Журнал "Information Security/ Информационная безопасность" #5, 2020

38 • СПЕЦПРОЕКТ Зачем вам SOC Когда я говорю, что у нас есть SOC, часто в ответ слышу: а зачем он тебе нужен? Мол, это просто выброшенные деньги. Но ведь у вас в компании установлена круглосуточная система охраны? На машине стоит сигнализация? А почему информация, с которой вы работаете, не нуждается в таком же мониторинге? Часто топ-менеджеры не думают об информационной безопасности до тех пор, пока не потеряют деньги. Деньги можно потерять, просто заплатив мошен- никам выкуп за пароль в случае шиф- рования инфраструктуры. Но даже если удастся получить пароль, вряд ли полу- чится восстановить все данные, а это уже чревато остановкой части бизнес- процессов и большими косвенными поте- рями. Лоскутная информационная безопас- ность является большой проблемой, при- чем именно в России, где, к сожалению, есть грустная тенденция совершенство- вания механизмов обхода требований законодательства. Есть и проблема "бумажной" безопас- ности. Например, бывшие военные могут хорошо наладить ИБ-делопроизводство, но зачастую не сумеют построить каче- ственную архитектуру информационной безопасности. Для этого необходимо знание инструментария и понимание, какие классы инструментов перекрывают те или иные риски. Кто-то просто готов отдать функцио- нальность SOC подрядчику, желая выве- сти ответственность за пределы компа- нии. Такой заказчик не хочет разби- раться в происходящем внутри вверен- ных ему ИТ-систем и планирует просто откупиться от проблемы. А в случае возникновения инцидента начинается мучительное выяснение, кто виноват. SOC как вершина пирамиды SOC – это надстройка над всей инфор- мационной безопасностью, которая, как спрут, собирает данные со всей инфра- структуры, анализирует и выдает в конеч- ном итоге уже готовые знания. Это погра- ничник, который ходит по периметру компании, подходит к каждому узлу, выясняет ситуацию и выдает консолиди- рованный отчет главе безопасности. SOC может стоять только над зрелой информационной системой, где и ИТ-, и ИБ-ландшафты соединены в единое целое. В небольших системах SOC точно не нужен. Когда количество элементов ИТ- и ИБ-инфраструктуры не превышает 20 единиц, можно обойтись системой лог-менеджмента. Когда система становится более зре- лой, когда серверов становится больше, количество обрабатываемых в системе данных стремительно растет. В этом случае необходимо думать не только о логировании событий, но и об их кор- реляции. А с некоторого момента этого роста – там, где над данными нужно думать, – ответить на вопросы о том, что происходит, сможет толь- ко SOC. SOC – это вершина ИБ-пирамиды. Руслан Рахметов, Security Vision: На мой взгляд, соз- давать собственный SOC целесообразно в случае, если поток боевых инцидентов диктует необходимость их обработки в непрерывном режиме силами выделенного подразделения. И при условии, что в компании уже создана зрелая система управления кибербезопасностью и отлажены ИБ-процессы, которые станут надежной основой эффективно работающего SOC. А аутсорсинг услуг SOC может пользоваться спросом в SMB-сегменте или при осознанной потребности в разделении части киберрисков в соответствии с договорными обязатель- ствами. Алексей Юдин, Infosecurity a Softline company: Про- водя параллель с физической безопасностью, отмечу, что каждый заказчик сам выбирает, строить ли собственную систему физической безопасности, нанимать и обучать людей или отдать сервис в ЧОП. Ровно так же обстоят дела и с сервисом SOC. Виктор Куратов, ESET: SOC – достаточно молодое направление в ИБ по сравнению с другими решениями. Еще несколько лет назад, приходя на SOC-форум, я видел работу команд маркетологов без каких-либо реальных Use Case и Best Practice. Сегодня уже видно развитие данного направления и то, что все больше и больше компаний смотрит в эту сторону. Илья Кондратьев, АМТ-ГРУП: Отмечу опасность заблуждения о выводе ответственности за пределы компании в случае подключения к коммерческому SOC. Например, ответственность за инциденты ИБ сохраняется как за субъектом КИИ, так и за оператором ПДн. Просто переложить ответ- ственность на подрядчика, оказывающего услугу SOС, не получится. Ксения Темникова, Московский политех: Оста- новка части бизнес-процессов, потеря доступа к информа- ционной системе может привести к потере бизнеса. Чтобы информационная безопасность не была "лоскутной", дея- тельность SOC может развиваться на основе системы менеджмента информационной безопасности (ISO/IEC 27001:2013) и системы менеджмента непрерывности бизнеса (ISO 22301:2019). Процессы мониторинга и реагирования на киберугрозы входят в топ-3 глобальных рисков для биз- неса, важно соответствовать требованиям международных стандартов. При аудите SOC могут применяться иммерсив- ные технологии. Всеслав Соленик, R-Vision: На мой взгляд, SOC в широ- ком смысле нужен в качестве инструмента достижения основной цели информационной безопасности – снижения рисков и ущер- ба от инцидентов. Есть целый ряд процессов и систем по пред- отвращению инцидентов, но они все равно рано или поздно происходят и приводят к последствиям самого разного мас- штаба. Как раз для выявления таких ситуаций и управления ими, включая снижение последствий, и нужен SOC. Комментарии экспертов