За несерьезным названием очередной секции XII Уральского форума «Информационная безопасность финансовой сферы» скрывается актуальный разговор о построении эффективного центра мониторинга событий информационной безопасности (Security Operations Center).
Углубление в тему SOC предваряло выступление руководителя отдела информационной безопасности и киберустойчивости финансовых технологий Банка России Екатерины Желуновой, которая анонсировала новую инициативу Центробанка в области ИБ – киберучения.
Киберучения – это новый вид надзорного мероприятия Банка России, целью которого является оценка способности финансовой организации обеспечивать осуществление платежных информационных услуг и сервисов, реализовывать меры, направленные на противодействие угрозам и обеспечение собственной киберустойчивости.
В рамках этих мероприятий предусмотрены такие важные процедуры, как проведение стресс-тестирования финансовой организации по вопросам ИБ, проверка процедуры реагирования на инциденты и процедуры восстановления по итогам инцидента, а в итоге – риск-профилирование организации.
По времени киберучения будут подразделяться на два больших этапа. На этапе подготовки к киберучениям специалисты Банка России изучат данные об организации и подберут для нее адаптированное задание. Второй этап – собственно проверки (процедур восстановления, функций, переданных на аутсорсинг и т. д.), соответствующие тем рискам, которые характерны для деятельности той или иной организации.
Аналитик центра мониторинга и реагирования на кибератаки Solar JSOC компании «Ростелеком-Солар» Алексей Павлов показал примеры правильных и неправильных задач, которые организация ставит перед собственным или аутсорсинговым SOC. Напомним, «Ростелеком» предоставляет услуги одного из самых крупных центров мониторинга инцидентов ИБ в России, который образовался путем присоединения к федеральному оператору компании Solar Security.
«Многие организации воспринимают SOC как панацею от всего, однако SOC может выполнять как функции только мониторинга или реагирования, так и полного цикла расследования. И для его эффективной работы специалистам SOC необходим диалог с подразделениями заказчика, отвечающими за бизнес и ИТ», – начал спикер.
Например, на первом этапе взаимодействия организации с SOC необходимо совместно определить, какие бизнес-системы будут к нему подключены, где и как будут выявляться инциденты, создать реестр сценариев. Необходимо также определить зоны ответственности, масштабы оповещения, создать различные инструкции для системы, которые она будет выполнять при том или ином сценарии. «SOC никогда сам не может однозначно решить, инцидент это или нет, критичный он или нет. Ответ на этот вопрос должен дать ответственный за систему», – уточнил спикер.