Сертификат AM Test Lab
Номер сертификата: 209
Дата выдачи: 12.12.2017
Срок действия: 12.12.2022
- Введение
- Функциональные возможности Security Vision
- 2.1. Управление информационной безопасностью
- 2.2. Сбор данных о состоянии информационной безопасности
- 2.3. Соответствие требованиям ИБ и нормативному законодательству
- 2.4. Поддержка сервис-провайдеров ИБ
- Архитектура и системные требования Security Vision
- Варианты поставки Security Vision
- Выводы
Введение
Платформа Security Vision — российский продукт класса SGRC (Security Governance, Risk, Compliance), SOC (Security Operation Center), Security Intelligence, IRP (Incident Response Platform), предназначенный для автоматизации системы управления информационной безопасностью организации (СУИБ). Продукт позволяет автоматизировать ключевые процессы обеспечения информационной безопасности, осуществлять мониторинг информационных систем в режиме реального времени, сокращая время реакции на инциденты, снижать время и ресурсы на обработку инцидентов ИБ за счет обучения системы и использования базы знаний. Кроме технических аспектов информационной безопасности, платформа имеет централизованное обновление документальной базы, что обеспечивает получение актуальных организационно-распорядительных документов и рекомендаций по приведению организации в соответствие с политикой информационной безопасности.
Security Vision является пионером отечественного рынка SGRC и SOC: первая версия платформы вышла в 2007 году и носила название Security Monitoring and Management Center, а первые внедрения в 2008 году у таких заказчиков как Правительство Московской области позволили апробировать изыскания в сложных ИТ-ландшафтах. Эта версия системы позволяла осуществлять сбор и корреляцию событий безопасности из разрозненных систем информационной безопасности и имела уклон в сторону интеграции с оборудованием Cisco, выполняя такие задачи как анализ всплесков трафика, подключение и анализ отечественных средств защиты, обратную реакцию на инциденты.
В настоящее время Security Vision позволяет сделать процесс управления безопасностью прозрачным, наглядным и автоматизированным в пределах потребности организации. Платформа является гетерогенной, что позволяет унифицировать и анализировать данные как с систем информационной безопасности, так и с ИТ-систем, систем технической безопасности, экономической безопасности, SCADA. При этом основным профилем платформы остается информационная безопасность, о чем свидетельствуют внедрения федерального масштаба. Смежные области безопасности остаются экспериментальными для группы компаний и исследуются на базе «Сколково».
ГК «Интеллектуальная безопасность» сотрудничает с вендорами средств защиты информации. В результате технологического взаимодействия заказчик получает согласованную интеграцию со средствами защиты, исключая тем самым белые пятна в своей инфраструктуре. Примерами технологического взаимодействия является интеграция Security Vision со средствами защиты «Кода Безопасности», IBM QRadar, S-terra, «Лаборатории Касперского», Инфовотч DLP, RuSIEM и др.
Платформа Security Vision используется в ряде государственных и коммерческих организаций. Примерами могут служить Сбербанк, Группа ВТБ (ВТБ24, «Мультикарта»), «Ростех», Пенсионный фонд Российской Федерации, Корпорация МСП, ФАНО России, «Газпром-Медиа», Правительство Московской области, ФСО России, ГУП «Специальное предприятие при Правительстве Москвы», Совет Федерации и Госдума. Под нужды ряда специализированных заказчиков компания строит свой собственный Центр реагирования с выделенным ЦОДом для гарантированной сохранности и обработки данных по модели MSSP (Managed Security Service Provider).
Платформа Security Vision включена в Единый реестр российских программ для электронных вычислительных машин и баз данных Минкомсвязи России в 2016 году. В 2017 году согласно решению ФСТЭК России № 5751 от 23 октября 2017 года ведутся испытания продукции серийного производства. Получение сертификата ФСТЭК России ожидается во втором квартале 2018 года.
