Инциденттерге ден қою жүйелері

IRP (Incident Response Platform) және SOAR (Security Orchestration, Automation and Response) жүйелері — банкке инциденттерге ден қою процестерін ресімдеуге мүмкіндік беретін құралдар: тіркеуден бастап қалпына келтіруге дейін. Платформалар SIEM, DLP, EDR, IAM, firewall және басқа жүйелермен интеграцияланады, қауіп туындағанда плейбуктерді (нұсқаулықтарды) автоматты түрде орындауды қамтамасыз етеді.

Негізгі функциялар:

• Инциденттерді SIEM, IDS/IPS, EDR және басқа дереккөздерден сигналдар арқылы анықтау;
• Маңыздылығы, түрі, әсер ету аймағы және ықтимал залал бойынша жіктеу;
• Автоматты әрекеттерді орындау: хостты оқшаулау, IP бұғаттау, қолжетімділікті қайтарып алу және т.б.;
• Хабарландыру, тергеу, эскалация және құжаттандыру рәсімдерін іске қосу;
• Инциденттерді өмірлік цикл бойынша басқару (incident lifecycle management);
• Жауап беру тарихын сақтау, есептілік қалыптастыру, RCA (root cause analysis) қолдау;
• Сыртқы CERT/SOC-пен интеграция және NIST, ISO 27035, SWIFT CSP стандарттарына сәйкестік.

Банктің ішінде жүйемен кім жұмыс істейді:

• SOC / CSIRT (оперативті әрекет ету тобы)
• Ақпараттық қауіпсіздік қызметі
• IT-инфрақұрылым және DevSecOps
• Ішкі аудит қызметі және тәуекел-менеджмент
• Digital-команда және жүйе иелері (бизнес-өнімдердегі инциденттерде)

Жүйенің иелері:

• Chief Information Security Officer (CISO) — стратегиялық әрекет ету
• SOC-менеджер — жедел басқару және талдау
• CIO/CTO — инфрақұрылым, интеграциялар, қалпына келтіру бойынша SLA