Журнал "Information Security/ Информационная безопасность" #5, 2023

Андрей Дугин, МТС RED: Как правило, заказчики оставляют на своей стороне реагирование на кибератаки. В таком случае мы стара- емся наладить максимально быструю и эффективную коммуникацию с ИТ- и ИБ-специалистами заказчика и помо- гаем в разработке плейбуков, чтобы процесс реагирования был максимально простым и оперативным. Валерия Суворова, Инфосистемы Джет: Принимая решение о передаче какой- либо функции SOC на аутсорс, важно объективно оценивать собственные ресурсы и компетенции, а также страте- гическую важность функций ИБ для биз- неса. Многие компании стремятся обес- печивать часть функций SOC самостоя- тельно, для развития компетенций спе- циалистов, интеграции ИБ и бизнеса, а также поддержания независимости от подрядчиков. Тем не менее для реали- зации узких направлений, таких как рас- следование инцидентов, проактивный поиск угроз и развитие корреляционной базы, целесообразно привлекать парт- неров, специализирующихся на оказании таких услуг. Александр Матвеев, IZ:SOC: 1. Внешний SOC может помочь повы- сить эффективность и модернизировать внутренние процессы заказчика, но нико- гда не сможет их поменять без его уча- стия. 2. Внешний SOC может помочь с поиском и обучением собственных ана- литиков заказчика, но никогда не сможет гарантировать целостность данной команды. 3. Внешний SOC может идеально осу- ществлять мониторинг и реагирование на инциденты, но никогда не сможет помочь повысить уровень ИБ заказчика, если его специалисты не следуют пре- доставленным рекомендациям. Валерия Суворова, Инфосистемы Джет: 1. SOC не ответит на вопрос, какие внутренние процессы, плейбуки и рег- ламенты в области ИБ не работают, однако сможет подсветить проблемные места. 2. Принятие решений о том, куда инве- стировать ресурсы (деньги, время, силы) для развития системы защиты, всегда остается на стороне заказчика. SOC может указать на некоторые слабые места, требующие особого внимания. 3. Техническое реагирование на инци- денты и донастройка средств защиты – эти работы не каждый SOC может взять на себя. В Jet CSIRT такая опция доступ- на при необходимости. Андрей Дугин, МТС RED: SOC не может в одиночку выставить значения критичности для всех типов инцидентов, поскольку некоторые из них напрямую зависят от бизнеса и того, насколько те или иные кибератаки влияют на его непрерывность и устой- чивость. Выявление аномалий в бизнес- процессах также требует взаимодей- ствия с заказчиком, так как только он знает, какие этапы должен включать процесс, что является легитимными дей- ствиями, а что – нарушением. Кроме того, полномочия по принятию управ- ленческих решений по результатам рас- следования инцидента – прерогатива заказчика. Сергей Солдатов, Лаборатория Касперского: 1. SOC не обоснует необходимость инвестирования в ИБ перед руковод- ством. 2. Безопасность работает, только если ею занимаются все подразделения, поэтому CISO – это в первую очередь эффективный переговорщик. Внешний SOC не сможет построить эффективные внутренние коммуникации с подразде- лениями, с которыми нет договоренно- стей. 3. SOC не оценит бизнес-ценность своих услуг для заказчика. SOC – это инструмент достижения одной из целей корпоративной безопасности, насколько он эффективен и результативен с пози- ции руководства компании, решать CISO. Максим Акимов, Innostage CyberART: Нельзя делегировать SOC-центру административную и уголовную ответ- ственность, то есть принимать риски по локализации инцидента и механизму реагирования должен заказчик. К при- меру, мы можем заблокировать ском- прометированный IP-адрес, но при этом встанет банкинг или процессинг и орга- низация понесет финансовые потери, превышающие риски ИБ. В случае про- мышленной организации может остано- вится производство. Теймур Хеирхабаров, BI.ZONE: SOC точно не организует за заказчика взаимодействие между ИТ-подразделе- нием и отделом кибербезопасности, которое крайне важно для качественного и своевременного реагирования на инци- денты. SOC также не построит за заказ- чика систему кибербезопасности, не будет выполнять за него Hardening инфраструктуры, не выстроит внутрен- ние процессы. Безусловно, коммерче- ский SOC может выступать консультан- том, давать рекомендации в рамках инцидентов по усилению системы без- опасности, но их непосредственное выполнение остается за заказчиком. Артём Савчук, ПМ: SOC не примет на себя полномочия и ответственность работников организаций, четко определенных нормативно-право- выми актами Российской Федерации. Даниил Вылегжанин, RuSIEM: SOC не решит задачи управления сете- вой инфраструктурой, управления физи- ческой безопасностью предприятия и решением физических проблем, таких как отказ оборудования или проблемы с под- ключением. В таких случаях без специа- листов "на месте" просто не обойтись. То же касается и принятия стратеги- ческих решений: SOC может предостав- лять данные и аналитику о безопасности, но принятие стратегических решений по обеспечению безопасности остается ответственностью заказчика. Сергей Солдатов, Лаборатория Касперского: 1. Определение объема услуг, переда- ваемых в SOC, требований к их качеству (SLA), шаблоны отчетности, порядок ком- муникации, матрица ответственности. 2. Построение эффективного взаимо- действия внутренних служб (ИБ, ИТ, HR, PR, руководство и пр.) в рамках процесса управления инцидентами. Каким должен быть пер- вый шаг для подключе- ния к SOC, если принци- пиальное решение уже принято? Что SOC точно не сдела- ет за заказчика? 20 • СПЕЦПРОЕКТ