Контакты
Подписка 2024

Роль SOC в безопасности критической информационной инфраструктуры

Константин Саматов, 10/12/20

Вопросами, связанными с созданием и функционированием SOC (Security Operations Center), сейчас активно интересуются практически все организации, попавшие под действие Федерального закона “О безопасности критической информационной инфраструктуры”. В этой статье я расскажу о роли SOC в выполнении требований данного федерального закона, уделяя внимание наиболее часто встречающимся в его практике вопросам.

Автор: Константин Саматов, эксперт по кибербезопасности Уральского центра систем безопасности, руководитель комитета по безопасности КИИ, член правления Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова

Обязателен ли SOC для выполнения требований по КИИ?

Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 No 187-ФЗ (далее – закон о безопасности КИИ) возложил на субъекты критической информационной инфраструктуры обязанности, связанные с реагированием на компьютерные атаки на принадлежащие им объекты КИИ и информированием уполномоченного органа (ФСБ России) о компьютерных инцидентах.

В рамках исполнения перечисленных выше обязанностей резкий стимул к развитию получило направление центров мониторинга и реагирования на инциденты информационной безопасности, продвигаемое маркетологами провайдеров данной услуги под аббревиатурой SOC (Security Operations Center).

Для правильного понимания сущности SOC1 мне хотелось бы обратить внимание на два момента:

  1. Центры мониторинга и реагирования – это не новация, про них известно уже много лет, и многие зрелые с точки зрения информационной безопасности компании (например, ГК "Росатом", ПАО "Газпром", ГК "Ростех")2 имели такие центры еще до принятия закона о безопасности КИИ.
  2. Для выполнения требований закона о безопасности КИИ на текущий момент можно обойтись без SOC. Так, закон о безопасности КИИ содержит следующие нормы, касающиеся событий и инцидентов информационной безопасности:
    1. Ст. 9 закона о безопасности КИИ:
      1. незамедлительно информировать о компьютерных инцидентах ФСБ России и (или) Центральный Банк России в порядке, установленном приказом ФСБ России от 19.06.2019 No 282;
      2. оказывать содействие должностным лицам ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов;
      3. в случае установки на объектах КИИ средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, обеспечивать выполнение порядка технических условий установки и эксплуатации таких средств, их сохранность;
      4. реагировать на компьютерные инциденты в порядке, утвержденном приказом ФСБ России от 19.06.2019 No 282, принимать меры по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ.
    2. Ст. 10 закона о безопасности КИИ предусматривает обеспечение непрерывного взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

Таким образом, видно, что указанные требования не содержат обязанности субъекта КИИ по созданию центров мониторинга и реагирования.

Возникает вопрос: какова роль SOC в безопасности КИИ и почему с принятием закона о безопасности КИИ к теме центров мониторинга и реагирования повысился интерес?

Чем вызван интерес к теме SOC?

По моему мнению, интерес к данной теме обусловлен двумя причинами:

  1. Общемировые тенденции, связанные с постоянным изменением (совершенствованием) информационных технологий (процессы обработки информации и способы их осуществления) и, как следствие, постоянным появлением новых угроз информационной безопасности, привели к пониманию того, что на практике невозможно создать абсолютно защищенную информационную инфраструктуру, необходимо создавать систему раннего предупреждения о компьютерном нападении.
  2. Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), основной организационно-технической составляющей которой являются центры обнаружения, предупреждения и ликвидации последствий компьютерных атак3, непрерывное взаимодействие с которой обязан обеспечить субъект КИИ в рамках исполнения обязанностей, возложенных на него законодательством.

Таким образом, несмотря на то, что закон о безопасности КИИ не содержит прямого указания на создание центров мониторинга и реагирования, обеспечить оперативный ответ на происходящую на критическую информационную инфраструктуру компьютерную атаку на ранних этапах и обеспечить оптимальное взаимодействие с ГосСОПКА для субъектов КИИ, имеющих множество взаимосвязанных между собой объектов информационной инфраструктуры, без участия SOC будет невозможно.

Из вышеизложенного вытекает вопрос о том, в каких же все-таки случаях создание центра мониторинга и реагирования необходимо, а в каких без него можно обойтись.

Кому действительно нужен SOC и какие варианты реализации выбрать?

Основными критериями для ответа на этот вопрос будут служить масштаб организации, то есть количество принадлежащих ей объектов КИИ, и наличие связи указанных объектов с внешними сетями.

Так, если все объекты представляют собой изолированные от внешних сетей системы, то создание для них системы мониторинга (по сути, связывание в единую систему) приведет к появлению новых угроз: все системы станут взаимосвязаны и неблагоприятное воздействие на одну из них (например, заражение вредоносным кодом со съемного носителя) может привести к воздействию на все остальные. Если количество объектов КИИ невелико (5–10) и они находятся в пределах одной контролируемой зоны, то осуществлять контроль за указанной инфраструктурой можно и без создания отдельного специализированного центра.

Если же субъект КИИ обладает большим количеством объектов, они территориально распределены и имеют подключение к сетям связи общего доступа, то вопрос создания собственного центра мониторинга и реагирования или передачи функций в части мониторинга и управления событиями (инцидентами) провайдеру услуг SOC уже становится актуальным, потому что обеспечить адекватный мониторинг и своевременное реагирование на компьютерные атаки и компьютерные инциденты в большой и сложной информационной инфраструктуре без использования Security Operations Center становится невозможным.

