Журнал "Information Security/ Информационная безопасность" #5, 2023

SOC или SOC? Риски из интернет-простран- ства давно перестали быть умо- зрительной угрозой даже для прожженных скептиков. "Нас точно не коснется!" – эти и подобные категоричные заявле- ния звучат все реже, особенно учитывая актуальный инфор- мационный фон. Череда сливов данных, кража информации государственной важности, эпи- зоды взлома электронных СМИ и другие происшествия накла- дываются на инициативы регу- ляторов с их стремлением повы- сить степень ответственности за ИБ-проступки. Вишенка на торте – дефицит ИБ-специали- стов, оценивающийся уже в десятки тысяч человек. Где их взять в ближайшей и даже сред- несрочной перспективе, реши- тельно непонятно. Очевидно, актуальные вызо- вы требуют пересборки подхо- дов к управлению корпоратив- ным кибербезом. В сложивших- ся условиях привлекательными выглядят центры реагирования на киберинциденты, они же Security and Operations Center, или SOC. Быстрый старт сер- виса по комплексной защите, отсутствие необходимости наби- рать команду и воевать с кон- курентами за ИБ-таланты, дока- занная экспертиза, быстрое и правильное реагирование на инциденты, а также предотвра- щение атак – провайдеры используют правильную рито- рику для продвижения собст- венных услуг в том числе среди госструктур и корпораций. Но есть минимум три причины, по которым крупным организациям лучше смотреть в сторону ведомственного SOC. Нюансы корпоративного управления Помните достославные вре- мена IPO и выхода компаний на долговой рынок? В упои- тельный процесс Due Diligence, помимо оценки активов и ана- лиза финансового состояния предприятий, был вплетен аудит информационной безопасности. Легкомысленное отношение к нему со стороны кандидатов на биржевой листинг могло в прямом смысле стоить дорого. Если что-то было не так с каче- ством киберзащиты активов, этот факт непременно отражал- ся на оценке компании. Обилие вопросов к информационной безопасности нередко снижало цену акций будущего размеще- ния. В 2023 г. смотреть в сторону биржи и долгового рынка может разве что неисправимый опти- мист. А вот дальнейшее огосу- дарствление экономики – впол- не актуальный тренд. В силу этого у киберустойчивости как свойства российских экономи- ческих субъектов меняется бенефициар. Вместо вероятных акционеров и держателей дол- говых расписок им является Российская Федерация. Новый бенефициар не скло- нен миндальничать. Подтвер- ждение тому – прошлогодний 250-й указ и грядущий драма- тический рост штрафов за утеч- ки информации. Очевидно, это сигнал к тому, что государство не хочет взломов и утечек, по крайней мере для той части экономики, где у него есть стра- тегический интерес. Вместе с тем следует учиты- вать темпы, которыми государст- во перенимает бизнес-практики из коммерческого сектора. Ско- рее всего, уже в этом году кибер- грамотность и/или сам факт про- хождения ИБ-обучения станет частью корпоративных KPI для сотрудников предприятий гос- сектора. Где еще, как не внутри ведомственного SOC, будут искать темы для повышения киберграмотности персонала не только в статистике SIEM, но и исходя из данных, полученных с других средств защиты инфор- мации, которые логично консо- лидировать в рамках ведом- ственного SOC, чтобы получать более объективную картину – она поможет составлению дорожной карты для обучения сотрудников. Отчетность без ложных срабатываний В условиях, когда взыскания за ИБ-проступки становятся все более суровыми, важно не допу- 34 • СПЕЦПРОЕКТ Свой SOC как неизбежность Четыре причины, по которым организации так или иначе придут к потребности в собственных центрах реагирования на киберинциденты новых условиях центры реагирования на происшествия информационной безопасности (они же Security and Operations Center, или SOC) выглядят чуть ли не идеальной моделью потребления сервисов информационной безопасности. Совладелец RuSIEM Максим Степченков анализирует предпосылки актуального тренда и поясняет, почему корпоративный кибербез в ближайшей перспективе с большой долей вероятности примет облик ведомственного SOC. В Максим Степченков, совладелец компании RuSIEM На текущий момент на базе системы RuSIEM построены несколько коммерческих SOC, предлагаемых на рынке компаниями ПАО "МегаФон", "Эр-Телеком", "Калуга Астрал" и "Информационный Центр". Решения внедрены у ряда заказчиков и успешно выполняют поставленные задачи. Количество заказчиков, использующих SOC на базе системы RuSIEM, в 2023 г. выросло более чем в 10 раз. В ноябре 2022 г. компания RuSIEM официально выпустила новый модуль собственной разработки RuSIEM Monitoring, который позволяет контролировать работу ИТ-решений заказчиков. С его помощью можно следить за параметрами всех компонентов, оповещать специалистов, если их значения оказываются вне заданных рамок, детально анализировать производительность оборудования, оперативно устранять и предотвращать сбои в его работе.