Контакты
Подписка 2025

Что лучше: свой SOC или внешний?

Константин Саматов, 24/03/23

Вопрос создания и функционирования центров мониторинга и реагирования на инциденты информационной безопасности является актуальным для многих компаний уже более четырех лет. Крупные организации, прежде всего субъекты критической информационной инфраструктуры, создали собственные центры или пользуются услугами специализированных компаний. Но некоторые предприятия все еще пытаются понять, как правильно выстроить процессы мониторинга и реагирования на инциденты, что делать самим, а что передать на аутсорсинг, – рассмотрим несколько подходов к решению этого вопроса.

Автор: Константин Саматов, руководитель комитета по безопасности КИИ, член Правления Ассоциации руководителей служб информационной безопасности

Немного теории

Вспомним, что из себя представляет SOC.

SOC (Security Operation Center) – аббревиатура, принятая в российском деловом сообществе, скорее всего придуманная маркетологами, используемая для обозначения центров мониторинга и реагирования на инциденты информационной безопасности. Существует мнение, что аббревиатура SOC абсолютно неверно используется, потому что в ней нет и намека на информационную безопасность. Тем не менее это практичнее, чем длинное название "центр мониторинга и реагирования на инциденты информационной безопасности" или даже его сокращение – ЦМРИИ.

Классический SOC базируется на триаде "люди, процессы, технологии" и имеет три уровня (см. таблицу).

table-1

Помимо линий, в SOC есть руководитель, осуществляющий функции управления, координации и контроля.

В зависимости от наличия этих линий SOC бывают разных классов, от начального, где в наличии только первая линия, до выполняющего полный набор функций, имеющего все три линии.

Кроме того, существуют различные уровни зрелости SOC [2]. Чем выше уровень, тем более зрелым, функциональным и совершенным является SOC.

Переведя теоретические знания в практическую плоскость, можно ответить на вопрос "Что делать самим, а что передать на аутсорсинг?".

soc_image

Внутренний и внешний SOC

Принято считать, что есть три варианта SOC:

  1. Внутренний (собственный) – все процессы мониторинга и реагирования на инциденты обеспечиваются самой организацией (далее – заказчик).
  2. Внешний (аутсорсинговый) – реализацию всех процессов передают стороннему юридическому лицу, специализированной организации, имеющей соответствующую лицензию, а в недалеком будущем еще и аккредитацию (далее – подрядчик).
  3. Смешанный (гибридный) – часть процессов заказчик выполняет самостоятельно, а часть передает подрядчику.

Из анализа структуры SOC понятно, что невозможно передать подрядчику полностью все реализуемые процессы. Очевидно, что руководство деятельностью и контроль в части процессов мониторинга и реагирования должен осуществлять сотрудник заказчика. Такая же ситуация в части функций взаимодействия с пользователями информационных ресурсов и правовым обеспечением деятельности SOC – они не могут быть переданы, по крайней мере, в полном объеме. Таким образом, аутсорсинга всех процессов SOC на практике не существует. Заказчик всегда делает выбор между набором функций, выполняемых собственными силами, и передающимися внешней организации.

Какие процессы SOC целесообразно оставлять у себя, а какие – передавать на аутсорсинг?

Анализ структуры SOC показывает, что выполнять собственными силами необходимо следующие функции:

  • Руководство, координацию и контроль действий своих работников и сотрудников подрядчика.
  • Взаимодействие с пользователями. Никто лучше "собственных" работников не знает пользователей, да и доверие пользователей к своим коллегам гораздо выше, чем к внешним.
  • Взаимодействие с другими SOC и НКЦКИ. Всегда лучше выстраивать отношения с коллегами по отрасли самостоятельно и следить, какая информация передается регуляторам.
  • Нормативно-правовое сопровождение деятельности. Договорно-правовая и претензионная работа, а также сопровождение мероприятий, связанных с последствиями инцидентов, в суде эффективно будет осуществляться только "собственными" юристами компании. Кроме того, большинство провайдеров SOC подобные услуги не предоставляют (не горят желанием предоставлять).

