Мониторинг и анализ безопасности

Security Monitoring охватывает все слои ИТ-инфраструктуры банка — от рабочих станций до облачных сервисов — обеспечивая раннее обнаружение аномалий, несанкционированного доступа, попыток вторжения и вредоносной активности.  Такие системы, как SIEM (Security Information and Event Management) и SOAR (Security Orchestration, Automation and Response), позволяют собирать события со всех компонентов, автоматически анализировать их и запускать сценарии реагирования.

Ключевые функции:

• Сбор логов и событий из ИТ-систем, сетевых устройств, приложений, облаков и рабочих станций;
• Корреляция событий, определение отклонений, поведенческий анализ пользователей (UEBA);
• Реализация механизмов обнаружения атак (IDS/IPS, threat intel feeds, IOC);
• Поддержка сценариев реагирования, алертов и маршрутизации инцидентов;
• Визуализация событий и построение аналитических панелей в режиме реального времени;
• Интеграция с DLP, IAM, NAC, EDR, антифродом и сервисами threat intelligence;
• Поддержка требований НБУ, ISO/IEC 27001, NIST, PCI DSS, SWIFT CSP.

Кто работает с системой внутри банка:

• Служба информационной безопасности
• SOC / CSIRT (оперативная команда реагирования)
• ИТ-инфраструктура и DevOps
• Отдел внутреннего аудита (в части контроля логов)
• Compliance / риск-блок (в части киберрисков)

Владельцы системы:

• Chief Information Security Officer (CISO) — стратегическое управление кибербезопасностью
• SOC-менеджер / руководитель реагирования
• CIO/CTO — техническая инфраструктура, SLA, интеграции