Увеличение количества инцидентов информационной безопасности и причиняемого ими ущерба ведет к необходимости обеспечения защищенности информационных ресурсов, постоянного отслеживания и предотвращения компьютерных атак и реагирования на инциденты.
Наиболее эффективными системами для решения таких задач являются центры мониторинга компьютерных атак и управления инцидентами (в международной терминологии Security Operation Center (SOC), Computer Security Incident Response Team (CSIRT) и др.). Создание центра мониторинга в коммерческой компании или государственной организации — одна из мер поддержания должного уровня безопасности в современных реалиях.
Оно преследует три главные цели:
1. Сократить расходы и потери. Вовремя зафиксированный и предотвращенный инцидент информационной безопасности (ИБ) — прямое уменьшение финансовых и репутационных потерь.
Центр мониторинга автоматизирует корреляцию событий, анализ защищенности информационных ресурсов, расследование инцидентов, отслеживание изменений настроек СЗИ и некоторые другие операции. Меньше персонала — меньше расходов. Также он снижает время реакции службы ИБ на инциденты, противодействие им и проведение последующего расследования.
2. Соответствовать требованиям российских и международных нормативных актов, законов и отраслевых стандартов. Требования и рекомендации по централизованному управлению информационной безопасностью предусмотрены в СТО БР ИББС, 152-ФЗ, PCI DSS, ISO 27001.
3. Снизить риски ИБ. Например, Банк России выделяет информационные системы как главный фактор бесперебойного функционирования кредитной организации и снижения риска возникновения убытков. Центр мониторинга отслеживает события в системе, противоречащие установленным требованиям и стратегиям.
Можно выделить несколько основных задач Центра мониторинга. В их число входят:
• сбор и анализ данных о текущем состоянии ИБ и его изменениях;
• обнаружение, уменьшение и ликвидация последствий компьютерных атак, направленных на контролируемые ресурсы;