Журнал "Information Security/ Информационная безопасность" #5, 2020

Обеспечить оптимальное взаимодействие с ГосСОП- КА для субъектов КИИ, имеющих множество взаи- мосвязанных между собой объектов информационной инфраструктуры, без уча- стия SOC будет невозможно. Обеспечить адекватный мониторинг и своевремен- ное реагирование на ком- пьютерные атаки и компью- терные инциденты в боль- шой и сложной информа- ционной инфраструктуре без использования Security Operations Center становится невозможным. 2. Государственная система обнаружения, предупреждения и ликвидации последствий ком- пьютерных атак на информа- ционные ресурсы Российской Федерации (ГосСОПКА), основ- ной организационно-технической составляющей которой являются центры обнаружения, предупреж- дения и ликвидации последствий компьютерных атак 3 , непрерыв- ное взаимодействие с которой обязан обеспечить субъект КИИ в рамках исполнения обязанно- стей, возложенных на него зако- нодательством. Таким образом, несмотря на то, что закон о безопасности КИИ не содержит прямого ука- зания на создание центров мони- торинга и реагирования, обеспе- чить оперативный ответ на про- исходящую на критическую информационную инфраструкту- ру компьютерную атаку на ранних этапах и обеспечить оптимальное взаимодействие с ГосСОПКА для субъектов КИИ, имеющих мно- жество взаимосвязанных между собой объектов информационной инфраструктуры, без участия SOC будет невозможно. Из вышеизложенного выте- кает вопрос о том, в каких же все-таки случаях создание цент- ра мониторинга и реагирования необходимо, а в каких без него можно обойтись. Кому действительно нужен SOC и какие варианты реализации выбрать? Основными критериями для ответа на этот вопрос будут служить масштаб организации, то есть количество принадле- жащих ей объектов КИИ, и наличие связи указанных объ- ектов с внешними сетями. Так, если все объекты пред- ставляют собой изолированные от внешних сетей системы, то создание для них системы мони- торинга (по сути, связывание в единую систему) приведет к появлению новых угроз: все системы станут взаимосвязаны и неблагоприятное воздействие на одну из них (например, зара- жение вредоносным кодом со съемного носителя) может при- вести к воздействию на все остальные. Если количество объектов КИИ невелико (5–10) и они находятся в пределах одной контролируемой зоны, то осуществлять контроль за ука- занной инфраструктурой можно и без создания отдельного спе- циализированного центра. Если же субъект КИИ обла- дает большим количеством объ- ектов, они территориально рас- пределены и имеют подключе- ние к сетям связи общего досту- па, то вопрос создания собст- венного центра мониторинга и реагирования или передачи функций в части мониторинга и управления событиями (инци- дентами) провайдеру услуг SOC уже становится актуальным, потому что обеспечить адек- ватный мониторинг и своевре- менное реагирование на ком- пьютерные атаки и компьютер- ные инциденты в большой и сложной информационной инфраструктуре без использо- вания Security Operations Center становится невозможным. Следует отметить, что созда- вать собственный центр мони- торинга и реагирования даже в этом случае не обязательно, можно воспользоваться услуга- ми провайдера SOC, которых на рынке существует множе- ство. Следовательно, для мно- гих субъектов КИИ актуальным становится вопрос о том, какой из указанных вариантов все- таки выбрать. В каждом кон- кретном случае, исходя из осо- бенностей деловых процессов организации, имеющегося бюд- жета на информационную без- опасность и сроков, должно при- ниматься отдельное решение. В качестве сильных и слабых сторон обоих вариантов можно отметить следующие моменты. Аутсорсинг услуг центра мониторинга и реагирования у специализированного провайдера Первый и, пожалуй, основной плюс данного варианта – это низкие временные затраты на внедрение функционала SOC в организации. Однако здесь сле- дует иметь в виду, что некото- рое время на развертывание минимальной инфраструктуры центра мониторинга и реагиро- вания, которая будет осуществ- лять взаимодействие информа- ционной инфраструктуры субъ- екта КИИ с провайдером, все же понадобится. Второй плюс – отсутствие необходимости в комплектова- нии специалистами штата ком- пании, включая круглосуточную смену, наличие издержек на их содержание и обучение, в том числе повышение квали- фикации. В качестве третьего плюса можно отметить выстроенные и зрелые процессы управления, реагирования и взаимодей- ствия. Однако здесь следует помнить, что многие специали- зированные компании, осу- ществляющие деятельность в сфере информационной без- опасности, начали оказывать услуги SOC ввиду популярности этой тематики, не имея опыта и экспертизы в данном направ- лении. Поэтому при выборе про- вайдера необходимо изучить его конкретный опыт. На этом положительные моменты аутсорсинга услуг SOC заканчиваются, и начинаются отрицательные. Основным и, пожалуй, главным из отрица- тельных моментов является то, что ответственность за свое- временное выявление, реаги- рование на компьютерные инци- денты и информирование ФСБ России несет субъект КИИ, а не провайдер услуг SOC, и, что бы ни рассказывали маркетологи провайдера про то, как можно закрепить за ним ответствен- ность, основные риски, в част- ности привлечение к уголовной ответственности, будет нести субъект КИИ. Следующим отрицательным моментом является сложность контроля провайдера услуг SOC. Деятельность сторонней органи- зации, как правило, контролиру- ется только в той части, в кото- рой это прописано в договоре. При этом не всегда можно реаль- но проконтролировать, как фак- • 17 SOC www.itsec.ru 3 П. 9. Выписки из Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (утв. президентом РФ 12.12.2014 г. № К 1274).