Контакты
Подписка 2025
Статьи по информационной безопасности

Роль SOC в безопасности критической информационной инфраструктуры

Константин Саматов, 10/12/20

Вопросами, связанными с созданием и функционированием SOC (Security Operations Center), сейчас активно интересуются практически все организации, попавшие под действие Федерального закона “О безопасности критической информационной инфраструктуры”. В этой статье я расскажу о роли SOC в выполнении требований данного федерального закона, уделяя внимание наиболее часто встречающимся в его практике вопросам.

Автор: Константин Саматов, эксперт по кибербезопасности Уральского центра систем безопасности, руководитель комитета по безопасности КИИ, член правления Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова

Обязателен ли SOC для выполнения требований по КИИ?

Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 No 187-ФЗ (далее – закон о безопасности КИИ) возложил на субъекты критической информационной инфраструктуры обязанности, связанные с реагированием на компьютерные атаки на принадлежащие им объекты КИИ и информированием уполномоченного органа (ФСБ России) о компьютерных инцидентах.

В рамках исполнения перечисленных выше обязанностей резкий стимул к развитию получило направление центров мониторинга и реагирования на инциденты информационной безопасности, продвигаемое маркетологами провайдеров данной услуги под аббревиатурой SOC (Security Operations Center).

Для правильного понимания сущности SOC1 мне хотелось бы обратить внимание на два момента:

  1. Центры мониторинга и реагирования – это не новация, про них известно уже много лет, и многие зрелые с точки зрения информационной безопасности компании (например, ГК "Росатом", ПАО "Газпром", ГК "Ростех")2 имели такие центры еще до принятия закона о безопасности КИИ.
  2. Для выполнения требований закона о безопасности КИИ на текущий момент можно обойтись без SOC. Так, закон о безопасности КИИ содержит следующие нормы, касающиеся событий и инцидентов информационной безопасности:
    1. Ст. 9 закона о безопасности КИИ:
      1. незамедлительно информировать о компьютерных инцидентах ФСБ России и (или) Центральный Банк России в порядке, установленном приказом ФСБ России от 19.06.2019 No 282;
      2. оказывать содействие должностным лицам ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов;
      3. в случае установки на объектах КИИ средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, обеспечивать выполнение порядка технических условий установки и эксплуатации таких средств, их сохранность;
      4. реагировать на компьютерные инциденты в порядке, утвержденном приказом ФСБ России от 19.06.2019 No 282, принимать меры по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ.
    2. Ст. 10 закона о безопасности КИИ предусматривает обеспечение непрерывного взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

Таким образом, видно, что указанные требования не содержат обязанности субъекта КИИ по созданию центров мониторинга и реагирования.

Возникает вопрос: какова роль SOC в безопасности КИИ и почему с принятием закона о безопасности КИИ к теме центров мониторинга и реагирования повысился интерес?

Чем вызван интерес к теме SOC?

По моему мнению, интерес к данной теме обусловлен двумя причинами:

  1. Общемировые тенденции, связанные с постоянным изменением (совершенствованием) информационных технологий (процессы обработки информации и способы их осуществления) и, как следствие, постоянным появлением новых угроз информационной безопасности, привели к пониманию того, что на практике невозможно создать абсолютно защищенную информационную инфраструктуру, необходимо создавать систему раннего предупреждения о компьютерном нападении.
  2. Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), основной организационно-технической составляющей которой являются центры обнаружения, предупреждения и ликвидации последствий компьютерных атак3, непрерывное взаимодействие с которой обязан обеспечить субъект КИИ в рамках исполнения обязанностей, возложенных на него законодательством.

Таким образом, несмотря на то, что закон о безопасности КИИ не содержит прямого указания на создание центров мониторинга и реагирования, обеспечить оперативный ответ на происходящую на критическую информационную инфраструктуру компьютерную атаку на ранних этапах и обеспечить оптимальное взаимодействие с ГосСОПКА для субъектов КИИ, имеющих множество взаимосвязанных между собой объектов информационной инфраструктуры, без участия SOC будет невозможно.

Из вышеизложенного вытекает вопрос о том, в каких же все-таки случаях создание центра мониторинга и реагирования необходимо, а в каких без него можно обойтись.

Кому действительно нужен SOC и какие варианты реализации выбрать?

Основными критериями для ответа на этот вопрос будут служить масштаб организации, то есть количество принадлежащих ей объектов КИИ, и наличие связи указанных объектов с внешними сетями.

