Как устроена система мониторинга информационной безопасности в России?

Система мониторинга информационной безопасности в России включает центры мониторинга и реагирования на инциденты ИБ (SOC). 1 Они состоят из трёх составляющих: людей, процессов и технологий. 1

Технологии собирают события, генерируемые различными активами, и аккумулируют их в едином месте с целью выявления аномального поведения в инфраструктуре. 1 Распространённым компонентом системы мониторинга является SIEM-система. 1 Она аккумулирует в себе события, генерируемые активами, и на основе правил корреляции формирует инцидент ИБ. 1

Люди в центре мониторинга включают специалистов линий поддержки и руководителя. 1 Специалисты второй линии поддержки занимаются, например, тестированием на проникновение (пентестом). 1 Специалисты третьей линии занимаются аналитикой и принимают участие в расследовании сложных атак. 1

Процессы представляют собой набор действий специалистов центра мониторинга, направленный на выявление атак и инцидентов ИБ, а также на их устранение и недопущение повторного появления. 1

ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации. 24 Система состоит из центров трёх уровней — федерального, регионального и местного, которые делятся на территориальные, ведомственные и корпоративные центры. 4 За общее рабочее состояние системы отвечает ФСБ РФ. 4