PT Ведомственный центр. Система управления инцидентами

«PT Ведомственный центр» от компании Positive Technologies — система управления инцидентами, построенная в соответствии с методическими рекомендациями по созданию центров ГосСОПКА (Государственная системы обнаружения, предупреждения и ликвидации последствий компьютерных атак). Решение автоматизирует процесс обработки инцидентов и информирует о них НКЦКИ (Национальный координационный центр по компьютерным инцидентам) и другие отраслевые CERT (Сomputer Emergency Response Team, Компьютерная группа реагирования на чрезвычайные ситуации).

Архитектура решения

Основные возможности

• Сбор данных об инциденте, автоматическое получение инцидентов из MaxPatrol SIEM (Security Information and Event Management, система управления событиями информационной безопасности);
• Выбор инфраструктуры для мониторинга событий безопасности (например, отслеживание только объектов КИИ);
• Регистрация инцидента, создание его карточки (заявок на обработку инцидента), шаблонов реагирования, назначение ответственных как в автоматическом, так и в ручном режиме;
• Реагирование на инциденты (координация действий, определение причин, локализация инцидента, планирование мер по ликвидации последствий, контроль ликвидации последствий);
• Ведение учета подключенных организаций, включая дочерние организации и объекты их мониторинга;
• Подготовка сводных данных о работе центра информационной безопасности, наглядная демонстрация на дашбордах количества инцидентов в динамике, их распределение по статусам обработки и наиболее подверженные атакам субъекты;
• Обмен данными с центром ГосСОПКА о ходе реагирования, принятых мерах и закрытии инцидента.

Ключевые преимущества

• Адаптация к задачам заказчика, отраслевой и корпоративной специфике предприятия (настройка форм карточек инцидентов, фильтров и сроков выполнения задач по реагированию — выполнение SLA, возможность разработки своего сценария автоматизации);
• Легкая интеграция в существующую инфраструктуру предприятия. REST API «PT Ведомственный центр» позволяет получать информацию об инцидентах из SIEM-системы, систем обработки заявок и других внешних источников;
• Упрощение реагирования на инцидент и снижение риска ошибок оператора центра за счет наглядных дашбордов;
• Оперативное реагирование благодаря автоматизации базовых сценариев для инцидентов;
• Повышение качества обработки инцидентов;
• Экономия времени специалистов по ИБ благодаря автоматическому созданию карточки инцидента и сценариям их обработки;
• «PT Ведомственный центр» помогает выстроить процесс управления инцидентами и автоматизировать работу операторов, взаимодействие с НКЦКИ в двухстороннем формате (включая обмен информацией в онлайн-чате), закрыть требования приказа № 239 ФСТЭК России;
• Соответствие требованиям закона № 187-ФЗ и его подзаконных актов, а также приказу ФСБ России № 282 о необходимости регистрации инцидентов, управления ими и информировании регуляторов;
• Продукт включен в Единый реестр российских программ для ЭВМ и баз данных.