Центр контроля информационной безопасности

Центр контроля информационной безопасности Р-Вижн (R-Vision) — это программная платформа для оперативной организации и автоматизации деятельности по мониторингу, регистрации и реагированию на инциденты информационной безопасности. Система позволяет создать единую точку консолидации информации обо всех инцидентах информационной безопасности (корпоративный SOC), а также платформу для совместной работы группы реагирования на инциденты ИБ с возможностью сбора, анализа и хранения сведений, относящихся к инцидентам ИБ. R-Vision обеспечивает координацию деятельности сотрудников компании, распределение задач и учет выполненных мероприятий по реагированию на инциденты ИБ.

Программный комплекс позволяет провести инвентаризацию инфраструктуры, выделить наиболее критичные активы, определить специалистов, ответственных за обеспечение безопасности активов. За счет интеграции с имеющимися решениями по безопасности (антивирусы, сканеры защищенности и др.), а также использования собственных механизмов контроля, обеспечивается консолидация и представление в единой консоли различных сведений о состоянии безопасности инфраструктуры, контроль установленного ПО, обнаружение несанкционированного оборудования и внешних подключений, выявление и контроль устранения уязвимостей. Топология инфраструктуры может быть представлена в виде карт сетей, планов помещений и схем географического расположения.

Сбор и консолидация необходимой информации по состоянию ИТ-инфраструктуры и зафиксированным инцидентам информационной безопасности могут быть обеспечены за счет использования нескольких механизмов: электронной почты, программного интерфейса (API), встроенной системы приема сообщений, а также собственных коннекторов для ключевых систем защиты: сканеров уязвимости, средств антивирусной защиты, систем защиты от утечки информации (DLP), систем сбора и корреляции событий безопасности (SIEM) и других. Разбор поступающих в систему сообщений может быть адаптирован под специфику защищаемой инфраструктуры путем использования правил на базе регулярных выражений или тегов.

Отсутствие единого центра, содержащего сведения обо всех зафиксированных инцидентах информационной безопасности, является одной их ключевых проблем, снижающих оперативность реагирования на инциденты уполномоченных сотрудников. Использование платформы R-Vision в качестве основы для реализации центра реагирования на инциденты ИБ (SOC) позволяет обеспечить фиксацию фактов обнаружения инцидентов информационной безопасности, а также релевантной информации в единой, централизованной базе. Это, в свою очередь, позволяет повысить управляемость деятельности по реагированию на инциденты и оперативность обработки возникающих инцидентов, а также соблюсти соответствующие требования методических документов и стандартов, установленных регуляторами (ФСТЭК, ЦБ и др.).

Платформа R-Vision содержит широкий спектр механизмов, позволяющих адаптировать логику работы системы под специфику и особенности процесса реагирования на инциденты в определенной компании. К таким механизмам относятся: конструктор описания инцидентов, позволяющий задать состав сведений, собираемых по соответствующим категориям инцидентов; конструктор циклов обработки инцидентов, позволяющий создавать различные схемы статусов (маршруты) движения инцидентов в процессе обработки; гибкие правила настройки доступа к сведениям по инцидентам, включая возможность автоматического назначения ответственных лиц на инциденты на основании связанных активов, или заданных правил; настраиваемые справочники и шаблоны инцидентов, обеспечивающие возможность быстрого ввода данных по зафиксированным инцидентам.

Скорость реакции на инциденты является одним из ключевых показателей эффективности подразделения, отвечающего за информационную безопасность. В условиях все возрастающего количества фиксируемых сообщений о возможных инцидентах ИБ и принимая во внимание скорость реализации современных кибератак, единственным способом сохранить возможность оперативного реагирования является автоматизация выполняемых действий и разработка готовых планов реагирования на возникающие ситуации. Платформа R-Vision содержит набор готовых механизмов реагирования, которые могут быть легко настроены пользователем системы под собственные нужды: правила уведомления, на основании которых система оперативно уведомляет определенных лиц в организации о возникновении инцидента; правила эскалации и назначения, которые по заданным характеристикам инцидентов позволяют автоматически назначать ответственных лиц и состав рабочей группы реагирования на соответствующий инцидент; правила реагирования, которые позволяют определить состав выполняемых действий по инциденту, распределить задачи в группе реагирования, а также в автоматическом режиме выполнить заданные скрипты для сбора релевантной информации. В системе также могут быть определены нормативы по выполнению тех или иных действий, а также общие сроки реагирования на инциденты различных категорий и уровней критичности. Все это в совокупности позволяет оценивать эффективность команды реагирования и определять области для улучшения.

Для эффективного отражения современных кибератак крайне важно иметь возможность обмениваться информацией с другими участниками отрасли, внешними экспертами и организациями, публичными центрами реагирования (CERT/SOC).  Это позволяет оперативно получать сведения, которые могут быть использованы для обнаружения и блокирования кибератаки. Кроме того, это позволяет предоставить сведения, выявленные в ходе расследования инцидента, другим доверенным участникам обмена, в качестве которых могут выступать службы информационной безопасности дочерних и/или головных организаций (в случае крупных холдинговых структур), партнерских организаций/контрагентов, соответствующих государственных служб (ФинЦЕРТ, ГОССОПКА и др.). Платформа R-Vision содержит встроенные механизмы обмена сведениями по инцидентам, которые позволяют обмениваться данными с другими участниками, при этом обладая полным контролем над объемом передаваемой информации и списками получателей.

Слаженная работа команды реагирования является крайне важным фактором, обеспечивающим результативность деятельности по реагированию на инциденты информационной безопасности. Каждый инцидент в платформе R-Vision обладает собственной рабочей областью, в рамках которой осуществляется взаимодействие сотрудников, ответственных за реагирование на соответствующий инцидент. Лицо, ответственное за обработку инцидента, обладает возможностью определять состав рабочей группы, устанавливать объем доступной для просмотра информации, распределять задачи между участниками рабочей группы. Все собранные в ходе обработки инцидента свидетельства и материалы сохраняются в общем хранилище и становятся доступны всем участникам рабочей группы. Оперативная коммуникация внутри команды обеспечивается за счет командного чата по инциденту.

Платформа R-Vision предлагает широкий набор средств визуализации информации. Кастомизируемые дашборды обеспечивают представление информации в виде графиков и диаграмм, содержащих функции перехода от графиков к соответствующей им информации (drill-down). Данные по инфраструктуре могут быть представлены в виде карт сетей и схем помещений. Анализ взаимосвязей между элементами системы, способствующий эффективному расследованию инцидентов, может быть проведен с использованием так называемых схем взаимосвязей. Информация по активам, инцидентам и другим элементам системы для ее последующей обработки также может быть экспортирована в виде Excel-файлов. R-Vision IRP содержит широкий список готовых отчетов, а также механизмы настройки собственных шаблонов. Правила создания и рассылки отчетов позволяют настроить расписание автоматической генерации документов и их отправки соответствующим адресатам.