Журнал "Information Security/ Информационная безопасность" #5, 2023

дение и поддержка собственного внут- реннего SOC достаточно затратны и сложны. Заказчики могут отдать пред- почтение коммерческому SOC, чтобы избежать затрат на обучение персонала, приобретение и поддержку необходимого оборудования и программного обеспече- ния. В любом случае мотивация заказ- чиков может различаться в зависимости от их конкретных потребностей и целей. Александр Матвеев, IZ:SOC: В текущих реалиях это, безусловно, запрос на реальную безопасность, кото- рую необходимо обеспечить быстро, качественно и эффективно. Стоит также выделить такие классические и понятные факторы, как требования законодатель- ства, отсутствие единой картины про- исходящего в инфраструктуре, отсут- ствие собственной команды мониторинга ИБ или невозможность обеспечения круглосуточного оперативного монито- ринга и реагирования собственными силами. Артём Савчук, ПМ: В основном это требования законода- тельства. Сейчас это 187-ФЗ и Указ Президента РФ № 250. Второй вари- ант – реально понесенные убытки в результате компьютерных атак и инци- дентов. Сергей Солдатов, Лаборатория Касперского: Коммерческий SOC предоставляет все преимущества аутсорсинга: динамиче- ское масштабирование, высокий уровень компетенции на старте, возможность использования глобального TI, мини- мальные собственные капитальные инве- стиции, возможность максимально фоку- сироваться на собственном ключевом бизнесе, не распыляясь на второстепен- ные задачи сопровождения, простая смена поставщика. Максим Акимов, Innostage CyberART: Разделительная полоса пролегает там, где требуется большая экспертиза в ИБ, которую можно и нужно делегиро- вать экспертам. Мы предлагаем заказ- чикам три типа взаимодействия: полный аутсорсинг ИБ-услуг, модели гибридного формата (например, первая линия – на заказчике, а вторая линия и выше – на стороне SOC), а также предоставление единичных сервисов, при наличии у заказчика собственного SOC, например предоставление контента и индикаторов компрометации. Но даже в случае с полным аутсорсингом в компании дол- жен быть специалист, разбирающийся в сфере ИБ, который должен понимать бизнес-процессы компании, контроли- ровать подрядчика (SOC) и принимать взвешенные решения. Артём Савчук, ПМ: Сейчас огромное множество вариаций оказания услуг SOC, и граница функций и полномочий коммерческих SOC опре- деляется в первую очередь законода- тельными требованиями вкупе с бюд- жетом заказчика. Поэтому отдать на так называемый аутсорсинг и/или аут- стаффинг возможно практически все, кроме конечной ответственности. Но зачастую работу с чувствительными дан- ными или активные действия в ИТ- инфраструктуре клиенты предпочитают не отдавать на сторону. Даниил Вылегжанин, RuSIEM: Граница между тем, что можно отдать на сторону SOC, а что оставить в своей инфраструктуре, определяется на основе оценки уникальных потребностей заказ- чика. Если, к примеру, у вас есть данные, которые являются особо чувствитель- ными или содержат конфиденциальную информацию, вы можете предпочесть хранить их в своей инфраструктуре. В то же время более общие данные или данные, которые не являются критиче- скими для вашей организации, могут быть переданы на сторону SOC. Реше- ние о том, что в конечном счете оставить в своей инфраструктуре, а что передать на сторону SOC, может быть принято и на основе ваших финансовых воз- можностей и карты рисков вашей орга- низации. Если у вас ограниченный бюд- жет, вы можете выбрать передачу лишь некоторых функций на сторону SOC, чтобы снизить затраты на оборудование и персонал. Александр Матвеев, IZ:SOC: Граница проходит там, где начинают- ся зоны ответственности за результат тех или иных действий, в частности в рамках реагирования на инциденты ИБ. Многое зависит от уровня зрелости как самого заказчика, его команд ИБ и ИТ, так и от уровня зрелости внешнего SOC, понимания им внутренних про- цессов и инфраструктуры заказчика. В том числе крайне важен фактор дове- рия, выстроенного в рамках долгосроч- ного сотрудничества. Если эти факторы достаточно зрелы, процессы выстроены и согласованы между командами, а зоны ответственности четко разделе- ны, то можно говорить о довольно тес- ном сотрудничестве и расширении функционала внешнего SOC в сторону активного реагирования. Сергей Солдатов, Лаборатория Касперского: Как и в случае любого аутсорсинга, требуется учитывать следующее: 1. Критичность для корневого бизнеса. Чем больше сервисы SOC завязаны на ключевые бизнес-процессы, тем менее возможно их передать внешней команде, так как: а) SOC не может быть доста- точно погружен в особенности бизнеса; б) глубокое погружение требует больших внутренних коммуникаций, которые надо максимально формализовать; в) усили- ваются риски конфиденциальности. 2. Наличие зрелого конкурентного предложения на рынке. 3. Наличие внутренних компетенций. 4. Стоимость управления и контроля. Теймур Хеирхабаров, BI.ZONE: Граница проходит по уровню необхо- димого погружения во внутренние биз- нес-процессы компании. Те задачи и функции, которые требуют глубокого погружения во внутренние процессы и понимания специфики внутренних информационных потоков, безусловно, нужно оставлять в своей инфраструк- туре: никакой коммерческий SOC не сделает этого лучше собственных спе- циалистов. Пример таких функций – мониторинг и аналитика инцидентов, зафиксированных DLP-системой, вопросы кадровой безопасности, риск- менеджмент. Где проходит граница между тем, что можно отдать на сторону внеш- него SOC, а что оставить в своей инфраструктуре? • 19 SOC и TI www.itsec.ru