Журнал "Information Security/ Информационная безопасность" #5, 2022

3. Смешанный (гибридный) – часть процессов заказчик выполняет самостоя- тельно, а часть передает подрядчику. Из анализа структуры SOC понятно, что невозможно передать подрядчику полностью все реализуемые процессы. Очевидно, что руководство деятель- ностью и контроль в части процессов мониторинга и реагирования должен осу- ществлять сотрудник заказчика. Такая же ситуация в части функций взаимо- действия с пользователями информа- ционных ресурсов и правовым обеспече- нием деятельности SOC – они не могут быть переданы, по крайней мере, в пол- ном объеме. Таким образом, аутсорсинга всех процессов SOC на практике не существует. Заказчик всегда делает выбор между набором функций, выпол- няемых собственными силами, и пере- дающимися внешней организации. Какие процессы SOC целесообразно оставлять у себя, а какие – передавать на аутсорсинг? Анализ структуры SOC показывает, что выполнять собственными силами необходимо следующие функции: l Руководство, координацию и контроль действий своих работников и сотрудни- ков подрядчика. l Взаимодействие с пользователями. Никто лучше "собственных" работников не знает пользователей, да и доверие пользователей к своим коллегам гораздо выше, чем к внешним. l Взаимодействие с другими SOC и НКЦКИ. Всегда лучше выстраивать отношения с коллегами по отрасли само- стоятельно и следить, какая информация передается регуляторам. l Нормативно-правовое сопровождение деятельности. Договорно-правовая и претензионная работа, а также сопро- вождение мероприятий, связанных с последствиями инцидентов, в суде эффективно будет осуществляться толь- ко "собственными" юристами компании. Кроме того, большинство провайдеров SOC подобные услуги не предоставляют (не горят желанием предоставлять). Силами подрядчика целесообразно проводить экспертизу по различным направлениям, связанным с расследо- ванием инцидентов. Такие услуги лучше приобретать у провайдера SOC по мере необходимости, так как экономически невыгодно содержать штат узкоспециа- лизированных экспертов, ведь экспер- тиза требуется не повседневно, а лишь для конкретных случаев. Например, еже- дневная криминалистическая экспертиза и каждодневный анализ вредоносного программного обеспечения в обычных условиях функционирования организа- ции не требуется. В части остальных процессов SOC решение об их передаче подрядчику будет в каждом конкретном случае и для каждого конкретного заказчика раз- личным. Иными словами, руководитель службы информационной безопасности компании должен провести анализ плю- сов и минусов (можно еще и нейтраль- ных сторон) передачи той или иной функции на аутсорсинг. Типовые, часто озвучиваемые плюсы и минусы передачи функций Плюсы аутсорсинга: 1. Нет необходимости получать лицен- зию на услуги по мониторингу автома- тизированных систем, аккредитацию (с 2023 г.) ФСБ России. Для собственного SOC такая лицензия не требуется. Ока- зание услуг относится к гражданскому праву и означает, что одно юридическое лицо по договору выполняет какие-то действия для другого юридического лица. Лицензированию подлежат взаи- моотношения двух юридических лиц в рамках функционирования SOC. Что касается аккредитации, то уже неоднократно публично давались разъ- яснения со стороны регуляторов о том, что к ней применим такой же принцип, как и к лицензии: аккредитация требуется лишь для SOC, оказывающих услуги сторонним юридическим лицам, то есть для собствен- ных нужд аккредитация не требуется. 2. Отсутствие издержек на техниче- ские решения. Не совсем так. Подрядчику обычно требуется, чтобы технические решения, осуществляющие сбор событий с ком- понентов информационной инфраструк- туры, находились на территории заказ- чика. Это означает, что со стороны заказчика потребуются определенные вложения: либо аренда технического решения, либо внедрение своей системы мониторинга событий с предоставлением доступа подрядчику. 3. Отсутствие затрат на постоянное обучение и повышение квалификации работников SOC, решение (отсутствие) проблемы текучки кадров. Пожалуй, это можно назвать един- ственным неоспоримым плюсом. 4. Нет необходимости в выстраивании процессов (см. таблицу) с нуля – все это уже есть у подрядчика. Все так, но потребуется адаптация процессов под особенности заказчика. Кроме того, передача функций вовне неизбежно влечет за собой риски их возможной утраты, поэтому необходимо обратить внимание и на отрицательные стороны такого решения. Минусы аутсорсинга: 1. Утеря функционала в случае отказа от услуг подрядчика. При невозможности оплачивать услуги (сокращение, перераспределение статей бюджета) или отказе от услуг подрядчика по причине разочарования в его компе- тенциях переданные вовне функции будут одномоментно утрачены. 2. Сложность контроля. Деятельность сторонней организации, как правило, контролируется только в той части, которая прописана в договоре. При этом не всегда можно реально про- следить, как фактически осуществляет работу подрядчик. Ошибки в работе, повлиять на которые заказчик не может, могут привести к неблагоприятным последствиям. 3. Невозможность делегировать ответ- ственность. Юридическую ответственность за нарушение требований законодатель- ства в любом случае несет заказчик. Убытки вследствие инцидентов также не получится переложить на подрядчика. По гражданскому законодательству за качество сервиса он отвечает только в пределах стоимости контракта, а услуги страхования киберрисков провайдеры SOC на текущий момент не предостав- ляют, так как это отдельная лицензи- руемая деятельность, это направление на отечественном страховом рынке пока не развито. Долго и дорого Последний момент, на который сле- дует обратить внимание: свой SOC – это всегда долго и дорого: такое мнение транслируют представители подрядчиков практически на каждой конференции по информационной безопасности. Но так ли это? Ответить на этот вопрос снова поможет теория. Есть различные уровни зрелости SOC: создание SOC 4-го уровня зрелости в среднем займет у компании порядка трех лет, но SOC 1-го уровня зрелости можно сделать практически за 2–3 меся- ца, получив функционал, позволяющий мониторить критичные системы и осу- ществлять первичное реагирование на атаки и инциденты. Кстати, аналогичный срок обычно требуется и подрядчику для подключения инфраструктуры заказ- чика к своему SOC. Что касается "дорого", то это поня- тие – не более чем баланс статей на обеспечение информационной безопас- ности в бюджете организации – капи- тальных и оперативных затрат. Услуги внешнего SOC отнюдь не дешевы, а внутренний SOC может строиться постепенно. При аутсорсинге всегда есть риск "потери" оперативных затрат и, как следствие, части функционала; такого риска нет в случае с собственным SOC. В сухом остатке Так что же все-таки лучше, свой SOC или внешний? Безусловно, ответ на этот вопрос сугубо индивидуален для каждой конкретной организации (руководителя службы информационной безопасности), но в основе его лежит общее правило: необходимо посмотреть на процессы SOC и оценить, какие из них выгодно передать на аутсорсинг, а какие – выгод- но оставить "себе". l • 41 IRP, SOAR, SOC www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru