Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                
SlideShare a Scribd company logo

3.про soc от из

Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

Презентация с SOC Forum 2015

1 of 20
Download to read offline
Технологии и опыт реализации распределённого SOC
Стандартная архитектура SOC
Вводные данные • Распределенная структура организации, есть ярко выраженные региональные центры (РЦ); • Организационные связи между РЦ слабые; • Внедрение должно быть пошаговым; • Интеграция в существующую систему управления ИБ. • Масштабы РЖД: • 16 РЦ • 835 тыс. сотрудников
Начало • Пилотная зона • Локальный SOC – классический SOC в рамках отдельно взятого РЦ.
• SOC в Санкт-Петербургском, Ярославском и Красноярском РЦ 2012 2013 2014 2015 Первые РЦ
• SOC в Самарском, Иркутском и Хабаровском РЦ • Подключение Калининграда на существующие технические решения 2012 2013 2014 2015 Расширение
2012 2013 2014 2015 • Подключение к локальным SOC смежных РЦ (которые по ряду причин не могут быть сделать локальный SOC); • Предоставление доступа к системе специалистам филиалов; • Сбор статистики, балансировка дальнейшей нагрузки как техники, так и людей. «Филиалы»
«Филиалы» … …m N
Центры компетенции (1/2) • Каждый локальный SOC контролирует ИБ в рамках своего подразделения; • В рамках каждого SOC не всегда хватает профильных специалистов; • В организации есть распределенная группа людей, обладающая необходимыми компетенциями; • «Центр компетенции» – распределенная группа экспертов по определенному направлению ИБ: сетевая безопасность, НСД и др.
Центры компетенции (2/2) • Центр компетенции контролирует ситуацию по своему направлению в масштабах всей организации; • Технологической основой Центра компетенций выбирается один из локальных SOC.
Центры компетенции (2/2)
Инциденты • «Унифицированный контент» – Правила, тиражируемые на все локальные SOC; • Уникальный контент: • Спец заказ команд локальных SOC • Инструменты центров компетенций для общего анализа информации.
Задачи и решения • Полный пересмотр стандартных средств сбора из БД Касперского; • Отчетность по работам внешних подрядчиков (на основе сетевого трафика, внешних систем контроля); • Аутсорсинг контроля работоспособности системы СЦ «Информзащита».
Цифры Метрика Значение Типов выявляемых инцидентов 70+ «Унифицированных» из них 35+ Отчетов по состоятнию ИБ 80+ «Унифицированных» из них 35+ Обрабатываемая информация 3.5 млрд событий в день Среднесуточный совокупный поток 40 000 EPS
Технологии • HP ArcSight ESM; • Визуализация – собственная разработка; • Система управления заявками – собственная разработка Заказчика; • Дополнительные модули – в части интеграции со смежными решениями, предварительной обработки информации, автоматизации задач по обслуживанию компонентов.
Интерактивная карта инцидентов для Ситуационного центра мониторинга Визуализация
Преимущества решения В основе – решение Enterprise уровня, один из признанных лидеров, проверенный временем; Дополнительная оснастка – полностью кастомизируется для решения любых задач; Отсутствие единой точки отказа; Распределение нагрузки.
Дальнейшие шаги
Дальнейшие шаги • Создание единого центра для обработки сводной информации со всей страны, локальных SOC, Центров компетенций; • Визуализация комплексного состояния ИБ для ТОП-менеджмента; • Внедрение дополнительных внешних сервисов и аналитических механизмов.
Назаров Роман начальник отдела систем управления рисками Информзащита r.nazarov@infosec.ru

More Related Content

3.про soc от из

  • 3. Вводные данные • Распределенная структура организации, есть ярко выраженные региональные центры (РЦ); • Организационные связи между РЦ слабые; • Внедрение должно быть пошаговым; • Интеграция в существующую систему управления ИБ. • Масштабы РЖД: • 16 РЦ • 835 тыс. сотрудников
  • 4. Начало • Пилотная зона • Локальный SOC – классический SOC в рамках отдельно взятого РЦ.
  • 5. • SOC в Санкт-Петербургском, Ярославском и Красноярском РЦ 2012 2013 2014 2015 Первые РЦ
  • 6. • SOC в Самарском, Иркутском и Хабаровском РЦ • Подключение Калининграда на существующие технические решения 2012 2013 2014 2015 Расширение
  • 7. 2012 2013 2014 2015 • Подключение к локальным SOC смежных РЦ (которые по ряду причин не могут быть сделать локальный SOC); • Предоставление доступа к системе специалистам филиалов; • Сбор статистики, балансировка дальнейшей нагрузки как техники, так и людей. «Филиалы»
  • 9. Центры компетенции (1/2) • Каждый локальный SOC контролирует ИБ в рамках своего подразделения; • В рамках каждого SOC не всегда хватает профильных специалистов; • В организации есть распределенная группа людей, обладающая необходимыми компетенциями; • «Центр компетенции» – распределенная группа экспертов по определенному направлению ИБ: сетевая безопасность, НСД и др.
  • 10. Центры компетенции (2/2) • Центр компетенции контролирует ситуацию по своему направлению в масштабах всей организации; • Технологической основой Центра компетенций выбирается один из локальных SOC.
  • 12. Инциденты • «Унифицированный контент» – Правила, тиражируемые на все локальные SOC; • Уникальный контент: • Спец заказ команд локальных SOC • Инструменты центров компетенций для общего анализа информации.
  • 13. Задачи и решения • Полный пересмотр стандартных средств сбора из БД Касперского; • Отчетность по работам внешних подрядчиков (на основе сетевого трафика, внешних систем контроля); • Аутсорсинг контроля работоспособности системы СЦ «Информзащита».
  • 14. Цифры Метрика Значение Типов выявляемых инцидентов 70+ «Унифицированных» из них 35+ Отчетов по состоятнию ИБ 80+ «Унифицированных» из них 35+ Обрабатываемая информация 3.5 млрд событий в день Среднесуточный совокупный поток 40 000 EPS
  • 15. Технологии • HP ArcSight ESM; • Визуализация – собственная разработка; • Система управления заявками – собственная разработка Заказчика; • Дополнительные модули – в части интеграции со смежными решениями, предварительной обработки информации, автоматизации задач по обслуживанию компонентов.
  • 16. Интерактивная карта инцидентов для Ситуационного центра мониторинга Визуализация
  • 17. Преимущества решения В основе – решение Enterprise уровня, один из признанных лидеров, проверенный временем; Дополнительная оснастка – полностью кастомизируется для решения любых задач; Отсутствие единой точки отказа; Распределение нагрузки.
  • 19. Дальнейшие шаги • Создание единого центра для обработки сводной информации со всей страны, локальных SOC, Центров компетенций; • Визуализация комплексного состояния ИБ для ТОП-менеджмента; • Внедрение дополнительных внешних сервисов и аналитических механизмов.
  • 20. Назаров Роман начальник отдела систем управления рисками Информзащита r.nazarov@infosec.ru