Журнал "Information Security/ Информационная безопасность" #5, 2020

Согласно модели адаптивной архи- тектуры безопасности, разработанной Gartner, для того чтобы организация могла успешно бороться с киберпре- ступностью в современной среде угроз, ее команда SOC должна уметь прогно- зировать, предотвращать и обнаружи- вать угрозы, а также эффективно реа- гировать на них и прогнозировать буду- щие атаки 1 . Основные проблемы кадрового обеспечения Отсутствие квалифицированного пер- сонала является наиболее распростра- ненной причиной неэффективной рабо- ты, ограничивая возможности SOC 2 . Вакансии в командах SOC размещены на многих сайтах и в специализирован- ных группах в социальных сетях. Зача- стую они получают достаточное количе- ство просмотров, но остаются без откли- ков. Например, вакансия руководителя центра информационной безопасности (SOC), выбранная автором в качестве объекта наблюдения, в течение двух месяцев с момента публикации так и осталась открытой. Однако подобная проблема кадрового рынка в сфере SOC не единственная. Другая проблема заключается в том, что многие SOC не тратят время на исследование эффекта выгорания сотрудников и не создают среду для профилактики этого явления. Между тем в исследовании SANS SOC 2019 подчеркивается, что с растущей нехваткой специалистов в области кибербезопасности вопрос сохранения кадров, сейчас работающих в SOC, будет становиться все более важным. Следующая проблема связана с отсут- ствием кадрового резерва, а зачастую и со сложностями его формирования. При оценке команды SOC внимание фокусируется, как правило, на обеспе- ченности персоналом и уровне его ква- лификации. Используются следующие метрики: количество пройденных ана- литиками SOC тренингов и процент эффективных Playbook. Но такой подход не позволяет отве- тить на следующие вопросы: 1. Является ли команда SOC сплочен- ной, подготовленной и мотивированной? 2. Способна ли команда SOC адапти- роваться под меняющиеся требования регуляторов и стандартов (становиться более зрелой; охватывать больше систем; использовать новые методы выявления атак 3 )? 3. Каким образом деятельность коман- ды SOC влияет на обеспечение непре- рывности бизнеса? Если игнорировать три вышеназван- ные проблемы, то можно столкнуться с неверными данными и выводами о результатах работы SOC, это приведет к ошибочным управленческим реше- ниям. Как следствие, рано или поздно возникнет вопрос об окупаемости инве- стиций в SOC. С чего начать решение проблем? Как подступиться к решению проблем кадрового обеспечения работы SOC? Ключ к решению этой задачи – прямой и обоснованный ответ на два вопроса. 1. Зачем нужен SOC? 2. Какой подход будет применяться для кадрового обеспечения SOC: подход "закрытия" вакансий или ответственный подход к формированию и развитию сплоченной, подготовленной и мотиви- рованной команды? В зависимости от ответов на эти вопросы должны определяться дальней- шие шаги. Диагностический аудит SOC Диагностический аудит кадрового обеспечения SOC необходим для обосно- ванного пересмотра подходов к струк- турированию SOC, чтобы добиться дол- госрочного успеха, приносящего пользу как человеку, так и организации. Для создания и развития SOC нужны сотрудники, обладающие глубокой экс- пертизой, знаниями и достаточным опы- том, техническими, цифровыми и когни- тивными навыками. Анализ больших объемов данных, выбор направления для дальнейшего расследования требуют спе- циальных знаний и навыков для борьбы с постоянно меняющимися угрозами. Диагностический аудит поможет выявить разрыв между текущим состоя- нием кадрового обеспечения и целевым значением. При создании SOC, как правило, про- рабатываются вопросы кадрового обес- печения, организационной структуры, но не вопросы формирования команды. Анализ технических заданий на создание SOC говорит о том, что в целях и задачах проектов по созданию SOC отсутствуют задачи по созданию и раз- 32 • СПЕЦПРОЕКТ Кадровое обеспечение работы SOC: поиск и подбор персонала, формирование и развитие команд а прошедшем SOC Forum 2019, в исследованиях SANS SOC 2018 и SANS SOC 2019 поднималась проблема кадрового обеспечения. На сегодняшний день это одна из самых актуальных проблем в сфере информационной безопасности. В данной статье мы рассмотрим основные задачи, проблемы и трудности, с которыми можно столкнуться при формировании команды SOC, а также способы их решения. Н Ксения Темникова, к.э.н., доцент кафедры “Информационная безопасность” Московского политехнического университета, эксперт ООО “Профконсалт ИСМ”, консультант в области систем менеджмента информационной безопасности, систем менеджмента непрерывности бизнеса, Thomas International (РРА) 1 https://media.kaspersky.com/ru/business-security/enterprise/brochure-soc-powered-by-kl.pdf 2 The Definition of SOC-cess? SANS 2018 Security Operations Center Survey. P. 15. 3 https://www.pwc.ru/ru/services/technology/cyber-security/soc.html