Следует отметить, что создавать собственный центр мониторинга и реагирования даже в этом случае не обязательно, можно воспользоваться услугами провайдера SOC, которых на рынке существует множество. Следовательно, для многих субъектов КИИ актуальным становится вопрос о том, какой из указанных вариантов всетаки выбрать. В каждом конкретном случае, исходя из особенностей деловых процессов организации, имеющегося бюджета на информационную безопасность и сроков, должно приниматься отдельное решение.

В качестве сильных и слабых сторон обоих вариантов можно отметить следующие моменты.

Аутсорсинг услуг центра мониторинга и реагирования у специализированного провайдера

Первый и, пожалуй, основной плюс данного варианта – это низкие временные затраты на внедрение функционала SOC в организации. Однако здесь следует иметь в виду, что некоторое время на развертывание минимальной инфраструктуры центра мониторинга и реагирования, которая будет осуществлять взаимодействие информационной инфраструктуры субъекта КИИ с провайдером, все же понадобится.

Второй плюс – отсутствие необходимости в комплектовании специалистами штата компании, включая круглосуточную смену, наличие издержек на их содержание и обучение, в том числе повышение квалификации.

В качестве третьего плюса можно отметить выстроенные и зрелые процессы управления, реагирования и взаимодействия. Однако здесь следует помнить, что многие специализированные компании, осуществляющие деятельность в сфере информационной безопасности, начали оказывать услуги SOC ввиду популярности этой тематики, не имея опыта и экспертизы в данном направлении. Поэтому при выборе провайдера необходимо изучить его конкретный опыт.

На этом положительные моменты аутсорсинга услуг SOC заканчиваются, и начинаются отрицательные. Основным и, пожалуй, главным из отрицательных моментов является то, что ответственность за своевременное выявление, реагирование на компьютерные инциденты и информирование ФСБ России несет субъект КИИ, а не провайдер услуг SOC, и, что бы ни рассказывали маркетологи провайдера про то, как можно закрепить за ним ответственность, основные риски, в частности привлечение к уголовной ответственности, будет нести субъект КИИ.

Следующим отрицательным моментом является сложность контроля провайдера услуг SOC. Деятельность сторонней организации, как правило, контролируется только в той части, в которой это прописано в договоре. При этом не всегда можно реально проконтролировать, как фактически осуществляет работу подрядчик, а следовательно ошибки в работе подрядчика, повлиять на которые субъект КИИ не сможет, могут привести к неблагоприятным для него последствиям.

Ну и в качестве последнего минуса стоит отметить полную утрату компетенций в случае отказа от услуг провайдера, что может происходить по различным причинам, например из-за резкого сокращения финансирования мероприятий по информационной безопасности либо принятия руководством ("новым руководством") организации решения о том, что не стоит тратить бюджеты на внешнего подрядчика, а служба информационной безопасности должна выполнять подобные работы своими силами.

Создание собственного центра мониторинга и реагирования субъектом КИИ

В качестве основного плюса такого подхода можно отметить создание единого центра компетенций по обеспечению безопасности КИИ и реагированию на компьютерные инциденты. Однако следует иметь в виду, что создание процессов, формирование команды и внедрение технических средств, как правило, бывает длительным и затратным (финансы, трудозатраты).

Следующим положительным моментом создания собственного центра мониторинга и реагирования является оптимизация процессов управления информационной безопасностью и штата сотрудников, задействованных в процессах обеспечения безопасности КИИ и реализации функций SOC.

В качестве отрицательного момента можно отметить в первую очередь значительные затраты на формирование штата квалифицированных сотрудников, внедрение технических средств, выстраивание и совершенствование процессов, а также длительность создания SOC.

Кроме того, если предполагается создание единого центра мониторинга и реагирования для холдинговой структуры (объединение нескольких юридических лиц под единым руководством), то необходимо получение лицензии ФСТЭК России на оказание услуг по мониторингу информационной безопасности средств и систем информатизации.

В качестве вывода следует отметить, что центры мониторинга и реагирования представляют собой систему раннего предупреждения о компьютерном нападении, способную на ранних стадиях выявлять атаки на информационную инфраструктуру субъекта КИИ и осуществлять мероприятия по реагированию и нейтрализации последствий компьютерных атак, предотвращая негативное воздействие и тем самым осуществляя предупреждение нарушения функционирования объектов КИИ, таким образом не допуская компьютерных инцидентов. 


  1. Вопросы, касающиеся того, что такое SOC, какова его структура и функции, рассматривались в статье: Саматов К.М. SOC в действии // Information Security/Информационная безопасность. 2019. No 5. С. 24–25.
  2. Петренко С.А., Ступин Д.Д. Национальная система раннего предупреждения о компьютерном нападении: научная монография / под общей редакцией С.Ф. Боева. Университет Иннополис. – Иннополис: “Издательский Дом “Афина", 2017. – С. 16.
  3. П. 9. Выписки из Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (утв. президентом РФ 12.12.2014 г. No К 1274).
Темы:SOCКИИЖурнал "Информационная безопасность" №5, 2020

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать