Роль SOC в безопасности критической информационной инфраструктуры

Вопросами, связанными с созданием и функционированием SOC (Security Operations Center), сейчас активно интересуются практически все организации, попавшие под действие Федерального закона “О безопасности критической информационной инфраструктуры”. В этой статье я расскажу о роли SOC в выполнении требований данного федерального закона, уделяя внимание наиболее часто встречающимся в его практике вопросам.

Автор: Константин Саматов, эксперт по кибербезопасности Уральского центра систем безопасности, руководитель комитета по безопасности КИИ, член правления Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова

Обязателен ли SOC для выполнения требований по КИИ?

Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 No 187-ФЗ (далее – закон о безопасности КИИ) возложил на субъекты критической информационной инфраструктуры обязанности, связанные с реагированием на компьютерные атаки на принадлежащие им объекты КИИ и информированием уполномоченного органа (ФСБ России) о компьютерных инцидентах.

В рамках исполнения перечисленных выше обязанностей резкий стимул к развитию получило направление центров мониторинга и реагирования на инциденты информационной безопасности, продвигаемое маркетологами провайдеров данной услуги под аббревиатурой SOC (Security Operations Center).

Для правильного понимания сущности SOC¹ мне хотелось бы обратить внимание на два момента:

1. Центры мониторинга и реагирования – это не новация, про них известно уже много лет, и многие зрелые с точки зрения информационной безопасности компании (например, ГК "Росатом", ПАО "Газпром", ГК "Ростех")² имели такие центры еще до принятия закона о безопасности КИИ.
2. Для выполнения требований закона о безопасности КИИ на текущий момент можно обойтись без SOC. Так, закон о безопасности КИИ содержит следующие нормы, касающиеся событий и инцидентов информационной безопасности:
   1. Ст. 9 закона о безопасности КИИ:
      1. незамедлительно информировать о компьютерных инцидентах ФСБ России и (или) Центральный Банк России в порядке, установленном приказом ФСБ России от 19.06.2019 No 282;
      2. оказывать содействие должностным лицам ФСБ России в обнаружении, предупреждении и ликвидации последствий компьютерных атак, установлении причин и условий возникновения компьютерных инцидентов;
      3. в случае установки на объектах КИИ средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, обеспечивать выполнение порядка технических условий установки и эксплуатации таких средств, их сохранность;
      4. реагировать на компьютерные инциденты в порядке, утвержденном приказом ФСБ России от 19.06.2019 No 282, принимать меры по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ.
   2. Ст. 10 закона о безопасности КИИ предусматривает обеспечение непрерывного взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

Таким образом, видно, что указанные требования не содержат обязанности субъекта КИИ по созданию центров мониторинга и реагирования.

Возникает вопрос: какова роль SOC в безопасности КИИ и почему с принятием закона о безопасности КИИ к теме центров мониторинга и реагирования повысился интерес?

Чем вызван интерес к теме SOC?

По моему мнению, интерес к данной теме обусловлен двумя причинами:

1. Общемировые тенденции, связанные с постоянным изменением (совершенствованием) информационных технологий (процессы обработки информации и способы их осуществления) и, как следствие, постоянным появлением новых угроз информационной безопасности, привели к пониманию того, что на практике невозможно создать абсолютно защищенную информационную инфраструктуру, необходимо создавать систему раннего предупреждения о компьютерном нападении.
2. Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), основной организационно-технической составляющей которой являются центры обнаружения, предупреждения и ликвидации последствий компьютерных атак³, непрерывное взаимодействие с которой обязан обеспечить субъект КИИ в рамках исполнения обязанностей, возложенных на него законодательством.

Таким образом, несмотря на то, что закон о безопасности КИИ не содержит прямого указания на создание центров мониторинга и реагирования, обеспечить оперативный ответ на происходящую на критическую информационную инфраструктуру компьютерную атаку на ранних этапах и обеспечить оптимальное взаимодействие с ГосСОПКА для субъектов КИИ, имеющих множество взаимосвязанных между собой объектов информационной инфраструктуры, без участия SOC будет невозможно.

Из вышеизложенного вытекает вопрос о том, в каких же все-таки случаях создание центра мониторинга и реагирования необходимо, а в каких без него можно обойтись.

Кому действительно нужен SOC и какие варианты реализации выбрать?

Основными критериями для ответа на этот вопрос будут служить масштаб организации, то есть количество принадлежащих ей объектов КИИ, и наличие связи указанных объектов с внешними сетями.

Так, если все объекты представляют собой изолированные от внешних сетей системы, то создание для них системы мониторинга (по сути, связывание в единую систему) приведет к появлению новых угроз: все системы станут взаимосвязаны и неблагоприятное воздействие на одну из них (например, заражение вредоносным кодом со съемного носителя) может привести к воздействию на все остальные. Если количество объектов КИИ невелико (5–10) и они находятся в пределах одной контролируемой зоны, то осуществлять контроль за указанной инфраструктурой можно и без создания отдельного специализированного центра.

