.PNG)
MSSP-мониторинг информационной безопасности финансовой компании
Круглосуточный мониторинг и реагирование на инциденты ИБ по модели MSSP для финансовой компании — переход на отечественные СЗИ, соответствие ГОСТ Р 57580 и Положению ЦБ 802-П без покупки оборудования.
Коротко
- — Год 2023, финансовый сектор.
- — Развёрнут MSSP-мониторинг 24/7 силами SOC КРЕДО-С — без покупки оборудования и найма ИБ-специалистов заказчиком.
- — Выполнен переход на отечественные СЗИ; регулярная отчётность обеспечивает выполнение требований ГОСТ Р 57580 и Положения ЦБ РФ 802-П.
Задача
Финансовая компания поставила следующие задачи: эффективнее противодействовать угрозам информационной безопасности; обеспечить защиту от хакерских атак; отказаться от иностранных вендоров в пользу отечественного программного обеспечения; делегировать управление средствами информационной защиты компании-провайдеру. Заказчику требовалось круглосуточное отслеживание и оперативное реагирование на инциденты безопасности силами внешнего провайдера без дополнительных затрат на покупку оборудования и найм ИБ-специалистов.
Этот кейс для вас, если…
- Вы — финансовая организация под требованиями Банка России: Положение 802-П, ГОСТ Р 57580, операционная надёжность по 787-П.
- Нет выделенной команды SOC-аналитиков 24/7 — найм дорог, обучение долгое.
- Используете иностранные СЗИ и рассматриваете переход на отечественные аналоги.
- Не готовы к капитальным вложениям в SIEM-инфраструктуру и серверное оборудование.
- Нужна регулярная отчётность для руководства и регуляторов по состоянию ИБ.
Как работает SOC КРЕДО-С в модели MSSP
MSSP (Managed Security Service Provider) — модель, при которой внешняя команда принимает операционную ответственность за SOC: круглосуточный мониторинг, расследование инцидентов и реагирование. Клиент сохраняет владение инфраструктурой и политиками безопасности — провайдер обеспечивает операционный процесс обнаружения и реагирования.
SOC КРЕДО-С работает в три смены: аналитики L1 обрабатывают входящий поток алертов и выполняют первичную триажировку; аналитики L2 расследуют подозрительную активность и проводят threat hunting; команда реагирования L3 подключается при подтверждённых инцидентах. Среднее время реагирования (MTTR) фиксируется в SLA.
Для финансового сектора SOC настраивается под специфику требований ГОСТ Р 57580 и Положений ЦБ РФ: корреляционные правила учитывают типовые атаки на банковские системы — компрометацию АБС, целевой фишинг, банковские трояны, атаки на платёжные шлюзы. Отчётность формируется в формате, удобном для предъявления регулятору.
В рамке NIST CSF 2.0 (функции Identify → Protect → Detect → Respond → Recover) MSSP закрывает прежде всего Detect и Respond: выявление аномалий, эскалация и локализация инцидентов. Функции Identify (инвентаризация активов) и Recover (восстановление сервисов) остаются в зоне ответственности клиента.
Решение
КРЕДО-С предложил решение по модели MSSP (Managed Security Service Provider) — безопасность как сервис. Заказчику было развёрнуто решение для круглосуточного мониторинга событий информационной безопасности, включающее: подключение инфраструктуры заказчика к центру мониторинга КРЕДО-С; настройку сбора и корреляции событий ИБ с сетевого оборудования, серверов и рабочих станций; организацию мониторинга 24/7 силами дежурной смены аналитиков; автоматизированное обнаружение аномалий и подозрительной активности; оперативное реагирование на выявленные инциденты и информирование заказчика; регулярную отчётность о состоянии информационной безопасности.
Архитектура SOC КРЕДО-С: от сбора событий до реагирования
Центр мониторинга КРЕДО-С строит MSSP-сервис на трёхуровневой архитектуре: сбор событий → корреляция и детекция → реагирование. Ниже — функциональные компоненты сервиса.
Коллекторы событий
Агентные и безагентные коннекторы на стороне заказчика собирают телеметрию с сетевого оборудования (syslog/SNMP), серверов Windows и Linux, рабочих станций, СЗИ и прикладных систем. Передача — по защищённым каналам в SOC КРЕДО-С.
SIEM-коррелятор
Централизованная обработка событий: нормализация форматов, корреляционные правила под российские угрозы и требования ГОСТ Р 57580. Используются отечественные SIEM-платформы из реестра Минцифры.
Дежурная смена аналитиков 24/7
Три смены: аналитики L1 — обработка алертов, первичная триажировка; L2 — расследование инцидентов, threat hunting, передача на реагирование. MTTR зафиксирован в SLA.
Threat Intelligence
Интеграция с российскими фидами TI: ГосСОПКА, ФинЦЕРТ Банка России, коммерческие TI-провайдеры. Обогащение алертов индикаторами компрометации (IoC) с ежедневной актуализацией.
Отчётность и KPI
Ежемесячный отчёт: число событий, инцидентов, их классификация по типам атак и критичности, MTTR, статус закрытых задач. Формат адаптируется под требования регулятора и внутренних стандартов клиента.
Конкретный состав инструментов и источников событий определяется в ходе предпроектного обследования.
Результаты
Развёрнут круглосуточный мониторинг событий ИБ по модели MSSP
Выполнен переход на отечественные средства защиты информации
Обеспечено оперативное реагирование на инциденты без найма штатных ИБ-специалистов
Снижены затраты на информационную безопасность за счёт сервисной модели
Непрерывный мониторинг подтверждает показатель защищённости КЗИ по приказу ФСТЭК №117
Сравните стоимость MSSP с собственным SOC
Регуляторный контекст для финансовой компании
Финансовый сектор регулируется Банком России и ФСТЭК. Непрерывный мониторинг ИБ — обязательный процесс в рамках большинства действующих нормативных документов.
Положение ЦБ РФ № 802-П
Действует с 01.07.2023, заменило 719-ПТребования к защите информации при осуществлении переводов денежных средств. Обязывает выявлять инциденты ИБ, реагировать и передавать сведения в ФинЦЕРТ.
Положение ЦБ РФ № 787-П
Действует, заменило 382-ПТребования к операционной надёжности. Включает обязанность выявлять события операционного риска и своевременно реагировать.
ГОСТ Р 57580.1
Безопасность финансовых (банковских) операций — базовый состав организационных и технических мер защиты.
ГОСТ Р 57580.2
Методика оценки соответствия мерам защиты из ГОСТ Р 57580.1.
161-ФЗ «О национальной платёжной системе»
Действует, актуальная редакция 2024 годаБазовые требования к защите информации в платёжной инфраструктуре.
Приказ ФСТЭК России № 117 от 11.04.2024
Методика оценки показателя защищённости ключевой защищаемой инфраструктуры (КЗИ). Непрерывный мониторинг — один из ключевых факторов расчёта.
Перечень не является заключением о соответствии. Итоговая проверка требований проводится по результатам аудита.
Угрозы финансовому сектору: почему нужен мониторинг 24/7
Финансовые организации стабильно входят в топ целей для кибератак. Данные публичных отчётов показывают общую картину угроз.
- Основные направления атак: целевой фишинг на сотрудников финансового отдела, компрометация корпоративной почты (BEC), банковские трояны и стилеры для кражи учётных данных, атаки на платёжные шлюзы и АБС, программы-вымогатели.
- Характерные техники атак на финансовые организации: целевой фишинг, использование скомпрометированных учётных записей, выполнение вредоносного кода через штатные инструменты ОС, программы-вымогатели, скрытые каналы управления с заражённых машин.
- Медианное время от проникновения до обнаружения без SOC превышает несколько недель. За это время злоумышленники исследуют инфраструктуру, закрепляются и готовят деструктивную фазу. Круглосуточный мониторинг сокращает это окно до часов.
- Переход от массовых атак к целевым: злоумышленники используют штатные инструменты ОС — командные оболочки, планировщики задач, средства удалённого управления — что не вызывает подозрений у традиционных антивирусов. Медленное скрытное перемещение выявляется только через корреляцию слабых сигналов в SIEM.
Источники:
- — ФинЦЕРТ Банка России — ежегодные отчёты об угрозах в финансовой сфере.
- — Positive Technologies Expert Security Center — аналитика кибератак в России.
- — Kaspersky Threat Intelligence — статистика угроз и реагирования на инциденты в финсекторе.
- — Банк данных угроз ФСТЭК России (БДУ) — реестр актуальных уязвимостей.
Частые вопросы
Чем MSSP отличается от собственного SOC?
