Журнал "Information Security/ Информационная безопасность" #5, 2025

Познакомьтесь с Алексеем, CISO компании "Техно-прогресс" – растущего ИТ-холдинга с 2 тыс. сотрудников. После очередной попытки фишинговой атаки совет директоров выделил бюд- жет в 45 млн руб. на создание собст- венного SOC. С самого начала Алексей столкнулся с инфраструктурными трудностями. Вме- сто быстрого запуска ему пришлось выбирать и закупать SIEM-систему: тен- деры, пилоты, согласования растянулись почти на четыре месяца. И, когда реше- ние уже было выбрано, выяснилось, что одной коробки недостаточно – потребо- вались подрядчики для внедрения SIEM, развертывания EDR на рабочих местах, интеграции со всеми системами журна- лирования. Каждый этап добавлял много недель работы и увеличивал расходы на миллионы рублей. Теперь давайте представим, что у Алексея была машина времени, с помо- щью которой он вернулся в момент при- нятия решения и выбрал коммерческий SOC от проверенного вендора. Вместо полутора лет запуск SOC занял всего три недели: команда провайдера развернула полноценный мониторинг за двадцать один день, без десятков под- рядчиков и бесконечных согласований. Один договор – и все включено: плат- форма, круглосуточные аналитики, обновления, техническая поддержка. Бюджет стал предсказуемым: 25 млн руб. в год без скрытых расходов и пере- расходов. Уже за первые 12 месяцев такая схема позволила сэкономить около 20 млн руб. Эффект работы коммерче- ского SOC заметен сразу: минимум лож- ных срабатываний, расследования по MITRE ATT&CK, а последнюю атаку ана- литики выявили и остановили за семна- дцать минут. SOC-центр: экономическая целесообразность и практическая реализация Создавать собственный SOC – это как строить собственный дата-центр: дорого и долго. В мире, где кибератаки стали повседневностью, время – ваш главный ресурс. Коммерческий SOC – это страховка, которая начинает работать сразу. Вы получаете готовый результат, экономите миллионы рублей и можете сконцентри- роваться на своем бизнесе, а не на управлении безопасностью. При выборе между созданием собственного SOC и использованием коммерческого центра ключевым фак- тором становится экономическая целесообразность. Формирование бюджета начинается с определения ориентиров, в рамках которых вообще имеет смысл рассматривать тот или иной вариант. Для небольших организаций, где объем событий не превышает примерно 500 EPS и требуется мониторинг порядка 500 активов, нижняя планка затрат на коммерческий SOC составляет около 5 млн руб. в год. Для компаний среднего масштаба, работающих с нагрузкой порядка 4 тыс. EPS и инфраструктурой из примерно 4 тыс. активов, годовой бюджет может достигать 35 млн руб. Таким образом, экономический диапа- зон от минимальных до максимальных значений задает рамки, внутри которых организация может принимать взвешен- ное решение о целесообразности собст- венного SOC или перехода на аутсор- синг. Если компания решает строить SOC своими силами при масштабе около 4 тыс. активов, расходы складываются из нескольких крупных блоков. Во-первых, капитальные затраты на внедрение SIEM и создание инфраструк- туры – от 15 до 25 млн руб. Во-вторых, операционные расходы: команда из 12– 15 специалистов обойдется в 18–25 млн руб. ежегодно. Дополнительно нужно закладывать 2–3 млн руб. в год на обучение и сертификацию сотрудников. В сумме собственный SOC обходится компании в 35–53 млн руб. ежегодно. Коммерческий SOC при тех же мас- штабах работает по иному принципу: организация платит единый тариф – до 35 млн руб. в год. При этом в стоимость уже включены все необходимые компо- ненты безопасности, а капитальные затраты полностью отсутствуют. Одним из ключевых преимуществ коммерческого SOC является уровень экспертизы. Клиент получает доступ к команде аналитиков, специализирую- щихся на различных типах атак, обла- дающих отраслевыми компетенциями в финансовом секторе, ретейле и про- мышленности. Провайдер берет на себя постоянное обучение сотрудников, а сама команда опирается на обширную базу знаний, сформированную на осно- ве анализа тысяч инцидентов. Для сравнения: содержание внутренней команды из трех Senior-аналитиков обходится компании в 6–8 млн руб. в год, тогда как коммерческий SOC предоставляет доступ к экспертности более десятка специалистов в рамках единого тарифа. Второе важное преимущество ком- мерческого SOC заключается в техно- 20 • СПЕЦПРОЕКТ Ваш SOC или наш? Как не переплатить за кибербезопасность елать SOC самостоятельно или передавать его внешнему про- вайдеру – дилемма многих организаций. Найти для себя наи- более оптимальный вариант можно, сравнив бюджеты, сроки запуска, качество аналитики и долгосрочные издержки. Д Константин Хитрово, менеджер GSOC компании “Газинформсервис” Табл. Детализация верхней границы бюджета (35 млн руб. в год) Фото: Газинформсервис Компонент услуги Стоимость (млн руб./год) Описание Мониторинг 4 тыс. активов 15–18 Круглосуточный мониторинг всей инфра- структуры Обработка 4 тыс. EPS 8–10 Высокопроизводительная платформа Расширенная аналитика 5–7 UEBA, Threat Intelligence, охотник за угрозами Кастомизация и интеграция 3–5 Адаптация под бизнес-процессы