Я уже писал про перечень оборудования , который по мнению ФСТЭК России необходим для SOC. Ну, точнее, нужен для получения лицензии ТЗКИ на "услуги по мониторингу информационной безопасности средств и систем информатизации". И буквально недавно его пересмотрели (сократили), вот актуальный список с указанием технических и (или) функциональных характеристик (общий перечень для всех видов деятельности можно посмотреть на сайте регулятора по этой ссылке ):
22. Средства (системы) контроля (анализа) защищенности информационных систем
Автоматизированная инвентаризация ресурсов информационных систем (сбор информации об узлах информационных систем и об используемом в них программном обеспечении), выявление уязвимостей (кода, конфигурации и архитектуры) в них, анализ и управление выявленными уязвимостями с учетом угроз. Должны иметь сертификаты соответствия ФСТЭК России.
23. Замкнутые среды предварительного выполнения программ («песочницы»)
Среды безопасного выполнения программ в целях анализа их влияния на безопасность информации. Должны иметь формуляры, оформленные разработчиками (производителями) данных сред. В случае невозможности оформления формуляров разработчиками (производителями) данных сред (свободнораспространяемое программное обеспечение) формуляры оформляются лицензиатами (соискателями лицензии).
24. Средства управления информацией об угрозах безопасности информации
Автоматизированный сбор и анализ информации, поступающей из различных источников, об угрозах безопасности информации. Должны иметь формуляры, оформленные разработчиками (производителями) данных средств. В случае невозможности оформления формуляров разработчиками (производителями) данных средств (свободнораспространяемое программное обеспечение) формуляры оформляются лицензиатами (соискателями лицензии).
25. Средства управления событиями безопасности информации
Автоматизированный сбор, анализ и корреляция данных о событиях безопасности информации, регистрируемых компонентами информационных систем, идентификация по заданным индикаторам типовых инцидентов информационной безопасности и их локализация. Должны иметь сертификаты соответствия ФСТЭК России.
26. Средства управления инцидентами информационной безопасности
Автоматизированная регистрация информации об инцидентах информационной безопасности информационных систем, предоставление рекомендаций по реагированию на них, формирование и модификация шаблонов инцидентов информационной безопасности, в том числе рекомендаций по реагированию на них. Должны иметь формуляры, оформленные разработчиками (производителями) данных средств. В случае невозможности оформления формуляров разработчиками (производителями) данных средств (свободнораспространяемое программное обеспечение) формуляры оформляются лицензиатами (соискателями лицензии).
27. Средства защиты каналов передачи данных
Должны обеспечивать конфиденциальность и целостность данных, передаваемых по каналам связи между информационной системой, используемой для управления информационной безопасностью, и информационными системами, в отношении которых осуществляется мониторинг. Должны иметь сертификаты соответствия ФСБ России.
28. Системы защиты информации информационных систем, используемых для мониторинга информационной безопасности
Системы защиты информации информационных систем, используемых для оказания услуг по мониторингу информационной безопасности информационных систем, должны соответствовать Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17, применительно к первому классу защищенности государственных информационных систем.
Что изменилось?
- Из перечня убраны средства, которые в явном виде не нужны для оказания услуг по мониторингу (средства контроля целостности, средства тестирования на проникновение, межсетевые экраны и, в частности, WAF, АВЗ, средства обнаружения вторжения). Но не стоит слишком сильно радоваться, они к нам вернутся в рамках реализации п.28, но уже в виде средств защиты самого SOCа.
- Обратите внимание, что на такие средства, как sandbox (п.23), TI (п.24), SD (п.26), для которых отсутствует обязательное требование по наличию сертификатов ФСТЭК России, требуется оформление формуляра. Это необходимо для подтверждения наличия необходимого функционала.
P.S. Еще рекомендую посмотреть: