Войти

Статья 5

Что такое ОЦИБ

зачем и кому нужен?

Оперативный центр информационной безопасности(далее - ОЦИБ) — юридическое лицо или структурное подразделение юридического лица, осуществляющее деятельность по защите электронных информационных ресурсов, информационных систем, сетей телекоммуникаций и других объектов информатизации.

ОЦИБ аналогичен зарубежным пунктам управления информационной безопасностью (Security Operations Centers - SOC). Он отвечает за оперативный мониторинг информационной среды и предотвращение инцидентов безопасности.

Если совсем просто, то специалисты ОЦИБ собирают и анализируют данные с различных объектов инфраструктуры и при обнаружении подозрительной активности принимают меры для предотвращения атак.

Деятельность ОЦИБ возможна только при наличии лицензии, выдаваемой Комитетом национальной безопасности РК. Однако данное требование не распространяется на правоохранительные и специальные государственные органы, а также банки второго уровня, у которых функции ОЦИБ выполняются внутренними структурными подразделениями. Общий порядок лицензирования данной сферы регулируется Законом РК “О разрешениях и уведомлениях”.

Зачем нужен ОЦИБ?

Простыми словами, ОЦИБ нужен для защиты компьютерных систем и данных от злоумышленников, чтобы они не смогли взломать или повредить информацию.

Кому нужен ОЦИБ?

Организации с критически важной информационной инфраструктурой

Таким как государственные учреждения, финансовые учреждения, а также частным предприятиям, у которых есть функция оказания государственных услуг.

Телекоммуникационные компании

Эти организации обрабатывают огромное количество данных и должны защищать информацию своих клиентов от утечек и кибератак.

Энергетические компании

Электростанции, распределительные сети и другие объекты энергетической инфраструктуры также являются привлекательными целями для кибератак.

Медицинские учреждения и компании

Больницы, клиники и компании, занимающиеся хранением и обработкой медицинских данных, нуждаются в защите персональной информации пациентов и предотвращении кибератак.

Образовательные учреждения

Университеты и школы все чаще становятся целями киберпреступников, поэтому защита данных студентов и исследовательской информации имеет большое значение.

Производственные компании

Современные производственные процессы все чаще зависят от компьютерных систем и Интернета вещей (IoT), что делает их уязвимыми для кибератак.

Транспортные компании

Авиакомпании, железнодорожные и автомобильные перевозчики, а также порты и терминалы нуждаются в защите своих информационных систем от угроз.

Торговые компании (ритейл)

Большие торговые сети, особенно те, которые занимаются электронной коммерцией, нуждаются в защите от утечек данных клиентов и финансовых транзакций.

Медиа и развлекательные компании

Компании, занимающиеся созданием и распространением медийного контента, должны защищать свою интеллектуальную собственность и данные пользователей.

Технологические компании

Разработчики ПО, интернет-сервисы и другие технологические компании часто становятся целями атак, нацеленных на получение доступа к исходному коду и конфиденциальным данным.

Некоммерческие организации и НКО

Эти организации могут быть мишенями кибератак из-за своей политической или социальной активности, особенно в условиях конфликта или нестабильности.

Агропромышленные компании

Сельскохозяйственные предприятия, использующие современные технологии и системы управления, также могут подвергаться кибератакам.

Как выбрать грамотного поставщика услуги ОЦИБ?

Как мы ранее рассказывали, ОЦИБ может функционировать только на основании лицензии от органов национальной безопасности РК, и согласно действующим НПА это является основным требованием к нему.

Однако на практике встречаются ОЦИБ, которые получили лицензию на основе арендованных средств защиты информации (СЗИ) и временных специалистов ИБ, но не вкладывают достаточно в развитие своего ОЦИБ. Факт получения лицензии не всегда коррелирует с качеством услуг, что оказывает негативное влияние на рынок: снижается качество предоставляемых услуг и их стоимость. Это приводит к тому, что качество услуг становится формальным, поэтому потенциальный Заказчик должен тщательно проверить потенциального Поставщика.

Рекомендации (лайфхаки) для подбора потенциального поставщика услуг

  • Мониторинг событий ИБ 24/7 365 дней в году:

    Злоумышленники на другой стороне нашей планеты не будут ждать наступления рабочего времени в вашем часовом поясе, чтобы попытаться создать проблемы.

