Қауіпсіздікті мониторингтеу және талдау

Security Monitoring банктің IT-инфрақұрылымының барлық қабаттарын — жұмыс станцияларынан бұлтты сервистерге дейін — қамтып, аномалияларды, рұқсатсыз қол жеткізуді, бұзу әрекеттерін және зиянды әрекеттерді ерте анықтауды қамтамасыз етеді. SIEM (Security Information and Event Management) және SOAR (Security Orchestration, Automation and Response) сияқты жүйелер барлық компоненттерден оқиғаларды жинап, оларды автоматты түрде талдайды және әрекет ету сценарийлерін іске қосады.

Негізгі функциялар:

• ИТ-жүйелерден, желілік құрылғылардан, қосымшалардан, бұлттардан және жұмыс станцияларынан логтар мен оқиғаларды жинау;
• Оқиғаларды корреляциялау, ауытқуларды анықтау, пайдаланушылардың мінез-құлқын талдау (UEBA);
• Шабуылдарды анықтау механизмдерін іске асыру (IDS/IPS, threat intel feeds, IOC);
• Әрекет ету сценарийлерін, ескертулерді және инциденттерді бағыттауды қолдау;
• Оқиғаларды визуализациялау және нақты уақыт режимінде аналитикалық панельдер құру;
• DLP, IAM, NAC, EDR, антифрод және threat intelligence сервистерімен интеграция;
• ҰББ, ISO/IEC 27001, NIST, PCI DSS, SWIFT CSP талаптарын қолдау.

Банктің ішінде жүйемен кім жұмыс істейді:

• Ақпараттық қауіпсіздік қызметі
• SOC / CSIRT (жедел әрекет ету командасы)
• IT-инфрақұрылым және DevOps
• Ішкі аудит бөлімі (логтарды бақылау бойынша)
• Комплаенс / тәуекел бөлімі (киберқауіптер бойынша)

Жүйенің иелері:

• Chief Information Security Officer (CISO) — киберқауіпсіздікті стратегиялық басқару
• SOC-менеджер / әрекет ету жетекшісі
• CIO/CTO — техникалық инфрақұрылым, SLA, интеграциялар