Силами подрядчика целесообразно проводить экспертизу по различным направлениям, связанным с расследованием инцидентов. Такие услуги лучше приобретать у провайдера SOC по мере необходимости, так как экономически невыгодно содержать штат узкоспециализированных экспертов, ведь экспертиза требуется не повседневно, а лишь для конкретных случаев. Например, ежедневная криминалистическая экспертиза и каждодневный анализ вредоносного программного обеспечения в обычных условиях функционирования организации не требуется.

В части остальных процессов SOC решение об их передаче подрядчику будет в каждом конкретном случае и для каждого конкретного заказчика различным. Иными словами, руководитель службы информационной безопасности компании должен провести анализ плюсов и минусов (можно еще и нейтральных сторон) передачи той или иной функции на аутсорсинг.

Типовые, часто озвучиваемые плюсы и минусы передачи функций

Плюсы аутсорсинга:

  1. Нет необходимости получать лицензию на услуги по мониторингу автоматизированных систем, аккредитацию (с 2023 г.) ФСБ России. Для собственного SOC такая лицензия не требуется. Оказание услуг относится к гражданскому праву и означает, что одно юридическое лицо по договору выполняет какие-то действия для другого юридического лица. Лицензированию подлежат взаимоотношения двух юридических лиц в рамках функционирования SOC. Что касается аккредитации, то уже неоднократно публично давались разъяснения со стороны регуляторов о том, что к ней применим такой же принцип, как и к лицензии: аккредитация требуется лишь для SOC, оказывающих услуги сторонним юридическим лицам, то есть для собственных нужд аккредитация не требуется.
  2. Отсутствие издержек на технические решения. Не совсем так. Подрядчику обычно требуется, чтобы технические решения, осуществляющие сбор событий с компонентов информационной инфраструктуры, находились на территории заказчика. Это означает, что со стороны заказчика потребуются определенные вложения: либо аренда технического решения, либо внедрение своей системы мониторинга событий с предоставлением доступа подрядчику.
  3. Отсутствие затрат на постоянное обучение и повышение квалификации работников SOC, решение (отсутствие) проблемы текучки кадров. Пожалуй, это можно назвать единственным неоспоримым плюсом.
  4. Нет необходимости в выстраивании процессов (см. таблицу) с нуля – все это уже есть у подрядчика. Все так, но потребуется адаптация процессов под особенности заказчика. Кроме того, передача функций вовне неизбежно влечет за собой риски их возможной утраты, поэтому необходимо обратить внимание и на отрицательные стороны такого решения.

Минусы аутсорсинга:

  1. Утеря функционала в случае отказа от услуг подрядчика. При невозможности оплачивать услуги (сокращение, перераспределение статей бюджета) или отказе от услуг подрядчика по причине разочарования в его компетенциях переданные вовне функции будут одномоментно утрачены.
  2. Сложность контроля. Деятельность сторонней организации, как правило, контролируется только в той части, которая прописана в договоре. При этом не всегда можно реально проследить, как фактически осуществляет работу подрядчик. Ошибки в работе, повлиять на которые заказчик не может, могут привести к неблагоприятным последствиям.
  3. Невозможность делегировать ответственность. Юридическую ответственность за нарушение требований законодательства в любом случае несет заказчик. Убытки вследствие инцидентов также не получится переложить на подрядчика. По гражданскому законодательству за качество сервиса он отвечает только в пределах стоимости контракта, а услуги страхования киберрисков провайдеры SOC на текущий момент не предоставляют, так как это отдельная лицензируемая деятельность, это направление на отечественном страховом рынке пока не развито.

Долго и дорого

Последний момент, на который следует обратить внимание: свой SOC – это всегда долго и дорого: такое мнение транслируют представители подрядчиков практически на каждой конференции по информационной безопасности. Но так ли это? Ответить на этот вопрос снова поможет теория.