  • Соответствие требованиям Приказа №52 по правилам МОИБ:

    Поставщик должен обеспечить сбор нужных событий (логирование) по информационной безопасности.

  • Хранение журналов регистрации событий не менее трёх лет:

    Это создаёт условия для хронологического анализа при необходимости.

  • Удалённый доступ к системе мониторинга событий ИБ:

    Поставщик должен предоставить ответственным лицам вашей организации удалённый доступ для регулярного объективного контроля.

  • Совместные мероприятия по реагированию на инциденты ИБ:

    Информация о выявляемых аномальных событиях (потенциальных угрозах ИБ) должна направляться ответственным лицам вашей организации для подтверждения (опровержения) инцидента. Любая нелегитимная активность в сетях должна изолироваться и нейтрализоваться.

  • Профессиональное объяснение причин инцидента ИБ:

    Поставщик должен качественно выполнять свою работу, а также объяснять причины возникновения инцидента ИБ и выдавать рекомендации по предотвращению будущих инцидентов.

  • Штатный персонал и собственные средства защиты:

    Поставщик должен обладать штатным персоналом и собственным комплексом программных и программно-аппаратных средств защиты, а не арендованными на период получения лицензии и проведения конкурсных процедур.

  • Проверка отзывов от действующих и бывших клиентов:

    Установите рабочие контакты с ответственными работниками за ИБ в этих организациях и наведите у них справки о поставщике.

  • Анализ стажа и текучести кадров у поставщика:

    Обратите внимание на стаж трудовой деятельности специалистов по ИБ и текучесть кадров. Если есть возможность, пообщайтесь с бывшими работниками.

  • Нанимайте опытного консультанта при необходимости:

    Если вы впервые сталкиваетесь с процедурами приобретения услуг по ИБ, лучше наймите опытного консультанта для этих целей.

Примечание:

Перечень организаций, имеющих лицензии на предоставление услуг ОЦИБ, находится на сайте МЦРИАП РК или на сайте ГТС КНБ.

Требования к поставщикам услуг оперативного центра информационной безопасности (ОЦИБ) которые помогут вам получить качественную услугу:

  1. 1
    Инвентаризация информационных активов

    Поставщик должен провести инвентаризацию и предоставить актуальные сведения о количестве объектов инфраструктуры, их типах, используемых операционных системах и их версиях.

  2. 2
    Категоризация активов

    Поставщик должен выполнить категоризацию объектов информатизации согласно законодательству Республики Казахстан.

  3. 3
    Аудит инфраструктуры

    Поставщик обязан провести аудит на соответствие требованиям информационной безопасности, выявить несоответствия нормативно-правовым актам и стандартам, а также оценить полноту оснащенности средствами защиты.

  4. 4
    Выдача рекомендаций

    Поставщик должен предоставить рекомендации по исправлению выявленных замечаний, особенно тех, которые требуют финансовых затрат со стороны заказчика.

  5. 5
    Исправление замечаний

    Поставщик совместно с ответственными лицами заказчика должен исправить замечания, не требующие дополнительных финансовых затрат.

  6. 6
    Подключение к средствам мониторинга

    Поставщик должен подключить объекты к средствам мониторинга ОЦИБ с момента начала действия договора и адаптировать правила выявления аномальных событий информационной безопасности.

  7. 7
    Мониторинг событий информационной безопасности

    Поставщик обязан обеспечить 24/7 мониторинг событий ИБ, хранить журналы регистраций не менее трёх лет и предоставить удалённый доступ к системе мониторинга.

  8. 8
    Реагирование на инциденты

    Поставщик должен совместно с ответственными лицами заказчика реагировать на инциденты ИБ, проводить первичный анализ и предоставлять план реагирования.

  9. 9
    Анализ инцидентов

    Поставщик обязан проводить анализ цифровых следов, предоставлять отчёты с описанием инцидентов, причин их возникновения и рекомендациями по недопущению повторения.

ВЫВОД № 12:

Мы выяснили, что ОЦИБ — это важный аспект в обеспечении безопасности информационных систем, обнаружении и реагировании на потенциальные угрозы, а также разработке стратегий по защите информационных активов. Понимание роли и функций ОЦИБ поможет организациям эффективно защищать свои данные и минимизировать риски безопасности.

Для получения доступа к статье Методологии, Вам необходимо

или
Вопросы и ответы