При собственном SOC компания покупает SIEM, нанимает 8–12 аналитиков для посменного графика 24/7, обучает их и несёт все CapEx и OpEx. В модели MSSP клиент платит ежемесячный тариф за сервис — SOC-операции, реагирование и инфраструктура мониторинга на стороне провайдера. Экономия на CapEx и скорость запуска — главные преимущества для компаний без собственной SOC-команды.
Как происходит переход с иностранных СЗИ на отечественные?
КРЕДО-С проводит предпроектное обследование, формирует перечень иностранных СЗИ и подбирает функциональные аналоги из реестра Минцифры. Замена выполняется поэтапно — без остановки production-систем. Параллельно настраиваются коллекторы событий для нового SOC.
Сколько времени занимает подключение к MSSP?
Типовые сроки — от трёх до шести недель. В этот период КРЕДО-С проводит аудит инфраструктуры, разворачивает коллекторы, настраивает корреляционные правила, тестирует обнаружение тестовых инцидентов и готовит первый отчёт. Скорость зависит от размера инфраструктуры и готовности документации.
Как SOC КРЕДО-С реагирует при обнаружении инцидента?
При срабатывании корреляционного правила аналитик L1 выполняет первичную триажировку. При подтверждении инцидента — передаётся L2 для расследования. При критичном инциденте подключается команда реагирования: изоляция узла, блокировка учётной записи, сбор артефактов. Все действия фиксируются в тикет-системе, клиент получает уведомление по согласованному каналу.
Как MSSP помогает выполнить требования ГОСТ Р 57580 и ЦБ РФ?
ГОСТ Р 57580 и Положение 802-П требуют организации процессов выявления и реагирования на инциденты. MSSP КРЕДО-С обеспечивает непрерывный мониторинг, фиксацию событий, расследование и документирование инцидентов. Ежемесячный отчёт формируется в формате, удобном для внутренних проверяющих и регулятора.
Сколько стоит MSSP-мониторинг от КРЕДО-С?
Стоимость зависит от числа источников событий, защищаемых хостов, объёма хранения журналов и уровня SLA. Прозрачная предварительная оценка доступна через калькулятор на сайте — введите параметры инфраструктуры и получите ориентировочную стоимость без разговора с менеджером.
Смежные задачи, с которыми помогаем
Задействованные услуги
Другие проекты
SOC на F.A.C.C.T. Managed XDR (F6) для финансовой организации — 126 500 событий ИБ за год
Кейс мониторинга ИБ 24/7 для финансовой организации на F.A.C.C.T. Managed XDR (с 2024 — F6 Managed XDR). За год зафиксировано и отработано более 126 500 событий ИБ. MSSP-партнёрство КРЕДО-С.
- За год решение зафиксировало и отработало более 126 500 событий ИБ: около 125 000 сетевых событий и более 700 событий на хостах
- Модуль MXDR для защиты корпоративной почты заблокировал более 100 опасных рассылок, содержащих программы-шпионы или стилеры для кражи данных
- Обеспечена защита от широкого спектра киберрисков: программы-шифровальщики, банковские трояны, шпионы, бэкдоры, вредоносные скрипты и скрытые каналы передачи данных
Защита КИИ и АСУ ТП химического предприятия: 6 этапов по 187-ФЗ и Приказу ФСТЭК №31
Комплексная защита КИИ и АСУ ТП химического предприятия по 187-ФЗ и Приказу ФСТЭК №31: аудит, класс защищённости, модель угроз, проектирование и внедрение Kaspersky, Secret Net Studio, Check Point, Кибер Бэкап.
- Обеспечена защита промышленной сети предприятия согласно 187-ФЗ и Приказу ФСТЭК № 31
- Определён класс защищённости АСУ ТП, разработана модель угроз
- Внедрены сертифицированные СЗИ: Kaspersky, Secret Net Studio, Check Point, «Кибер Бэкап»
Тестирование на проникновение в инфраструктуру аэрокосмического университета
Пентест методом «серого ящика» для выявления уязвимостей ИС национального аэрокосмического университета: четыре этапа тестирования, ранжирование уязвимостей по критичности, рекомендации по устранению.
- Проверены все системы и цифровые сервисы на уязвимости
- Определены «слабые места» ИТ-инфраструктуры университета
- Совместно с КРЕДО-С намечены меры по устранению уязвимостей для сохранения конфиденциальных данных, репутации и бюджета организации
Нужен похожий проект?
Оставьте заявку — обсудим задачу и предложим оптимальное решение