Если же субъект КИИ обладает большим количеством объектов, они территориально распределены и имеют подключение к сетям связи общего доступа, то вопрос создания собственного центра мониторинга и реагирования или передачи функций в части мониторинга и управления событиями (инцидентами) провайдеру услуг SOC уже становится актуальным, потому что обеспечить адекватный мониторинг и своевременное реагирование на компьютерные атаки и компьютерные инциденты в большой и сложной информационной инфраструктуре без использования Security Operations Center становится невозможным.

Следует отметить, что создавать собственный центр мониторинга и реагирования даже в этом случае не обязательно, можно воспользоваться услугами провайдера SOC, которых на рынке существует множество. Следовательно, для многих субъектов КИИ актуальным становится вопрос о том, какой из указанных вариантов всетаки выбрать. В каждом конкретном случае, исходя из особенностей деловых процессов организации, имеющегося бюджета на информационную безопасность и сроков, должно приниматься отдельное решение.

В качестве сильных и слабых сторон обоих вариантов можно отметить следующие моменты.

Аутсорсинг услуг центра мониторинга и реагирования у специализированного провайдера

Первый и, пожалуй, основной плюс данного варианта – это низкие временные затраты на внедрение функционала SOC в организации. Однако здесь следует иметь в виду, что некоторое время на развертывание минимальной инфраструктуры центра мониторинга и реагирования, которая будет осуществлять взаимодействие информационной инфраструктуры субъекта КИИ с провайдером, все же понадобится.

Второй плюс – отсутствие необходимости в комплектовании специалистами штата компании, включая круглосуточную смену, наличие издержек на их содержание и обучение, в том числе повышение квалификации.

В качестве третьего плюса можно отметить выстроенные и зрелые процессы управления, реагирования и взаимодействия. Однако здесь следует помнить, что многие специализированные компании, осуществляющие деятельность в сфере информационной безопасности, начали оказывать услуги SOC ввиду популярности этой тематики, не имея опыта и экспертизы в данном направлении. Поэтому при выборе провайдера необходимо изучить его конкретный опыт.

На этом положительные моменты аутсорсинга услуг SOC заканчиваются, и начинаются отрицательные. Основным и, пожалуй, главным из отрицательных моментов является то, что ответственность за своевременное выявление, реагирование на компьютерные инциденты и информирование ФСБ России несет субъект КИИ, а не провайдер услуг SOC, и, что бы ни рассказывали маркетологи провайдера про то, как можно закрепить за ним ответственность, основные риски, в частности привлечение к уголовной ответственности, будет нести субъект КИИ.

Следующим отрицательным моментом является сложность контроля провайдера услуг SOC. Деятельность сторонней организации, как правило, контролируется только в той части, в которой это прописано в договоре. При этом не всегда можно реально проконтролировать, как фактически осуществляет работу подрядчик, а следовательно ошибки в работе подрядчика, повлиять на которые субъект КИИ не сможет, могут привести к неблагоприятным для него последствиям.

Ну и в качестве последнего минуса стоит отметить полную утрату компетенций в случае отказа от услуг провайдера, что может происходить по различным причинам, например из-за резкого сокращения финансирования мероприятий по информационной безопасности либо принятия руководством ("новым руководством") организации решения о том, что не стоит тратить бюджеты на внешнего подрядчика, а служба информационной безопасности должна выполнять подобные работы своими силами.

Создание собственного центра мониторинга и реагирования субъектом КИИ

В качестве основного плюса такого подхода можно отметить создание единого центра компетенций по обеспечению безопасности КИИ и реагированию на компьютерные инциденты. Однако следует иметь в виду, что создание процессов, формирование команды и внедрение технических средств, как правило, бывает длительным и затратным (финансы, трудозатраты).

Следующим положительным моментом создания собственного центра мониторинга и реагирования является оптимизация процессов управления информационной безопасностью и штата сотрудников, задействованных в процессах обеспечения безопасности КИИ и реализации функций SOC.

В качестве отрицательного момента можно отметить в первую очередь значительные затраты на формирование штата квалифицированных сотрудников, внедрение технических средств, выстраивание и совершенствование процессов, а также длительность создания SOC.

Кроме того, если предполагается создание единого центра мониторинга и реагирования для холдинговой структуры (объединение нескольких юридических лиц под единым руководством), то необходимо получение лицензии ФСТЭК России на оказание услуг по мониторингу информационной безопасности средств и систем информатизации.

В качестве вывода следует отметить, что центры мониторинга и реагирования представляют собой систему раннего предупреждения о компьютерном нападении, способную на ранних стадиях выявлять атаки на информационную инфраструктуру субъекта КИИ и осуществлять мероприятия по реагированию и нейтрализации последствий компьютерных атак, предотвращая негативное воздействие и тем самым осуществляя предупреждение нарушения функционирования объектов КИИ, таким образом не допуская компьютерных инцидентов. 

1. Вопросы, касающиеся того, что такое SOC, какова его структура и функции, рассматривались в статье: Саматов К.М. SOC в действии // Information Security/Информационная безопасность. 2019. No 5. С. 24–25.
2. Петренко С.А., Ступин Д.Д. Национальная система раннего предупреждения о компьютерном нападении: научная монография / под общей редакцией С.Ф. Боева. Университет Иннополис. – Иннополис: “Издательский Дом “Афина", 2017. – С. 16.
3. П. 9. Выписки из Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (утв. президентом РФ 12.12.2014 г. No К 1274).