Так, если все объекты представляют собой изолированные от внешних сетей системы, то создание для них системы мониторинга (по сути, связывание в единую систему) приведет к появлению новых угроз: все системы станут взаимосвязаны и неблагоприятное воздействие на одну из них (например, заражение вредоносным кодом со съемного носителя) может привести к воздействию на все остальные. Если количество объектов КИИ невелико (5–10) и они находятся в пределах одной контролируемой зоны, то осуществлять контроль за указанной инфраструктурой можно и без создания отдельного специализированного центра.

Если же субъект КИИ обладает большим количеством объектов, они территориально распределены и имеют подключение к сетям связи общего доступа, то вопрос создания собственного центра мониторинга и реагирования или передачи функций в части мониторинга и управления событиями (инцидентами) провайдеру услуг SOC уже становится актуальным, потому что обеспечить адекватный мониторинг и своевременное реагирование на компьютерные атаки и компьютерные инциденты в большой и сложной информационной инфраструктуре без использования Security Operations Center становится невозможным.

Следует отметить, что создавать собственный центр мониторинга и реагирования даже в этом случае не обязательно, можно воспользоваться услугами провайдера SOC, которых на рынке существует множество. Следовательно, для многих субъектов КИИ актуальным становится вопрос о том, какой из указанных вариантов всетаки выбрать. В каждом конкретном случае, исходя из особенностей деловых процессов организации, имеющегося бюджета на информационную безопасность и сроков, должно приниматься отдельное решение.

В качестве сильных и слабых сторон обоих вариантов можно отметить следующие моменты.

Аутсорсинг услуг центра мониторинга и реагирования у специализированного провайдера

Первый и, пожалуй, основной плюс данного варианта – это низкие временные затраты на внедрение функционала SOC в организации. Однако здесь следует иметь в виду, что некоторое время на развертывание минимальной инфраструктуры центра мониторинга и реагирования, которая будет осуществлять взаимодействие информационной инфраструктуры субъекта КИИ с провайдером, все же понадобится.

Второй плюс – отсутствие необходимости в комплектовании специалистами штата компании, включая круглосуточную смену, наличие издержек на их содержание и обучение, в том числе повышение квалификации.

В качестве третьего плюса можно отметить выстроенные и зрелые процессы управления, реагирования и взаимодействия. Однако здесь следует помнить, что многие специализированные компании, осуществляющие деятельность в сфере информационной безопасности, начали оказывать услуги SOC ввиду популярности этой тематики, не имея опыта и экспертизы в данном направлении. Поэтому при выборе провайдера необходимо изучить его конкретный опыт.

На этом положительные моменты аутсорсинга услуг SOC заканчиваются, и начинаются отрицательные. Основным и, пожалуй, главным из отрицательных моментов является то, что ответственность за своевременное выявление, реагирование на компьютерные инциденты и информирование ФСБ России несет субъект КИИ, а не провайдер услуг SOC, и, что бы ни рассказывали маркетологи провайдера про то, как можно закрепить за ним ответственность, основные риски, в частности привлечение к уголовной ответственности, будет нести субъект КИИ.

Следующим отрицательным моментом является сложность контроля провайдера услуг SOC. Деятельность сторонней организации, как правило, контролируется только в той части, в которой это прописано в договоре. При этом не всегда можно реально проконтролировать, как фактически осуществляет работу подрядчик, а следовательно ошибки в работе подрядчика, повлиять на которые субъект КИИ не сможет, могут привести к неблагоприятным для него последствиям.

Ну и в качестве последнего минуса стоит отметить полную утрату компетенций в случае отказа от услуг провайдера, что может происходить по различным причинам, например из-за резкого сокращения финансирования мероприятий по информационной безопасности либо принятия руководством ("новым руководством") организации решения о том, что не стоит тратить бюджеты на внешнего подрядчика, а служба информационной безопасности должна выполнять подобные работы своими силами.

Создание собственного центра мониторинга и реагирования субъектом КИИ

В качестве основного плюса такого подхода можно отметить создание единого центра компетенций по обеспечению безопасности КИИ и реагированию на компьютерные инциденты. Однако следует иметь в виду, что создание процессов, формирование команды и внедрение технических средств, как правило, бывает длительным и затратным (финансы, трудозатраты).

Следующим положительным моментом создания собственного центра мониторинга и реагирования является оптимизация процессов управления информационной безопасностью и штата сотрудников, задействованных в процессах обеспечения безопасности КИИ и реализации функций SOC.

В качестве отрицательного момента можно отметить в первую очередь значительные затраты на формирование штата квалифицированных сотрудников, внедрение технических средств, выстраивание и совершенствование процессов, а также длительность создания SOC.

