Positive Technologies. Практика построения центров ГосСОПКА. От 16-23.03.17





Двухсерийный вебинар посвященный опыту PT построения центров ГосСОПКА

В первой части PT делится информацией о том что их вариант построения центров ГосСОПКА был выбран среди нескольких предложений; что они помогали развертывать пилотных центр в Министерстве экономического развития и именно по результатам него были разработаны методические рекомендации ФСБ России построения центров ГосСОПКА.

Рассказывали что требования ФСБ России рассматриваются как дополнительные по сравнению с базовым набором мер от ФСТЭК к ГИС и ИСПДн. Проверять ФСБ якобы будет не выполнение требований, а адекватность реагирования на инциденты - наказывать тех кто допускает повторяющиеся инциденты и не принимает никаких мер.

Требования к функциям центра ГосСОПКА:
- инвентаризация
- управление уязвимостями
- анализ угроз
- повышение осведомленности
- прием сообщений об инцидентах
- обнаружение компьютерных атак
- анализ событий ИБ
- регистрация, реагирование, уведомление, анализ инцидентов ИБ




Во второй части даются раскрываются некоторые секреты построения центров ГосСОПКА.

Одна из основных мыслей от PT:  важный этап это разработка ТЗ и проектирование Центра. Именно на этом этапе выбираются технические решения, согласовывается с ФСБ объем, порядок и каналы обмена информацией. Создавать предлагается поэтапно: увеличивая область охвата - тестовая зона, внешние система, ЦОДы, остальные ИС и АРМ.

С точки зрения PT никаких технических проблем в создании Центра нет. Все технические решения доступны (например, решения от PT). Более сложны организационные моменты: персонал, процессы, правила, обучение и т.п.
С персоналом предлагают решать проблему так: первую и вторую линию центра ГосСОПКА предлагают делать в регионах (Краснодар, Екатеринбург, Челябинск и д.р.). Там можно взять недавних выпускников, быстро обучить. Зарплаты ниже. Меньше будут хантить в коммерческие компании. Третью экспертную линию предлагают брать на аутсорсинг, например в PT, и постепенно наращивать своих экспертов.

PS: в целом по результатам вебинара создается впечатление что именно по материалам PT были разработаны недавние требования ФСТЭК к оборудованию SOC.



InfoWatch Vision. От 02.03.17





Запись вебинара Infowatch с демонстрацией новой системы визуализации и расследования Infowatch Vision над DLP infowatch traffic monitor. Выложена 02.03.2017.

Интересно что показывали на живых данных собранных с компании infowatch. Можно кое-что подсмотреть. А вот примеры немного не доработаны: не подготовили реальных инцидентов, в демонстрации не довели расследование до конца, а это было бы интереснее.