Security operations center

Security operations center (SOC) – центр обеспечения безопасности (ЦОБ), центр оперативного реагирования на инциденты информационной безопасности (ИБ); это подразделение или организация, в которой команда специалистов по кибербезопасности (КБ, cybersecurity) занимается обнаружением, анализом, реагированием, уведомлением и предотвращением инцидентов ИБ (зафиксированного несанкционированного доступа, НСД или попытки его осуществить, атаки или взлома компьютерной системы), а также управлением средствами контроля доступа в помещения, онлайнового видеонаблюдения, оповещения о критических ситуациях, пожарной и физической защиты и др. Это может быть также центр мониторинга событий и управления инцидентами в средах облачных вычислений, где такие центры реагирования собирают информацию о происходящих событиях, позволяют оперативно выявлять инциденты и проводить расследования их причин. Главная задача ЦОБ – оперативная реакция на инциденты ИБ, уменьшение ущерба и финансовых потерь, к которым тот или иной инцидент может привести.

ЦОБ – это один из ключевых компонентов подразделения ИБ любой серьезной организации отечественной экономики

Как правило, основой ЦОБ является технология SIEM (security information and event management – управление информацией безопасности и событиями безопасности), которая представляет собой совокупность программных продуктов и сервисов, реализующих управление информацией безопасности (security information management, SIM) и управление событиями (инцидентами) безопасности (security event management, SEM) – поэтому аббревиатуры SEM, SIM и SIEM иногда употребляются как синонимы. При этом SEM обычно представляет собой мониторинг событий безопасности в реальном времени, выявление их взаимосвязей и оповещение ответственных лиц, а SIM обеспечивает журналирование и долговременное хранение собираемых данных по безопасности, их анализ и составление соответствующих отчетов. Расширение функциональности и развитие сетевых технологий с изменением требований по безопасности, например, для обеспечения безопасности речевых данных появилась технология vSIEM (voice security information and event management). В общем, системы SIEM призваны предоставлять руководителям и сотрудникам служб безопасности ту информацию, которая будет способствовать обнаружению уязвимостей, угроз и предотвращению инцидентов ИБ.

В настоящее время ЦОБ – это один из ключевых компонентов подразделения ИБ любой серьезной организации отечественной экономики, от страховых компаний и банков до крупных промышленных предприятий. Следует отметить, что реальная эффективность ЦОБ достигается только благодаря таким факторам, как высокая квалификация специалистов команды, их тесное взаимодействие с сотрудниками других подразделений организации (в первую очередь ИТ-подразделений) и качество системы SIEM.

Почему это важно для бизнеса?

В России в сегодняшних экономических и политических условиях внедрение дорогостоящих ЦОБ происходит медленнее, чем за рубежом, и, что важно, требует наличия в штате компании квалифицированных сотрудников. Тем не менее с учетом постоянного роста числа инцидентов ИБ на определенном этапе жизни компании решать вопрос о создании собственного ЦОБ необходимо.