Журнал "Information Security/ Информационная безопасность" #5, 2020

витию команды SOC, формированию системы управления знаниями. В такой ситуации потребуется корректировка действий по кадровому обеспечению вновь созданного SOC. Для подбора команды важно соблюдать принцип "при выборе из близких по уров- ню кандидатов ключевой фактор – личные качества каждого" 4 . Для этого потребуется применение оценок по системе Thomas International, а именно: l профильный анализ личности (PPA); l оценка 360. Может также потребоваться форми- рование/корректировка профиля долж- ности. Диагностический аудит займет не более одного месяца. Полученные результаты послужат основой для управ- ленческих решений, обоснования теку- щих и будущих инвестиций, формиро- вания дорожной карты и развития коман- ды SOC, установления KPI. Важное значение имеют выявление и устранение проблем, которые снижают эффективность работы SOC (непродук- тивная работа, ошибки). К числу таких проблем относятся 5 : l недостаточная автоматизация (ана- литики вынуждены тратить время на рутинные операции, которые могут быть автоматизированы); l отсутствие интеграции (использование узкопрофильных инструментов, не интег- рированных друг с другом; аналитики вынуждены переключаться между раз- личными инструментами и панелями управления); l избыток оповещений (переизбыток информации приводит к тому, что неко- торые уведомления остаются без вни- мания); l отсутствие общего представления о происходящем на предприятии (команда SOC не видит полную картину событий); l отсутствие контекстных данных (недо- статочное понимание мотивации, тактик и методов, используемых атакующими, может помешать команде SOC правиль- но приоритизировать инциденты для расследования). Вполне вероятно, что потребуется ана- лиз коренных причин несоответствий/ происшествий (АКП, англ. – Root Cases Analyses, RCA). После этого можно пере- ходить к выстраиванию процессов. Пути решения Проблема нехватки квалифицирован- ных кадров, в том числе узких специа- листов, не может быть решена одной мерой. Потребуется комплекс последо- вательных и взаимосвязанных мер, включая проведение диагностического аудита кадрового обеспечения SOC, выявление и устранение проблем, кото- рые снижают эффективность работы команды SOC, определение целевого состояния и существующего разрыва, формирование/корректировку текстов вакансий, профиля должности и т.п. Для формирования и развития спло- ченной, подготовленной и мотивирован- ной команды SOC важное значение имеет работа с профильными факуль- тетами университетов, в том числе под- готовка кадров в магистратуре по спе- циально разработанным программам. Критерием выбора университета для развития стратегического сотрудниче- ства является проектная деятельность студентов начиная с самого первого курса. Только в этом случае студенты готовы к командной работе, что является обязательным условием работы в SOC. Привлечению новых высококвалифи- цированных специалистов и, что не менее важно, удержанию имеющихся членов команды SOC будет способство- вать выстраивание процессов, внедре- ние и совершенствование системы финансовой и нефинансовой мотивации, применение методик Thomas International (оценка 360, PPA и др.), анализ коренных причин несоответствий, управление зна- ниями, управление талантами. Для того чтобы команда SOC глубоко и всесторонне понимала контекст дея- тельности, подходы к приоритизации угроз, целесообразно повышать осве- домленность в отношении политики и целей системы менеджмента инфор- мационной безопасности в соответствии с международным стандартом ISO/IEC 27001:2013, а также в отношении поли- тики и целей системы менеджмента непрерывности бизнеса в соответствии с международным стандартом ISO 22301:2019, проводить обучение коман- ды SOC передовым методам борьбы с киберугрозами, включая специализи- рованные курсы повышения квалифи- кации, экспертные тренинги, и, что осо- бенно важно, проводить учения по непре- рывности бизнеса. Проблема сохранения членов коман- ды, которые уже работают в SOC, может быть решена за счет: l проведения дополнительных меро- приятий, направленных на выявление высокопрофессиональных специалистов, способных и готовых обучать молодое поколение, разрабатывать новые мето- дики обучения; l ротации кадров, распространения практики "дополнительных" проектов 6 , а также проведения специальных тре- нингов для предотвращения выгорания, по командообразованию с фокусом на деятельность SOC; l развития навыков внешней и внут- ренней коммуникации с фокусом на дея- тельность SOC, помощи в совершен- ствовании устного и письменного анг- лийского языка по тематике информа- ционной безопасности и непрерывности бизнеса с фокусом на деятельность SOC. Меры, направленные на решение первых двух проблем, будут способ- ствовать решению проблемы форми- рования кадрового резерва. Так, напри- мер, привлечение выявленных в дей- ствующей команде SOC высокопро- фессиональных специалистов, способ- ных и готовых обучать молодое поко- ление, к обучению студентов и новых членов команды на основе специально разработанных новых методик обуче- ния, очень быстро даст стабильно высо- кий результат (при условии работаю- щей системы финансовой и нефинан- совой мотивации). Решению задач формирования кад- рового резерва SOC будет способство- вать развитие взаимодействия с уни- верситетами, а именно: проектная дея- тельность, стажировки, чтение открытых лекций для студентов, разработка и запуск совместно с университетом специальных магистерских программ, программ дополнительного профессио- нального образования (ДПО), сфокуси- рованных на работу SOC. Подтверждение успешной работы команды SOC В заключение следует отметить, что есть немало примеров успешного раз- вития команд SOC. Приведем пример, когда успешная работа SOC получила подтверждение на международном уровне. BSI, компа- ния по улучшению бизнеса, провела ресертификационный аудит системы менеджмента информационной безопас- ности операционного центра реагирова- ния на кибератаки Сбербанка на соот- ветствие требованиям международного стандарта ISO/IEC 27001:2013 с помо- щью технологии смарт-очков 7 . В этом примере интересен не столько опыт при- менения иммерсивных технологий, сколько опыт работы команды SOC. Важно, чтобы примеров успешной работы SOC становилось больше. Соз- дание сплоченной, подготовленной и мотивированной команды SOC – это стратегическая задача управления талантами в условиях цифровизации. l • 33 SOC www.itsec.ru 4 https://antalrussia.ru/candidates/thomas-test/ 5 Источник: Составлено по данным: Решение “Лаборатории Касперского" для центров анализа событий ИБ (SOC) [Электронный ресурс] URL: https://media.kaspersky.com/ru/business-security/enterprise/brochure-soc-powered- by-kl.pdf (дата обращения: 20.10.2020). 6 https://soc-forum.ib-bank.ru/files/files/SOC2019/31%20Zlobin.pdf 7 https://www.bsigroup.com/ru-RU/About-BSI/media-centre/BSI-CIS- News/2020/october/bsi-cis-recertified-sberbank-soc-iso-iec-27001-smart-glasses/ Ваше мнение и вопросы присылайте по адресу is@groteck.ru