Функциональные возможности Security Vision
Security Vision предназначен для автоматизации подпроцессов ИБ:
- управление информационными активами (включая инвентаризацию и контроль целостности);
- управление жизненным циклом инцидентов ИБ. В том числе автоматизация деятельности по реагированию на инциденты: мониторинг и выявление, ведение и учет карточек инцидентов, регистрация действий пользователей при обработке инцидентов, назначение ответственных, оповещение, автоматическое принятие решений в рамках обработки инцидентов, автоматическое реагирование в рамках назначенного сценария;
- управление задачами ИБ (более конструируемое применение управления инцидентами ИБ);
- управление документами, регламентирующими порядок обеспечения ИБ;
- управление записями и логами ИБ;
- управление соответствием требованиям ИБ (Compliance);
- управление рисками ИБ (моделирование угроз по рекомендациям ФСТЭК России и ФСБ России, полный жизненный цикл управления рисками информационной безопасности);
- управление знаниями;
- управление взаимодействием с корпоративными системами;
- управление осведомленностью сотрудников в области ИБ (Awareness);
- управление мониторингом и аудитами;
- управления уязвимостями. В том числе автоматизация деятельности по реагированию на уязвимости: регистрация, настройка политик управления уязвимостями, выделение ложных срабатываний, назначение ответственных, автоматическое информирование;
- управление изменениями в ИТ-инфраструктуре;
- управление непрерывностью бизнеса;
- управление носителями информации;
- управление границами объекта защиты. В том числе визуализация состояния ИБ на масштабируемой географической карте как в целом, так и по отдельным процессам в 2D- и 3D-режимах;
- управление тестами на проникновение в КИС;
- управление физической безопасностью объекта защиты;
- управление резервным копированием;
- управление мобильными клиентами;
- управление экономической эффективностью;
- управление доступностью, активный мониторинг доступности узлов и сервисов, а также их состояния с возможностью диагностирования;
- управление системой ИБ в облачной инфраструктуре;
- управление визуализацией данных и оповещением о состоянии ИБ;
- управление отчетностью о состоянии ИБ;
- управление экономической безопасностью и др.
Целью автоматизации каждого подпроцесса является создание интеллектуально саморегулируемого программно-технического модуля на борту платформы для освобождения человека от участия в рутинных операциях. Отличительной особенностью работы с каждым подпроцессом является конструируемый подход, в котором заказчик самостоятельно конструирует свой процесс и автоматизирует его. Платформа изначально построена как конструктор сущностей. Часть подпроцессов платформы рассмотрена ниже.
Управление информационной безопасностью
Security Vision делает особый акцент на наглядности и прозрачности картины информационной безопасности с целью ускорения принятия управленческих решений. Платформа предоставляет пользователям широкий набор встроенных графических представлений, визуализирующих состояние безопасности корпоративной сети и результаты обработки информации.
Рисунок 1. Виджеты консоли администратора
Рисунок 2. Визуализация данных об уязвимостях
Рисунок 3. Состояние безопасности
Пользователю представляется информация о состоянии информационной безопасности в масштабах отдельного здания, города, страны или всей планеты на графической карте. В режиме реального времени отслеживается доступность сетевых устройств и сервисов, срабатывает оповещение об инцидентах ИБ, точках заражения или проникновениях в защищаемую информационную систему.
Рисунок 4. Графическое представление состояния ИБ в масштабах страны, планеты
Для выделения информационных активов компании (информация, аппаратные и программные средства, системы, сервисы, персонал) и автоматизации работы с ними в состав продукта входит Модуль управления активами. Он позволяет установить взаимосвязь между активами и потоками передачи данных для обеспечения информационной безопасности, а также с помощью средств встроенного конструктора сформировать необходимые типы активов и свойства для их описания.
Рисунок 5. Карта связей активов и потоков передачи данных
Модуль управления аудитами предназначен для автоматизации управления внешними и внутренними аудитами. С его помощью возможно создание объектов контроля и отслеживание уровня их соответствия на всех этапах, а также генерация статистики и подробных отчетов, которые позволяют получить представление о ходе аудита в любой момент времени.
