Журнал "Information Security/ Информационная безопасность" #5, 2021

предотвращения инцидентов и компью- терных атак, это является индикатором достаточной зрелости для использования SOC. Остается выбрать для себя подход: создание собственно SOC, передача этих задач на сервис либо применение гибридного подхода. Всеслав Соленик, R-Vision: SOC – понятие относительное как по размеру, так и по зрелости. Это и ситуа- ционный центр на сотню аналитиков, и внутренний отдел из пяти человек; главное – построить эффективные про- цессы выявления и реагирования на инциденты, а также применять каче- ственный инструментарий. Если есть потребность реагировать на инциденты ИБ, есть желание и ресурсы снижать риски информационной безопасности, значит, организация созрела и нужно начинать пробовать строить свой или использовать внешний SOC. Александр Ковалев, Zecurion: Очень многим организациям помогла созреть нормативно-правовая база, поэтому в первую очередь стоит убе- диться в наличии или отсутствии регуля- торных требований. Понимание необхо- димости SOС приходит примерно так же, как и в случае с управленческой отчетностью: в какой-то момент стано- вится понятно, что данных стало слишком много и пора менять угол зрения (даш- борды, отчеты, показатели). Второй кри- терий: наступление момента, когда хочет- ся выделить реагирование в постоянную и развивающуюся функциональность. Руслан Рахметов, Security Vision: Когда формализовался процесс управления инцидентами кибербезо- пасности, можно считать, что компания созрела для SOC и для выхода на управляемый сервис. Множественность ручных операций, связанных с ИБ, является безусловной предпосылкой к построению SOC. Готовность к использованию SOC – это прежде всего зрелость отдела ИБ, его стрем- ление к автоматизации рутины, к повы- шению скорости реагирования и к без- опасности компании в целом. Илья Петров, Innostage: Для принятия правильного решения необходимо определиться, какие функ- ции обеспечения ИБ компания хочет и может реализовать внутри, а в каких случаях будут привлекаться внешние ресурсы. Это сильно зависит от ИТ- инфраструктуры и количества специа- листов по ИБ. Зачастую выгоднее использовать гибридную модель, сочетая навыки собственной команды с серви- сами кибербезопасности, дополняющи- ми внутренний SOC экспертизой, кото- рую нецелесообразно содержать внутри компании. Михаил Савин, КИТ.Р: Идеально, если вы можете позволить себе оба варианта. То есть внутренний SOC решает задачи первой-второй линии, а сложные случаи вы отдаете во внешний SOC с экспертизой, и он же проводит перформанс-ревью внутрен- него SOC. Либо, например, внешний SOC занимается определенным типом событий/инцидентов, например из сег- мента АСУ ТП. Валерий Горбачев, ДиалогНаука: Выбор напрямую зависит от возмож- ности поддерживать необходимую инфраструктуру – круглосуточную пер- вую линию, высококвалифицированных админов СЗИ и т.д. По мере развития зрелости ИБ хоро- шим ориентиром будет следующий путь развития: 1. Полностью внешний SOC с экспер- тизой вендоров и провайдера в части контента, выявления инцидентов, под- ключения источников. 2. Перенос части функций к компании по мере готовности. 3. Внутренний SOC, использующий, возможно, внешнюю первую линию. Что лучше, свой SOC или внешний? • 33 IRP, SOAR, SOC www.itsec.ru Реклама