Ситуационный центр управления информационной безопасностью (Security Operation Center, SOC) предназначен для централизованного сбора и анализа информации о событиях, поступающих из различных источников. Подобные центры позволяют повысить автоматизацию процессов, связанных с управлением инцидентами информационной безопасности (ИБ).
Ситуационный центр управления ИБ состоит из трех основных частей: программно-технической, документационной и кадровой. Программно-техническая часть центра реализуется на основе специализированных систем мониторинга событий информационной безопасности. Одним из примеров подобных систем является продукт ArcSight ESM, занимающий лидирующие позиции в данной области.
Документационная часть ситуационного центра включает в себя набор документов, описывающих основные процессы, связанные с выявлением и реагированием на инциденты безопасности. В состав базовых документов входят должностные инструкции операторов и администраторов центра, политика и регламенты управления инцидентами, база данных инцидентов ИБ и т. д.
Кадровая составляющая ситуационного центра управления ИБ – это выделение сотрудников, ответственных за работу в центре управления. Как правило, рассматриваются роли системного администратора, администратора безопасности, оператора и аналитика инцидентов безопасности.
Создание ситуационного центра управления ИБ реализуется в несколько этапов, включая такие как обследование, проектирование, внедрение и опытную эксплуатацию центра.
«В настоящее время в большинстве крупных организаций в той или иной мере существуют проблемы, связанные с автоматизацией и повышением эффективности процессов управления инцидентами безопасности. Наша новая услуга по созданию ситуационных центров управления ИБ позволяет решить эти проблемы, поэтому мы надеемся, что данное решение будет востребовано среди наших существующих и потенциальных заказчиков», - говорит Виктор Сердюк, генеральный директор ЗАО «ДиалогНаука».