Рисунок 6. Модуль управления аудитами
Управление инцидентами включает в себя решение следующих задач:
- построение пользовательских рабочих процессов обработки инцидентов в системе;
- присвоение и управление атрибутами инцидентов для ответных действий;
- контроль обработки инцидентов в соответствии с установленными соглашениями о предоставлении услуг;
- управление доступом к инцидентам на основании атрибутов заявок.
Рисунок 7. Перечень инцидентов
Security Vision поддерживает основные процессы современных SOC:
- мониторинг и управление событиями ИБ;
- процесс категоризации событий ИБ;
- аналитика ИБ;
- реагирование на инциденты ИБ в соответствии с аналитикой и сценариями;
- управление изменениями;
- анализ прошлых инцидентов;
- управление проблемами;
- мониторинг источников событий ИБ;
- аналитика киберугроз (Cyber Threat Intelligence).
Реализация процессов производится посредством механизма заявок. Заявки — новая концепция Security Vision, расширяющая границы управления инцидентами. Конструктор заявок позволяет формировать пользовательские свойства заявок различных типов, описание рабочих процессов заявки — изменений заявки в течение ее жизненного цикла — с помощью графического конструктора, настраивать типы заявок под различные задачи и сценарии.
Рисунок 8. Перечень заявок
Рисунок 9. Рабочий процесс заявки
Управление знаниями и BigData в Security Vision позволяет:
- проводить автоматический анализ ранее случившихся инцидентов безопасности;
- принимать решения относительно каждого конкретного инцидента;
- оперативно принимать решения по наиболее распространенным инцидентам.
Основой для управления знаниями является нейронная сеть с динамическими весовыми коэффициентами и с механизмом «обучения с учителем».
Используя всю доступную системе информацию, строятся OLAP-кубы (On-Line Analytical Processing) для обеспечения функциональности BI (Business intelligence). Для осуществления механизмов кластеризации, классификации и предсказаний используются специализированные модели и структуры данных.
Хранения больших данных обеспечивается технологией Hadoop, а в обработке данных используются такие технологии, как Spark и язык R.
Рисунок 10. Детальное описание инцидента
Управление документацией предоставляет функции автоматизации процесса хранения, создания и просмотра всего комплекса документов, связанных с информационной безопасностью организации. Изменение в системе автоматически отражается в документах, что позволяет располагать актуальными документами в любое время, а также в момент аудита.
Рисунок 11. Перечень документов
Security Vision позволяет проводить оценку рисков информационной безопасности, включая проведение оценки ценности активов, формирования моделей угроз, определения реестра рисков и составления плана обработки рисков. Кроме того, платформа помогает оценить риски информационной безопасности в денежном эквиваленте, что часто необходимо для принятия управленческих решений.
Рисунок 12. Матрица управления рисками
Security Vision позволяет сопоставлять и отслеживать соответствие (Compliance) отраслевым требованиям безопасности, международным стандартам, отечественной нормативной базе, а также соблюдение контрактных обязательств. Security Vision производит регулярную актуализацию базы нормативной документации и связанных с ней требований к обеспечению информационной безопасности.
Рисунок 13. Законодательные и нормативные требования
Security Vision автоматизирует процесс работы с жизненным циклом уязвимостей. Информация об активах, связанных с ними уязвимостях, сведения из подписок и справочников позволяют обеспечить немедленную реакцию на появившуюся уязвимость, создать план реагирования и реализовать его, обеспечив надежную защиту активов компании. Продукт имеет сканер сети из коробки и поддерживает интеграцию с распространенными сканерами уязвимостей сторонних производителей.
Рисунок 14. Управление уязвимостями
Security Vision собирает журналы событий аудита и позволяет пользователю выяснить первичную информацию о состоянии систем и сервисов на момент совершения инцидента, а также получить подтверждение причины инцидента в виде аналитического отчета. Это позволяет:
- использовать методологию заказчика для журналирования и автоматической оценки (grade) в соответствии с заданной методологией;
- снизить трудоемкость анализа и расследования инцидентов;
- выдать детализированный отчет анализа и предоставить развернутую информацию о самом инциденте;
- повысить точность определения наличия или отсутствия инцидента.
Security Vision поддерживает интеграцию с центрами реагирования на инциденты безопасности (CERT), такими как ГосСОПКА и FinCERT, позволяя принимать информацию из CERTов и отправлять выбранную пользователем информацию по унифицированным протоколам данных. Также возможно выстраивать интеграцию с корпоративными системами для уменьшения стоимости владения СУИБ. Интеграция производится с корпоративными системами, такими как Service Desk, CMDB, ИТ-мониторинг, Сервисно-ресурсными системами, АБС и др.
Security Vision позволяет построить процесс повышения уровня подготовки персонала к угрозам, связанным с методом социальной инженерии, и повышения общего уровня знаний об информационной безопасности.
Рисунок 15. Осведомленность
Продукт обеспечивает автоматизацию процесса подготовки и выдачи отчетов о состоянии ИБ в организации. Конструктор отчетов позволяет формировать произвольную структуру, наполняя ее графиками, таблицами и данными в соответствии с потребностями заказчика.
Рисунок 16. Отчет по управлению инцидентами ИБ
Рисунок 17. Отчет по соответствию требованиям информационной безопасности организации
Рисунок 18. Отчет по инвентаризации и контролю целостности
Рисунок 19. Отчет по программному обеспечению
Сбор данных о состоянии информационной безопасности
В первую очередь сбор событий осуществляется безагентным способом, дальше используются встроенные средства и универсальные сборщики событий (Wincollect, Event collector). В случае узкоспециализированных, саморазработанных или закодированных систем применяются специальные агенты: сбора, доступности, инвентаризации и контроля целостности, реагирования.
Агент сбора осуществляет накопление, нормализацию и отправку событий на сервер мониторинга и управления.
Рисунок 20. Агент сбора
Агент доступности производит активный и пассивный мониторинг сетевых узлов и сервисов, позволяя оперативно реагировать на изменения их состояния и уровня связи с ними.
Рисунок 21. Агент доступности
Агент инвентаризации и контроля целостности предназначен для автоматизации процесса инвентаризации и контроля неизменности состава аппаратных и программных средств, системного программного обеспечения, системных файлов и критичной информации на серверах и рабочих станциях сети.
Рисунок 22. Агент инвентаризации и контроля целостности
Агент реагирования предназначен для автоматизации процесса реагирования на инциденты или события безопасности и является частью IRP-комплектации платформы. Внедрение обратной реакции и автоматизации выработанных правил реагирования рекомендуется осуществлять на одном из последних этапов внедрения Security Vision с целью планомерной автоматизации.
Security Vision предоставляет заказчику комплексный подход в интеграции с системами класса SIEM:
- интеграцию с ведущими SIEM-системами, лидирующими в квадрате Gartner, такими как IBM QRadar, RSA Security, Intel Security, ArcSight и др. Интеграция производится на уровне API и БД, с целью обеспечения сквозной работы с системой управления инцидентами и реагирования на разных уровнях обработки — как правило L1/L2/L3;
- специализированную SIEM-систему, функционирующую на уровне ядра Security Vision, с определяемой и конструируемой логикой под нужды закрытого количества заказчиков;
- зонтичную интеграцию — платформа Security Vision позволяет объединить несколько сторонних SIEM-систем организации в единую платформу СУИБ-системы.
Рисунок 23. Анализ инцидента с помощью IBM QRadar
Рисунок 24. Зонтичная интеграция SIEM-систем
Соответствие требованиям ИБ и нормативному законодательству
Security Vision автоматизирует ИБ-процессы, составляющие систему управления информационной безопасностью организации, в соответствии с серией международных стандартов ISO/IEC 27001.
Рисунок 25. Оценка соответствия требованиям информационной безопасности и бизнес-требованиям
Security Vision позволяет автоматизировать процессы, связанные с отслеживанием изменений в нормативной базе (федеральных законах, постановлениях Правительства, приказах различных ведомственных структур) по персональным данным. Модуль управления документацией обрабатывает и поддерживает в актуальном состоянии организационно-распорядительные документы организации, регламентирующие обработку персональных данных.
