные инструкции операторов и администраторов ЦОУ ИБ, политика и регламенты управления инцидентами, база данных инцидентов ИБ и т. д. Кадровая составляющая ЦОУ ИБ подразумевает выделение сотрудников, ответственных за работу с центром управления. Как правило, выделяются следующие роли сотрудников: системный администратор ...
читать далее.