Журнал "Information Security/ Информационная безопасность" #5, 2022

Немного теории Вспомним, что из себя представляет SOC. SOC (Security Operation Center) – аббревиатура, принятая в российском деловом сообществе, скорее всего при- думанная маркетологами, используемая для обозначения центров мониторинга и реагирования на инциденты инфор- мационной безопасности. Существует мнение, что аббревиатура SOC абсо- лютно неверно используется, потому что в ней нет и намека на информа- ционную безопасность. Тем не менее это практичнее, чем длинное название "центр мониторинга и реагирования на инциденты информационной безопас- ности" или даже его сокращение – ЦМРИИ. Классический SOC базируется на триаде "люди, процессы, технологии" и имеет три уровня (см. таблицу). Помимо линий, в SOC есть руководи- тель, осуществляющий функции управ- ления, координации и контроля. В зависимости от наличия этих линий SOC бывают разных классов, от началь- ного, где в наличии только первая линия, до выполняющего полный набор функ- ций, имеющего все три линии. Кроме того, существуют различные уровни зрелости SOC 2 . Чем выше уро- вень, тем более зрелым, функциональ- ным и совершенным является SOC. Переведя теоретические знания в практическую плоскость, можно ответить на вопрос "Что делать самим, а что передать на аутсорсинг?". Внутренний и внешний SOC Принято считать, что есть три варианта SOC: 1. Внутренний (собственный) – все процессы мониторинга и реагирования на инциденты обеспечиваются самой организацией (далее – заказчик). 2. Внешний (аутсорсинговый) – реализацию всех процессов пере- дают стороннему юридическому лицу, специализированной органи- зации, имеющей соответствующую лицензию, а в недалеком будущем еще и аккредитацию (далее – под- рядчик). 40 • СПЕЦПРОЕКТ Что лучше: свой SOC или внешний? опрос создания и функционирования центров мониторинга и реагирования на инциденты информационной безопасности является актуальным для многих компаний уже более четырех лет. Крупные организации, прежде всего субъекты критической информационной инфраструктуры, создали собственные центры или пользуются услугами специализированных компаний. Но некоторые предприятия все еще пытаются понять, как правильно выстроить процессы мониторинга и реагирования на инциденты, что делать самим, а что передать на аутсорсинг, – рассмотрим несколько подходов к решению этого вопроса. В Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности № линии Люди Процессы (функции) Технологии 1. Специалист по взаимодействию с пользователя- ми, специалист по обнаружению компьютерных атак, специалист по обслуживанию (поддержке) тех- нических средств Взаимодействие с пользователями Мониторинг событий, обнаружения атак и инцидентов Фиксация атак и регистрация инциден- тов Инвентаризация и поддержка техниче- ских средств Взаимодействие с другими SOC, в том числе НКЦКИ 1 Средства защи- ты конечных устройств, сред- ства защиты периметра сети, средства сбора информации о конфигурации информацион- ных ресурсов 2. Специалист по оценке защищен- ности, специалист по реагированию на инциденты, специалист по расследова- нию инцидентов Анализ уязвимостей информационной инфраструктуры Реагирование на компьютерные атаки и инциденты Установление причин и анализ послед- ствий компьютерных инцидентов Взаимодействие с другими SOC, в том числе НКЦКИ Средства анали- за защищенно- сти, средства (системы) управ- ления событиями информационной безопасности 3. Аналитик-мето- дист, эксперт (эксперты) по различным направлениям деятельности, юрист Анализ информации, предоставляемой специалистами первой и второй линий Анализ угроз безопасности, разработка моделей угроз Разработка рекомендаций по совершен- ствованию деятельности SOC и органи- зационно-распорядительных документов Экспертная поддержка по различным направлениям деятельности (вредонос- ное программное обеспечение, компью- терная криминалистика и т. п.) Нормативно-правовое сопровождение деятельности SOC Взаимодействие с другими SOC, в том числе НКЦКИ Средства (систе- мы) реагирова- ния на инциден- ты информа- ционной безопасности, средства обнару- жения (разведки) угроз, инструменты компьютерной криминалистики 1 НКЦКИ – Национальный координационный центр по компьютерным инцидентам. 2 Пример уровней зрелости SOC можно посмотреть в статье: Саматов К.М. SOC в действии // Information Security/Информационная безопасность. 2019. № 5. С. 24–25.

RkJQdWJsaXNoZXIy Mzk4NzYw