Security Vision позволяет автоматизировать процесс контроля над всеми процессами обеспечения информационной безопасности конфиденциальных данных с помощью различных модулей. Security Vision не только отслеживает состояние всех программно-аппаратных составляющих системы защиты, но и обрабатывает инциденты, управляет рисками, ведет базу знаний, проводит аудиты, контролирует степень соответствия организации требованиям стандартов по защите конфиденциальной информации, а также следит за уровнем осведомленности сотрудников и планирует процедуры повышения уровня информационной безопасности.
Агент инвентаризации и контроля целостности обеспечивает централизованное автоматизированное управление процессом инвентаризации и контроля целостности состава аппаратных средств, системного и прикладного программного обеспечения, установленного на серверы и рабочие станции сети организации.
Платформа Security Vision, проходящая процедуру сертификации ФСТЭК России, представляет собой инструмент управления, который позволяет автоматизировать процесс контроля над всеми процедурами обеспечения безопасности автоматизированных систем заказчика, объектов ключевой системы информационной инфраструктуры (КСИИ), с помощью различных модулей, решая следующие задачи:
- управление соответствием;
- управление ключевыми показателями;
- визуализация данных;
- управление знаниями;
- управление инцидентами;
- управление аудитами;
- управление осведомленностью;
- управление рисками;
- управление тестами на проникновение;
- управление лицензиями;
- управление уязвимостями;
- управление активами;
- управление непрерывностью бизнеса;
- управление изменениями;
- управление документацией;
- управление отчетностью и др.
Помимо этого, Security Vision учитывает особенности КСИИ в части обеспечения доступности критически важной информации, текущих (тесной интеграции с операционными системами) и новых (виртуализация) реалий.
Поддержка сервис-провайдеров ИБ
Security Vision позволяет сервис-провайдерам предоставлять услуги по ИБ для малых и средних компаний на коммерческой основе, организуя на своей базе корпоративные и ведомственные центры услуг. Основным преимуществом предоставления услуг клиентам по модели SSC/MSSP (Центр разделяемых сервисов и аутсорсинг) является возможность расширения бизнеса сервис-провайдеров за счет организаций, которые не могут самостоятельно выстраивать и поддерживать систему мониторинга ИБ силами сотрудников ИТ-отдела организации, но имеют потребность в таких сервисах. Со стороны клиентов по модели SSC/MSSP также наблюдается ряд преимуществ:
- прозрачность ценообразования и экономия средств организации — оплачивается только объем фактического использования;
- короткие сроки получения первых экспертных результатов;
- стандартизация бизнес-процессов в соответствии с международной практикой;
- мониторинг процессов;
- опыт специалистов сервис-провайдера постоянно растет за счет решения вопросов по ИБ, с которыми они сталкиваются при работе с разными клиентами;
- отсутствие необходимости закупать и поддерживать дорогостоящее программное обеспечение и оборудование.
Архитектура и системные требования Security Vision
Платформа Security Vision имеет трехуровневую архитектуру — уровень сбора, уровень ядра и уровень управления.
Рисунок 26. Архитектура Security Vision
Уровень управления предназначен для автоматизации процесса управления информационной безопасностью и представляет собой русскоязычный портал управления — непосредственно платформу Security Vision.
Таблица 1. Минимальные системные требования для функционирования программного обеспечения уровня управления
Операционная система | Аппаратные требования |
Microsoft Windows Server 2012 R2 | Процессор — два 4-ядерных 2.4 ГГц |
Microsoft Windows Server 2008 R2 | Оперативная память — 8 Гб |
Microsoft Windows Server 2008 SP2 32/64 | Свободное место на жестком диске — 50 Гб |
Microsoft Windows Server 2012 | Сетевая плата |
Microsoft Windows Server 2016 |
Уровень ядра предназначен для сбора, анализа и корреляции событий, генерируемых в процессе работы различных источников событий в корпоративной сети.