Кроме того, если предполагается создание единого центра мониторинга и реагирования для холдинговой структуры (объединение нескольких юридических лиц под единым руководством), то необходимо получение лицензии ФСТЭК России на оказание услуг по мониторингу информационной безопасности средств и систем информатизации.

В качестве вывода следует отметить, что центры мониторинга и реагирования представляют собой систему раннего предупреждения о компьютерном нападении, способную на ранних стадиях выявлять атаки на информационную инфраструктуру субъекта КИИ и осуществлять мероприятия по реагированию и нейтрализации последствий компьютерных атак, предотвращая негативное воздействие и тем самым осуществляя предупреждение нарушения функционирования объектов КИИ, таким образом не допуская компьютерных инцидентов. 

  1. Вопросы, касающиеся того, что такое SOC, какова его структура и функции, рассматривались в статье: Саматов К.М. SOC в действии // Information Security/Информационная безопасность. 2019. No 5. С. 24–25.
  2. Петренко С.А., Ступин Д.Д. Национальная система раннего предупреждения о компьютерном нападении: научная монография / под общей редакцией С.Ф. Боева. Университет Иннополис. – Иннополис: “Издательский Дом “Афина", 2017. – С. 16.
  3. П. 9. Выписки из Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (утв. президентом РФ 12.12.2014 г. No К 1274).
Темы:SOCКИИЖурнал "Информационная безопасность" №5, 2020

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Защищенный удаленный доступ: технологии безопасной дистанционной работы
Материалы конференции Форума ITSEC 2025 →
Статьи по той же темеСтатьи по той же теме

  • Случился инцидент – вы готовы к реагированию?
    Марсель Айсин, руководитель BI.ZONE SOC Consulting
    Очередная статья цикла публикаций о ключевых аспектах функционирования SOC посвящена реагированию на инциденты и их расследованию. Автор подготовил чек-лист, который поможет вам оценить свою готовность к реагированию.
  • Анализ событий в SOC: что важно?
    Андрей Дудин, эксперт по мониторингу и анализу инцидентов кибербезопасности BI.ZONE TDR
    Компания по управлению цифровыми рисками BI.ZONE совместно с “Информационной безопасностью” продолжает цикл публикаций о ключевых аспектах функционирования SOC. Предыдущие две статьи были посвящены покрытию мониторингом ИТ-инфраструктуры и обнаружению угроз. В третьем материале цикла расскажем об анализе событий.
  • Новый ГОСТ изменит работу с ИИ в критической информационной инфраструктуре
    Николай Павлов, архитектор MLSecOps, преподаватель Академии Softline (ГК Softline)
    ФСТЭК России опубликовала проект ГОСТ Р, устанавливающий правила обеспечения безопасности ИИ-систем в ключевых отраслях – от энергетики и транспорта до финансов и здравоохранения. При этом стоимость несоблюдения новых правил может оказаться значительной: это не только риски утечек конфиденциальных данных, но и штрафы, и потеря репутации.
  • Обнаружение угроз в SOC: что влияет на эффективность
    Андрей Шаляпин, руководитель BI.ZONE TDR
    Во втором материале цикла расскажем о ключевой функции SOC – обнаружении угроз и киберинцидентов, ради которой и организуется постоянный мониторинг безопасности. Без эффективного обнаружения угроз все остальные процессы в рамках SOC лишены смысла. От чего же зависит эффективность обнаружения?
  • Покрытие мониторингом ИТ-инфраструктуры: как выбрать оптимальный уровень
    Марсель Айсин, руководитель BI.ZONE SOC Consulting
    Компания BI.ZONE совместно с журналом “Информационная безопасность” запускает цикл публикаций о ключевых аспектах функционирования SOC. И при строительстве собственного центра мониторинга, и при взаимодействии с внешним провайдером (MSSP) организации могут допустить ошибки, которые повлияют на эффективность защиты. Эксперты подробно разберут семь направлений работы SOC, а также расскажут о распространенных проблемах, с которыми сталкиваются компании.
  • Аутсорсинг SOC для АСУ ТП: выход или угроза?
    Идея аутсорсинга SOC в промышленности все чаще обсуждается как способ повысить устойчивость и снизить затраты. Однако эксперты сходятся во мнении: применять эту модель в индустриальной сфере напрямую, по шаблону ИТ-инфраструктур, рискованно. Промышленные процессы требуют не просто мониторинга инцидентов, а глубокого понимания технологической специфики и особенностей функционирования АСУ ТП. 

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Материалы конференции →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Материалы конференции →

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"

Политика конфиденциальности
Согласие на обработку персональных данных