Есть различные уровни зрелости SOC: создание SOC 4-го уровня зрелости в среднем займет у компании порядка трех лет, но SOC 1-го уровня зрелости можно сделать практически за 2–3 месяца, получив функционал, позволяющий мониторить критичные системы и осуществлять первичное реагирование на атаки и инциденты. Кстати, аналогичный срок обычно требуется и подрядчику для подключения инфраструктуры заказчика к своему SOC.

Что касается "дорого", то это понятие – не более чем баланс статей на обеспечение информационной безопасности в бюджете организации – капитальных и оперативных затрат. Услуги внешнего SOC отнюдь не дешевы, а внутренний SOC может строиться постепенно. При аутсорсинге всегда есть риск "потери" оперативных затрат и, как следствие, части функционала; такого риска нет в случае с собственным SOC.

В сухом остатке

Так что же все-таки лучше, свой SOC или внешний? Безусловно, ответ на этот вопрос сугубо индивидуален для каждой конкретной организации (руководителя службы информационной безопасности), но в основе его лежит общее правило: необходимо посмотреть на процессы SOC и оценить, какие из них выгодно передать на аутсорсинг, а какие – выгодно оставить "себе".


  1. НКЦКИ – Национальный координационный центр по компьютерным инцидентам.
  2. Пример уровней зрелости SOC можно посмотреть в статье: Саматов К.М. SOC в действии // Information Security/Информационная безопасность. 2019. No 5. С. 24–25.
Темы:SOCНКЦКИаутсорсингЖурнал "Информационная безопасность" №5, 2022

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • EDR как инструмент эффективного реагирования глазами экспертов
    Современные решения класса EDR (Endpoint Detection and Response) становятся частым инструментом для повышения эффективности работы аналитиков SOC. Они не только автоматизируют задачи обнаружения и реагирования на угрозы, но и минимизируют влияние человеческого фактора, ускоряя обработку инцидентов. Редакция журнала “Информационная безопасность" опросила экспертов по актуальным аспектам развития EDR-решений.
  • Зарисовки о реагировании на инциденты в SOC UserGate
    Дмитрий Шулинин, руководитель SOC UserGate
    Основная задача SOC – своевременно обнаруживать и нейтрализовывать инциденты, предотвращая их дальнейшее распространение и минимизируя ущерб для бизнеса. Однако процесс реагирования требует не только высоких профессиональных навыков специалистов, но также инструментария и четкого алгоритма действий, выработанного специально для каждой инфраструктуры. Рассмотрим несколько аспектов реагирования на инциденты из опыта SOC UserGate.
  • Как технологии EDR помогают SOC: теория и практика
    Рассмотрим, почему традиционные SOC могут не справляться с потоком событий ИБ и как современные технологии и продукты класса Endpoint Detection and Response (EDR) способны упростить работу аналитиков.
  • О роли SOC, EDR и XDR на пути к оптимальной безопасности
    Артем Кириллин, Заместитель директора департамента мониторинга, реагирования и исследования киберугроз BI.ZONE
    Артем Кириллин, заместитель директора департамента мониторинга, реагирования и исследования киберугроз BI.ZONE, рассказал о том, какие технологии обеспечивают высокую эффективность SOC, как выбрать провайдера (MSSP) и правда ли, что будущее за XDR.
  • Стать ИБ-аналитиком: Анастасия Ершова об обучении, услуге ИБ-аутсорсинга, задачах и препятствиях на пути к цели
    Анастасия Ершова, Аналитик информационной безопасности "Джи-Эс-Ти" (GST)
    Аналитик информационной безопасности «Джи-Эс-Ти» (GST) Анастасия Ершова рассказала, почему выбрала для работы направление ИБ-аутсорсинга, когда работа с заказчиками приносит максимальный результат и какие задачи ей приходится решать ежедневно – от рутинных дел до экстренных ситуаций.
  • UserGate представила новые модели устройств, услуги и поделилась другими достижениями
    Как обычно, в конце апреля в рамках V ежегодной конференции UserGate 2024 компания представила новинки – устройства, сервисы, услуги, а также отчиталась о других достижениях.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...