Документ описывает функции и организационную структуру корпоративного SOC в контексте государственной системы безопасности. Он охватывает вопросы выявления уязвимостей, анализа угроз и реагирования на инциденты, а также включает рекомендации и требования для создания центров госсопка. Также упоминаются различные продукты и инструменты, используемые для повышения безопасности информационных систем.

1. ptsecurity.ru
Корпоративный SOC в контексте
ГосСОПКА
Дмитрий Кузнецов
Директор по методологии и стандартизации
dkuznetsov@ptsecurity.com

2. 150+
30+15
200+обнаруженных
уязвимостей
нулевого дня
200+аудитов безопасности
корпоративных систем
500+
лет исследований и
экспертизы
уязвимостей
нулевого дня в системах SCADA
обнаруженных уязвимостей нулевого
дня в Mobile Telco
исследований безопасности
мобильных и веб-приложений
Каждый
год
Главные продукты
Визионер 2016
WAF Magic Quadrant
О нас

3. Нормативные база ГосСОПКА

4. НорТребования и рекомендции
ФЗ «О безопасности
критической
информационной
инфраструктуры» (пока
в проекте)
Указ Президента №31с
Основные направления
государственной
политики в области
безопасности КВО
Концепция ГосСОПКА
Методические рекомендации
по созданию центров
ГосСОПКА
Меры защиты информации
в государственных
информационных системах

5. Общая структура ГосСОПКА
Зона ответственности Зона ответственности
Зона ответственности
Главный центр
ГосСОПКА
Ведомственный
центр ГосСОПКА
Ведомственный
центр ГосСОПКА
Коммерческий SOC
Координация
Взаимодействие

6. Функции SOC, необходимые для участия в ГосСОПКА
• Инвентаризация информационных ресурсов
• Выявление уязвимостей
• Анализ угроз
• Повышение осведомленности персонала и пользователей
• Прием сообщений о возможных инцидентах
• Обнаружение компьютерных атак
• Анализ данных о событиях безопасности
• Регистрация инцидентов
• Реагирование на инциденты и ликвидация их последствий
• Расследование инцидентов
• Анализ результатов устранения последствий инцидентов

7. Организационные и технические решения

8. Разделение обязаностей
Дополнительные
меры защиты
Меры защиты
Информациноная система
Реализует
Реализует
Юрисдикция
ФСБ
ЮрисдикцияФСТЭК

9. Инвентаризация
Определение сетевого периметра
Идентификация ИС
Идентификация вычислительной техники
Определение состава программного обеспечения
Идентификация контактных лиц

10. Выявление уязвимостей
Поиск известных
уязвимостей ПО
и сетевых служб
Анализ настроек ПО
Тестирование на
проникновение
и устойчивости к DoS
Анализ проектной
документации
Контроль мер защиты
и оценка соответствия
требованиям
Контроль устранения
недостатков

11. Анализ угроз: делаем выводы из уязвимостей
Что может сделать
нарушитель?
Какие следы он может
оставить?
Как эти следы
обнаружить?
Что делать, если
обнаружили?
Чем можем
пожертвовать?
Кто может помочь?

12. Реагирование и ликвидация последствий
Реагирование на инцидент
• Определение “повреждений”
• Формирование совместной
рабочей группы
• Локализация “повреждений”
• Локализация свидетельств
Устранение последствий
• Восстановление
работоспособности
• “Чистка”
• …
Расследование
• Сбор свидетельств для
внутреннего расследования
• Предоставление материалов
правоохранительным органам
Ретроспективный анализ
• Анализ недостатков в защите
• Оценка успешности мер
реагирования
• Рекомендации по
совершенствованию защиты

13. Автоматизация взаимодействия
Информациноная система
Web Application Firewall IDS/IPS
Средства анализа
трафика
SIEM
Средства
экспертной
поддержки
PT Ведомственный
Центр
Средства инвентаризации,
анализа уязвимостей
Ведомство
Ведомственый центр ГосСОПКА
Организация в структуре ведомства
Средства организации
рабочего процесса
Главный центр ГосСОПКА

14. Наши решения в сегменте ГосСОПКА
Продукт Для чего используется
MaxPatrol
Анализ защищенности, контроль конфигураций,
инвентаризация
PT Application Firewall
Web Application Firewall (в информационных системах или на
периметре)
Экспертный инструмент для расследования web-based атак
PT SIEM
Анализ и сопоставление событий и инвентаризационной
информации, ядро центра
PT Ведомственный
(Корпоративный)
Центр
Управление инцидентами, взаимодействие с главным центром
ГосСОПКА
PT Application Inspector
Экспертный инструмент для анализа защищенности веб-
приложений
PT Multiscanner
Потоковое средств антивирусной защиты
Экспертный инструмент для ретроспективного анализа

15. Процедура создания центра ГосСОПКА
Разработка
технического задания
Разработка
технического проекта
Добавление в зону
ответственности
внешних ИС, уточнение
технического проекта
Добавление в зону
ответственности основных
ЦОД, уточнение
технического проекта
Добавление в зону
ответственности ИС и
АРМ подразделений
Центр ГосСОПКА
создан
1
2
3
4
5
6

16. “ИС в области действия центра ГосСОПКА” — это…
Центр ГосСОПКА выполняет свои функции в отношении ИС
Если мер защиты ИС недостаточно – реализованы дополнительные
меры защиты
Средства защиты ИС интегрированы с техническими средствами
ГосСОПКА
В ИС реализованы “нормативные” меры защиты

17. Спасибо за внимание!
ptsecurity.ru