Таблица 2. Минимальные системные требования для функционирования программного обеспечения уровня ядра
Операционная система | Аппаратные требования |
Red Hat Enterprise Linux 5.7 64-bit | Процессор — два 4-ядерных 2.4 ГГц |
Оперативная память — 24 Гб | |
Свободное место на жестком диске — 3 Тб (RAID10) | |
Сетевая плата |
Уровень сбора обеспечивает:
- сбор, нормализацию и отправку на уровень ядра событий, поступающих от отечественных систем обеспечения безопасности;
- инвентаризацию и контроль целостности состава аппаратных средств, системного и прикладного программного обеспечения, установленного на серверы и рабочие станции.
Таблица 3. Минимальные системные требования для функционирования программного обеспечения уровня сбора
Операционная система | Аппаратные требования (для работы с логами) | Аппаратные требования (для инвентаризации и контроля целостности) |
Microsoft Windows Server 2012 | Процессор — 1.4 ГГц | Процессор — 800 МГц |
Microsoft Windows Server 2008 R2 | Оперативная память — 512 Мб | Оперативная память — 512 Мб |
Microsoft Windows Server 2008 SP2 32/64 | Свободное место на жестком диске — 500 Мб | Свободное место на жестком диске — 500 Мб |
Microsoft Windows Server 2003 R2 SP2 32/64 | Сетевая плата | Сетевая плата |
Microsoft Windows Server 2003 SP2 32/64 | ||
Microsoft Windows 8 32/64 | ||
Microsoft Windows 7 32/64 | ||
Microsoft Windows Vista 32/64 | ||
Microsoft Windows XP SP3 32/64 |
Программное обеспечение сертифицируется по 4 уровню контроля отсутствия недекларированных возможностей, с возможностью использования в автоматизированных системах до класса 1Г включительно, ГИС до 1 класса включительно, ИСПДн до 1 уровня включительно.
Варианты поставки Security Vision
Security Vision выпускается в четырех комплектациях, отвечающих различным задачам бизнеса в области ИБ, начиная от централизованного сбора и хранения информации о событиях информационной безопасности и заканчивая построением ситуационных центров информационной безопасности (Information Security Operation Center, ISOC).
Комплектация «Старт (Инвентаризация и контроль целостности)» предназначена для автоматизации инвентаризации информации с рабочих станций и серверов организации с возможностью обеспечения защиты целостности важных файлов. В этой комплектации Security Vision позволяет организовать управление активами в соответствии с международными стандартами управления информационной безопасностью (ISO 27000 и др.). Продукт предоставляет инструменты графических представлений (виджетов) в интерфейсе и механизмы оповещений и ведения отчетности.
Комплектация «Стандартный (SOC)» позволяет построить ситуационный центр информационной безопасности (ISOC) предприятия. В этой комплектации Security Vision обладает функциональностью комплектации «Старт», а также позволяет визуализировать информационную безопасность в режиме 2D/3D на масштабируемой карте мира/здания/помещения с целью повышения управляемости процессами ИБ. Операторы ситуационного центра имеют возможность оперативно реагировать на инциденты безопасности, получая полную информацию и аналитику в любой момент.
Комплектация «Стандартный (GRC)» позволяет построить полноценную автоматизированную СУИБ предприятия. В этой комплектации Security Vision обладает функциональностью комплектации «Старт», а также позволяет управлять ключевыми процессами информационной безопасности, такими как:
- управление ключевыми показателями эффективности (KPI);
- управление жизненным циклом инцидентов;
- управление документами, регламентирующими порядок обеспечения ИБ;
- управление рисками ИБ;
- управление соответствием требованиям ИБ.
Управление и автоматизация процессов позволяет выстроить как реактивную, так и проактивную защиту в соответствии с серией стандартов ISO 27000.
Комплектация «Корпоративный» ориентирована на средние и крупные компании. Данная комплектация Security Vision включает минимальный набор модулей и позволяет подключать любые необходимые модули к платформе, в том числе и модули по индивидуальному заказу:
- управление KPI;
- управление жизненным циклом инцидентов (Ticketing);
- управление документами, регламентирующими порядок обеспечения ИБ;
- управление рисками ИБ;
- управление соответствием требованиям ИБ;
- географическая карта;
- управление знаниями;
- управление аудитами;
- управление уязвимостями;
- управление носителями информации;
- управление осведомленностью (Awareness) в области ИБ;
- тесты на проникновение (Pentest);
- взаимодействие с корпоративными системами;
- интеграция с CERT (ГосСОПКА, FinCERT, GIB Intelligence, IBM X-Force);
- криминалистика;
- управление непрерывностью бизнеса;
- управление изменениями в ИТ-инфраструктуре.
Выводы
ГК «Интеллектуальная безопасность» — молодая российская компания, однако ее продукт Security Vision уже зарекомендовал себя среди крупнейших федеральных финансовых и государственных организаций страны и был отмечен наградами в области информационной безопасности.
Security Vision — платформа SGRC, имеющая более 20 различных модулей и встроенную SIEM-систему, специализированную под задачи SGRC и IRP. Внедрение платформы Security Vision позволяет в прямом смысле наглядно решать важные организационные задачи в управлении информационной безопасностью, достичь соответствия организации современным международным и отечественным стандартам ИБ, повысить уровень осведомленности сотрудников компании. Security Vision позволяет снизить издержки организации и сократить время реагирования на инциденты безопасности.
Security Vision предоставляет заказчикам широкий набор комплектаций, но даже стартовый пакет платформы позволяет небольшой компании повысить уровень системы ИБ до приемлемого в части большинства вопросов безопасности.
Достоинства:
- Подтвержденная внедрениями (Сбербанк, Группа ВТБ, Корпорация МСП и др.) реальная автоматизация процессов при построении SOC: мониторинг, категоризация и управление событиями ИБ; анализ киберугроз; реагирование на инциденты; управление изменениями; мониторинг источников событий ИБ и т. д.
- Наличие единого инструмента для оценки состояния ИБ и принятия как тактических, так и стратегических решений.
- Централизованный сбор и хранение информации о событиях информационной безопасности с предпосылками применения технологий BigData.
- Визуализация информационной безопасности, предоставление карты инцидентов ИБ и состояния активов в различных аспектах (включая режим 3D) и повышение прозрачности взаимодействия ИБ с бизнесом.
- Наглядное и объемное получение актуальной картины состояния ИБ и обеспечивающих процессов. Большое внимание уделено наглядности и прозрачности.
- Глубокая техническая интеграция с наиболее известными SIEM-системами (IBM QRadar, RSA Security, Intel Security, ArcSight и др.). Позволяет строить масштабные и при этом гибко ориентированные на заказчика SOC.
- Расширенные возможности кастомизации настроек за счет наличия встроенного визуального конструктора процессов.
- Реализация практически любого сценария реагирования на инцидент безопасности, проведение расследования за счет возможности определения цепочки последовательных действий.
- Полноценный Ticketing workflow (впервые реализован в Сбербанке в 2016 году) с редактором процессов, обеспечивающий работу с любой сущностью «заявки». В дополнение к workflow сильным элементом является автоматическое реагирование в соответствии с runbook/playbook/use case.
- Формализация и унификация процессов обеспечения ИБ в рамках единой платформы.
- SIEM-система Security Vision имеет конструктор простых правил корреляции.
- Наличие функций управления активами, в том числе ИТ-активами.
- Обнаружение компьютерных атак, направленных на защищаемые информационные ресурсы в режиме реального времени.
- Механизмы автоматического формирования нормативной документации (политик, процедур и т. д.).
- В ближайшее время ожидается сертификат ФСТЭК России.
Недостатки:
- Нет автоматической интеграции с БДУ ФСТЭК.
- Нет возможности создания пользовательских шкал оценки соответствия нормативным требованиям. Ожидается появление в новой версии.
- Недостаточная функциональность управления осведомленностью пользователей (не осуществляется учет доступа работников к информационным активам, учет проведения инструктажей и тестирование знаний пользователей).