+375 (29) 360 32 32
Заказать звонок

От требований к результатам: Внедрение PT Platform 40 Advanced

В условиях роста требований к кибербезопасности и усиления регуляторного контроля крупные организации с распределенной инфраструктурой сталкиваются с необходимостью выстраивания централизованного управления защитой данных и инцидентами. Особенно это актуально при выполнении требований Указа № 40 и Приказа ОАЦ № 130, которые определяют состав и функциональность Центра кибербезопасности. На практике многие компании сталкиваются с фрагментированной ИБ-инфраструктурой, недостаточной автоматизацией процессов и отсутствием полной видимости событий, что увеличивает операционные и бизнес-риски.

В статье мы расскажем про подход к построению Центра кибербезопасности на базе PT Platform 40 Advanced, который позволяет обеспечить соответствие нормативным требованиям, централизовать процессы мониторинга и реагирования, а также повысить эффективность защиты за счет комплексной архитектуры и автоматизации.

О компании:

Госсектор/КВОИ или крупная коммерческая организация (финансы, энергетика, телеком, промышленность) с распределённой инфраструктурой: центральный офис, филиалы, площадки, ЦОД, от 500 и более 1000 активов, смешанный стек ОС и высокая сетевая нагрузка.

Проблема:

Планируется создание Центра кибербезопасности, однако нормативные обязательства по Указу № 40 не закрыты полностью:

  • организация должна обеспечить автоматизированный сбор, обработку, накопление, систематизацию и хранение данных о кибербезопасности;
  • выявление, предупреждение, исследование кибератак и реагирование; проводить оценку защищённости и аналитику;
  • уведомлять НЦК не менее чем за 1 час и хранить сведения более 1 года.

Несоответствие составу средств ЦКБ по Приказу ОАЦ № 130:

  • отсутствуют или частично имеются обязательные средства: SIEM, TI‑платформа, автоматизированная система взаимодействия (АСВ) с НЦК, «песочница»,
  • средства аудита и оценки защищённости (сетевой сканер, сканер уязвимостей и сканер уязвимостей веб‑приложений).

SOC/ЦКБ недостаточно автоматизированы: много ручных операций замедляют обнаружение и расследование. В организации данные о событиях ИБ собираются разрозненно. Также в сети остаются «слепые зоны». Все вышеперечисленное дополнительно ведёт к дополнительным бизнес-рискам.

Задача:

Определить и внедрить архитектуру Центра кибербезопасности (ЦКБ) для обеспечения соответствия требованиям Указа № 40 и требованиям к составу средств, установленным Приказом ОАЦ № 130.

Решение:

Внедрить единую платформу – комплекс PT Platform 40 (варианты Base/Advanced) специально собран под «широкий спектр требований» законодательства, с архитектурой, экспертизой и автоматизацией процессов ЦКБ.

Комплекс соответствует критериям выбора: нормативное соответствие, масштабируемость, полнота функционала (SIEM/VM/NTA/EDR/Sandbox/TI/АС взаимодействия), наличие контента «из коробки», отказоустойчивость, долгосрочное хранение, экспертиза в виде пакетов и TI.

Путь решения:

PT Platform 40 Advanced является комплексной платформой для выполнения требований законодательства, нацеленной на построение полноценного Центра кибербезопасности. Решение обеспечивает соответствие требованиям и выстраивает результативную кибербезопасность в организации, значительно снижая риск реализации недопустимых для бизнеса событий.

Ключевым преимуществом PT Platform 40 Advanced является тесная интеграция всех компонентов, обеспечивающая сквозную видимость защищаемой инфраструктуры. Общая архитектура платформы представлена на схеме.

Взаимодействие компонентов строится следующим образом:

  • Сбор данных: Сенсоры (PT NAD для сетевого трафика, PT Sandbox для файлов из почтового/веб-трафика и хранилищ, MaxPatrol EDR для конечных узлов, MaxPatrol VM для активов и уязвимостей) непрерывно передают телеметрию и артефакты в ядро платформы – MaxPatrol SIEM.
  • Обработка и корреляция: MaxPatrol SIEM нормализует и обогащает полученные данные, выявляет инциденты с помощью более 1500 встроенных правил корреляции и ML-алгоритмов (ML-помощник BAD), формирует единую базу активов (Security Asset Management) и хранит всю информацию в защищённом хранилище LogSpace не менее одного года.
  • Реагирование: На основе выявленных инцидентов модуль Incident Management (в составе MaxPatrol SIEM) инициирует сценарии реагирования, которые исполняются через сенсоры (например, изоляция узла через EDR, блокировка файла через PT Sandbox или остановка процесса).

Состав PT Platform 40 Advanced включает все необходимые классы средств защиты, предусмотренные Приказом № 130:

  • MaxPatrol SIEM – ядро SOC/ЦКБ: сбор, нормализация, корреляция, расследование и управление инцидентами (в том числе на собственной СУБД LogSpace для эффективного долговременного хранения).
  • MaxPatrol VM – инвентаризация активов (asset‑management), выявление и приоритизация уязвимостей, контроль соответствия политикам.
  • PT NAD – поведенческий анализ сетевого трафика (DPI) на периметре и межсегментных стыках для выявления скрытых атак и lateral movement.
  • MaxPatrol EDR – защита конечных узлов, детектирование и реагирование (изоляция, блокировки, завершение процессов).
  • PT Sandbox – поведенческий анализ объектов из различных источников (почтовой инфраструктуры, ICAP и ручной загрузки).
  • PT Threat Analyzer (TI) – управление знаниями об актуальных угрозах (TTP, IoC, репутационные списки) и автоматизированное обогащение инцидентов.

Результат

Внедрение PT Platform 40 Advanced позволяет перевести кибербезопасность организации в процесс результативной защиты, полностью отвечающий требованиям Указа №40 и Приказа №130.

  • Полное соответствие регуляторным требованиям.
  • Снижение времени обнаружения и реагирования (MTTD/MTTR).
  • Оптимизация нагрузки на команду ЦКБ.
  • Сокращение поверхности атаки и повышение киберустойчивости.
  • Снижение операционных и репутационных рисков.

Перспективы развития

  • ЦКБ на базе PT Platform 40 Advanced – основа для перехода к проактивной и автономной киберустойчивости.
  • Возможность внедрения MaxPatrol O2, обеспечивающего автоматизированное расследование инцидентов.
  • Возможность внедрения MaxPatrol EPP для превентивной защиты конечных точек с разделением функций блокировки массовых угроз и реагирования на целевые атаки.
  • Развитие защиты: покрытие смежных направлений за счет PT Application Firewall, PT Application Inspector и PT ISIM.
Смотрите также
Новая версия Falcongaze SecureTower Xenon
Новая версия Falcongaze SecureTower Xenon
Внедрение RPA для автоматизации работы отдела кадров
Внедрение RPA для автоматизации работы отдела кадров
Востребованные решения «Лаборатории Касперского» для бизнеса в 2026 году
Востребованные решения «Лаборатории Касперского» для бизнеса в 2026 году
Умные устройства-предатели
Умные устройства-предатели
Заказать консультацию

    Откликнуться на вакансию

      Регистрация на мероприятие

        Оставить заявку

          Приобрести ZWCAD