Журнал "Information Security/ Информационная безопасность" #3, 2021

Необходимость создания такого тех- нически и организационно достаточно сложного подразделения, как SOC, на практике обусловлена объективными факторами экономического характера, и не так важно, возникла ли такая надоб- ность под влиянием требований регуля- тора или без них. Зачастую на выбор пути реализации SOC оказывает влияние общая структура расходов компании: у кого-то превалирует CAPEX, у кого-то OPEX, учитывается стоимость владения, увеличение фонда оплаты труда, затраты на обучение и повышение квалифика- ции, стоимость сопутствующего обору- дования и многое другое. На основе всех перечисленных фак- торов принимается решение о том, какие функции Security Operations будут выпол- няться заказчиком самостоятельно, а какие будут отданы под ответствен- ность внешнему партнеру. Гибридные форм-факторы для SOC На сегодняшний день четкость при- вычной дилеммы "свой SOC или внеш- ний" оказывается размыта. Происходит это по причине растущей сложности архитектуры информационных систем, которые нас с вами сейчас окружают, и степени их проникновения в повседнев- ную жизнь. При этом функции Security Operations разделяются между партне- рами в определенной пропорции, и эта пропорция уникальна для каждой отдель- ной компании. Аналогичным образом разделяются архитектурные и опера- ционные схемы их взаимодействия. Поэтому для формирования и тем более внедрения SOC нужен надежный партнер с большим накопленным опытом реали- зации центров реагирования как в форм- факторе on-premise, то есть построение инфраструктуры в рамках классического интеграторского направления, так и в форм-факторе MSSP, то есть в виде сервисов и услуг. Помимо опыта внед- рения и реализации SOC, сегодня явно видна необходимость опыта в обосно- вании всех своих предложений и про- ектов перед бизнесом. Мы в группе ком- паний Angara поняли это достаточно рано, нам удалось накопить такой опыт, и мы продолжаем его наращивать. Влияние отраслевой специфики Наша практика показывает, что на сегодняшний день услуги внешнего SOC пользуются популярностью у организа- ций, работающих в сфере финансов, – банков, страховых компаний, активно включается финтех. И для этого есть объективные причины: ведь процессы управления рисками в таких компаниях изначально находятся на более зрелом уровне по сравнению с предприятиями из других отраслей, а возможности сни- жения потенциального ущерба от реа- лизации операционного риска начинают прорабатываться на более ранней стадии развития компаний. На ситуацию, конеч- но же, влияет свойственная финансово- му сектору регуляторная специфика, начиная с российского ГОСТа и закан- чивая зарубежным PCI DSS. Расширение поля выбора В настоящий момент точка равновесия между форм-факторами SOC уверенно движется в сторону гибридной модели. Например, последнее время наша экс- пертиза часто привлекается к работе с внедренными собственными средствами защиты информации заказчика, его про- цессами и сервисами, включая SOC как один из сервисов. В то же время нас про- должают привлекать с подключением исключительно нашего инструментария по причине отсутствия у компании необхо- димых средств, процессов и сервисов. Но возможно также использование только наших технологий Security Operations в формате SaaS c дополнительным кон- салтингом, при этом мы размещаем на своих производственных мощностях системы, которыми заказчик пользуется удаленно – просто потому, что он не хочет держать это железо у себя и следить за его доступностью самостоятельно. По нашему прогнозу, экспертиза будет и далее привлекаться в различных гиб- ридных форматах с целью полного или частичного замещения и дополнения любых функциональных и технологиче- ских потребностей Security Operations для бизнеса. В связи с этим на рынке будут востребованы профессиональные компании, которые готовы оказывать гибридные услуги и способны меняться вместе с запросами заказчиков, разви- ваться вместе с индустрией. Центр киберустойчивости Для того чтобы идти в ногу со време- нем, в группе компаний Angara был сформирован Центр киберустойчивости ACRC, объединивший в себе опыт и экс- пертизу двух отдельных направлений: l подразделения Angara Technologies Group, занимавшегося развитием и внед- рением решений по направлению Secu- rity Operations в формате on-premise; l второго подразделения, Angara Pro- fessional Assistance, изначально оказы- вавшего услуги коммерческого SOC, то есть исключительно в качестве сервиса. В результате произошедшего объеди- нения мы смогли приступить к форми- рованию той самой гибридной модели предоставления услуг, уже сейчас вос- требованной на рынке и популярность которой будет расти в ближайшей пер- спективе. Кроме того, Центр киберу- стойчивости ACRC изначально учитывал необходимость удовлетворения меняю- щихся запросов со стороны бизнеса, ведь по мере роста и усложнения инфор- мационных систем запросы в части обес- печения безопасности также будут меняться. Проблема кадрового обеспечения SOC Кадровая проблема носит общемиро- вой характер и свойственна ИБ-сообще- ству в целом, но у нее есть и российская специфика. Мы как высокотехнологичная компания постоянно с ней сталкиваемся и нашли для себя несколько путей ее решения. Во-первых, и это, пожалуй, основной элемент нашей кадровой стратегии, мы ведем свой авторский практический курс по Security Operations для студентов стар- ших курсов в одном из технических вузов Российской Федерации. Это позволяет делиться с будущими специалистами своим практическим опытом, ведь, к сожалению, на сегодняшний день в систе- ме образования столь важный компонент 54 • УПРАВЛЕНИЕ Практика работы SOC ынок информационной безопасности развивается, и компании часто оказываются перед выбором, построить свой SOC или воспользоваться услугами внешнего. Универсального ответа на этот вопрос нет, но в рамках настоящей статьи мы попробуем привести аргументы в пользу обоих решений, а также дополнить выбор новыми вариантами. Р Тимур Зиннятуллин, директор Центра киберустойчивости ACRC