Интенсивно меняющийся ландшафт угроз безопасности информации, связанный напрямую с развитием информационных технологий, требует непрерывного автоматизированного контроля событий информационной безопасности с целью оперативного реагирования, ретроспективного анализа на предмет таргетированных атак, а также выполнения требований регуляторов сферы. В настоящей статье представлен процесс создания внедряемой повсеместно концепции – Центра мониторинга информационной безопасности. Этот сложный, многофакторный процесс учитывает проработку нормативно-правовых актов и нормативно-методической документации, анализ актуальных международных практик, формирование пула используемых технологий, формирование команды обслуживания и отладку рабочих процессов. При этом должны учитываться возможность взаимодействия Центра с регулирующими органами, особенностями коммуникации с заказчиками, собственная устойчивость к атакам, экономическая целесообразность, особенности человеческой психологии и тому подобное. Для визуализации работы Центра представлена процессная схема его работы. В статье уделено внимание выбору ядра Центра – SIEM-системы. Результат наглядно представляет текущий срез российского рынка систем такого класса, что важно в контексте импортозамещения.

1.?Федеральный закон от 26.07.2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». – URL: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kii/285-zakony/1610-federalnyj-zakon-ot-26-%20iyulya-2017-g-n-187-fz (дата обращения: 08.12.2022).

2.?Указ Президента Российской Федерации от 15.01.2013 г. № 31 «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». – URL: https://base.garant.ru/70299068/ (дата обращения: 08.12.2022).

3.?Методические рекомендации ФСБ России от 24.12.2016 № 149/2/7-200 «Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».

4.?Grasp on next generation security operation centre (NGSOC): Comparative study / Y.T. Dun, M.F.A. Razak, M.F. Zolkipli, T.F. Bee, A. Firdaus // International Journal of Nonlinear Analysis and Applications. – 2021. – Vol. 12 (2). – P. 869–895. – URL: https://ijnaa.semnan.ac.ir/article_5145.html (accessed: 08.12.2022).

5.?Chamkar S.A., Maleh Y., Gherabi N. The human factor capabilities in Security Operation Center (SOC) // Lecture Notes in Networks and Systems. – 2021. – Vol. 357. – P. 579–590. – DOI: 10.1080/07366981.2021.1977026.

6.?Security Operations Center: A systematic study and open challenges / M. Vielberth, F. Böhm, I. Fichtinger, G. Pernul // IEEE Access. – 2020. – Vol. 8. – P. 227756–227779. – DOI: 10.1109/ACCESS.2020.3045514.

7.?Создание собственного SOC при помощи классификации MITRE и openssource стека elk / Я.В. Степанов, Т.Н. Копышева, Т.В. Митрофанова, Т.Н. Смирнова // Информационные технологии в науке, управлении и образовании: междисциплинарный подход и тенденции развития: сборник материалов Всероссийской научно-практической конференции. – Димитровград, 2021. – С. 229–236. – URL: https://elibrary.ru/item.asp?id=47424688 (дата обращения: 08.12.2022).

8.?Knerler K., Parker I., Zimmerman C. 11 strategies of a world-class cybersecurity operations center. – MITRE, 2022. – URL: https://www.mitre.org/news-insights/publication/11-strategies-world-class-cybersecurity-operations-center (accessed: 08.12.2022).

9.?Mutemwa M., Mtsweni J., Zimba L. Integrating a Security Operations Centre with an organization’s existing procedures, policies and information technology systems // 2018 International Conference on Intelligent and Innovative Computing Applications (ICONIC). – IEEE, 2018. – P. 1–6. – DOI: 10.1109/

ICONIC.2018.8601251.

10.?NIST SP 800-61 Rev. 2. Computer Security Incident Handling Guide / National Institute of Standards and Technology. – NIST, 2012. – URL: https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final (accessed: 08.12.2022).

11.?János F.D., Huu Phuoc Dai N. Security concerns towards Security Operations Centers // 2018 IEEE 12th International Symposium on Applied Computational Intelligence and Informatics (SACI). – IEEE, 2018. – P. 000273–000278. – DOI: 10.1109/SACI.2018.8440963.

12.?Towards a framework for measuring the performance of a Security Operations Center analyst / E. Agyepong, Y. Cherdantseva, P. Reinecke, P. Burnap // International Conference on Cyber Security and Protection of Digital Services (Cyber Security). – IEEE, 2020. – P. 1–8. – DOI: 10.1109/CyberSecurity49315.

2020.9138872.

13.?Hámornik B.P., Krasznay C., Nicholson D. A team-level perspective of human factors in cyber security: Security Operations Centers // Advances in Human Factors in Cybersecurity. – Cham: Springer, 2018. – P. 234–236. – DOI: 10.1007/978-3-319-60585-2_21.

14.?Шабловский Я.К., Гельфанд А.М. Обзор технологии SOC (Security Operations Center) // Инновации. Наука. Образование. – 2021. – № 33. – С. 1316–1321. – URL: https://www.elibrary.ru/item.asp?id=46168786 (дата обращения: 08.12.2022).

15.?Abd Majid M., Zainol Ariffin K.A. Model for successful development and implementation of Cyber Security Operations Centre (SOC) // PLoS One – 2021. – Vol. 16 (11). – DOI: 10.1371/journal.pone.0260157.