Открыть сервис

Центр мониторинга информационной безопасности

Центр мониторинга информационной безопасности (ЦМИБ, англ. Security Operations Center, SOC) — это структурное подразделение организации или внешняя сервисная компания, осуществляющая непрерывный сбор, анализ и корреляцию событий информационной безопасности для выявления, реагирования и предотвращения инцидентов в режиме реального времени. Основной целью ЦМИБ является обеспечение защиты информационных систем, сетей и данных от киберугроз, минимизация времени обнаружения атак (Mean Time to Detect, MTTD) и времени реагирования (Mean Time to Respond, MTTR).

История возникновения

Первые прототипы центров мониторинга появились в конце 1990-х годов в крупных телекоммуникационных и финансовых компаниях развитых стран, где возникла потребность в централизованном управлении системами обнаружения вторжений (IDS) и файрволами. Термин Security Operations Center (SOC) был введён в профессиональный оборот в начале 2000-х годов. В России первые ЦМИБ начали создаваться в государственных органах и критически важных объектах инфраструктуры после принятия Федерального закона № 152-ФЗ «О персональных данных» (2006 год) и Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» (2017 год). С 2018 года наблюдается активное внедрение ЦМИБ в коммерческом секторе, включая банки, энергетические компании и операторов связи.

Классификация

Центры мониторинга информационной безопасности различаются по организационной модели, масштабу и функционалу.

По организационной модели

  • Внутренний (корпоративный) ЦМИБ — создаётся в штатной структуре организации. Используется крупными компаниями с высокими требованиями к конфиденциальности (например, банки, оборонные предприятия). Обеспечивает полный контроль над процессами, но требует значительных капитальных затрат.
  • Внешний (аутсорсинговый) ЦМИБ (MSSP, Managed Security Service Provider) — услуги по мониторингу предоставляются сторонней организацией. Популярен среди среднего и малого бизнеса, так как снижает расходы на персонал и оборудование.
  • Гибридный ЦМИБ — сочетает внутренние ресурсы и аутсорсинг. Например, базовый мониторинг выполняется штатными специалистами, а сложные расследования и анализ угроз передаются внешним экспертам.

По масштабу

  • Локальный ЦМИБ — обслуживает одну организацию или её подразделение.
  • Региональный/отраслевой ЦМИБ — создаётся для группы компаний одной отрасли (например, Центр мониторинга и реагирования на кибератаки в финансовой сфере FinCERT Банка России).
  • Национальный ЦМИБ — функционирует на уровне государства (например, Национальный координационный центр по компьютерным инцидентам (НКЦКИ) в России, подведомственный ФСБ России).

Основные функции

ЦМИБ выполняет комплекс задач, направленных на обеспечение кибербезопасности:

  • Сбор и агрегация событий — получение логов от сетевых устройств, серверов, систем защиты (SIEM-системы).
  • Корреляция и анализ — выявление аномалий и атак с использованием правил корреляции, поведенческого анализа и технологий машинного обучения.
  • Обнаружение инцидентовидентификация подозрительной активности (вредоносное ПО, несанкционированный доступ, утечки данных).
  • Реагирование на инцидентыблокировка угроз, изоляция заражённых систем, восстановление работоспособности.
  • Форензика и расследование — сбор цифровых доказательств, установление причин и вектора атаки.
  • Управление уязвимостями — сканирование, анализ и приоритизация уязвимостей в инфраструктуре.
  • Анализ угроз (Threat Intelligence) — мониторинг источников информации о новых киберугрозах (форумы, базы данных CVE, отчёты вендоров).
  • Отчётность и аудит — формирование регулярных отчётов для руководства и регуляторов.

Устройство и архитектура

Типовой ЦМИБ включает следующие компоненты:

  • SIEM-система (Security Information and Event Management) — центральное ядро, агрегирующее и коррелирующее события. В России распространены решения MaxPatrol SIEM (Positive Technologies), Kuber (R-Vision), а также зарубежные Splunk, IBM QRadar (с ограничениями после 2022 года).
  • Системы сбора логов — агенты на конечных устройствах, syslog-серверы.
  • Системы обнаружения вторжений (IDS/IPS) — сетевые и хостовые датчики.
  • Платформы анализа угроз (TIP, Threat Intelligence Platform) — базы данных индикаторов компрометации (IoC).
  • Инструменты автоматизации (SOAR, Security Orchestration, Automation and Response) — ускоряют реагирование на типовые инциденты.
  • Инфраструктура хранения — высоконагруженные базы данных (Elasticsearch, ClickHouse) для длительного хранения логов (обычно от 6 до 12 месяцев).
  • Рабочие места аналитиков — терминалы с доступом к SIEM, системам визуализации (дашборды) и инструментам расследования.

Персонал ЦМИБ обычно делится на три линии:

  1. Первая линия (L1)операторы, выполняющие первичный анализ событий и эскалацию инцидентов.
  2. Вторая линия (L2) — аналитики, проводящие углублённое расследование и реагирование.
  3. Третья линия (L3) — эксперты по форензике, threat hunting и разработке правил корреляции.

Применение

ЦМИБ востребованы в отраслях, где нарушение информационной безопасности приводит к серьёзным финансовым, репутационным или технологическим потерям:

  • Финансовый сектор — банки, страховые компании, платёжные системы. В России кредитные организации обязаны подключаться к FinCERT Банка России и иметь собственные процедуры мониторинга.
  • Государственное управление — органы власти, работающие с государственной тайной и персональными данными граждан.
  • Критическая информационная инфраструктура (КИИ) — энергетика, транспорт, связь, атомная промышленность. Согласно 187-ФЗ, субъекты КИИ обязаны создавать центры мониторинга или пользоваться услугами ГосСОПКА (Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак).
  • Промышленность — предприятия с автоматизированными системами управления технологическими процессами (АСУ ТП), где кибератаки могут привести к техногенным катастрофам.
  • Здравоохранение — медицинские учреждения, обрабатывающие большие объёмы чувствительных данных пациентов.

Критика и проблемы

Несмотря на очевидные преимущества, ЦМИБ сталкиваются с рядом вызовов:

  • Высокая стоимость — развёртывание полноценного ЦМИБ (оборудование, лицензии, зарплаты квалифицированных специалистов) может стоить миллионы рублей в год. Для малого бизнеса это часто неподъёмно.
  • Дефицит кадров — в России наблюдается острый недостаток аналитиков кибербезопасности. По данным Минцифры РФ, в 2023 году потребность в специалистах по информационной безопасности превышала 50 тысяч человек.
  • Шум и ложные срабатывания — SIEM-системы генерируют большое количество событий, не являющихся инцидентами. Это приводит к перегрузке аналитиков и снижению эффективности.
  • Устаревание правил корреляции — киберугрозы эволюционируют быстрее, чем обновляются сигнатуры, что требует постоянного совершенствования алгоритмов.
  • Проблемы интеграции — в российских реалиях после ухода западных вендоров (Splunk, IBM) возникли сложности с совместимостью отечественных SIEM-систем с разнородным оборудованием.

Интересные факты

  • Первый в мире SOC был создан в 1998 году компанией Cisco для мониторинга собственной сети.
  • В России крупнейшим ЦМИБ является Центр мониторинга и реагирования на кибератаки в финансовой сфере FinCERT, созданный Банком России в 2015 году. Ежегодно он обрабатывает более 1,5 млн событий.
  • Согласно исследованию Positive Technologies (2023 год), среднее время обнаружения инцидента в компаниях, использующих ЦМИБ, составляет 2–4 часа, тогда как без него — до 7 дней.
  • В 2022 году в России была запущена Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), объединяющая ЦМИБ субъектов КИИ.

Источники

  • Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  • Методические рекомендации ФСТЭК России по созданию центров мониторинга информационной безопасности (2020).
  • Отчёты Positive Technologies «Актуальные киберугрозы» (2023).
  • Доклад Банка России «Обзор инцидентов информационной безопасности в финансовой сфере» (2023).
  • Материалы конференции SOC-Forum (Москва, 2023).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →