Инфраструктура для SOC: как выбрать надежную IT-платформу
Рассказываем, что такое SOC, как он помогает улучшить уровень информационной безопасности и почему активное развитие получает аутсорсинговый формат.
Что такое SOC
Для большинства компаний стандартные меры безопасности — не более чем хороший фундамент. Сегодня они могут не спасти от сложных атак, которые регулярно становятся изощреннее. Такие важные этапы, как реагирование на инцидент, могут затягиваться из-за нехватки ресурсов, а компетенций в штатной ИБ-команде может вовсе не хватать. Как в этих условиях защитить бизнес и повысить уровень зрелости IT-сервисов? Важно применять комплексный подход.
SOC (Security Operations Center) — это центр управления безопасностью, который помогает не только мониторить, но и анализировать угрозы, устранять их и предотвращать новые атаки. Он работает на уровне оперативного мониторинга, аналитики и экспертного реагирования.
Фундаментальный элемент SOC — SIEM (Security Information and Event Management). Компонент позволяет централизованно собирать, анализировать и интерпретировать логи, создавая базу для оперативного реагирования на угрозы. Тем не менее, полноценный SOC включает не только SIEM. В него также входят процессы, команда экспертов и другие технологии для обнаружения и расследования инцидентов безопасности.
Почему это важно
Некоммерческая организация CIS (Center for Internet Security) делит уровень зрелости компаний в вопросах информационной безопасности на три группы (Implementation Groups, IG):
- IG1 — базовые меры безопасности,
- IG2 — расширенные меры безопасности для организаций с умеренным уровнем риска,
- IG3 — комплексная безопасность для организаций с высоким уровнем риска.
- В рамках CIS Controls применение SOC предусмотрено для представителей IG2 и IG3. У таких организаций уже реализованы базовые меры безопасности, но им нужен инструмент, который обеспечит круглосуточный мониторинг, своевременное обнаружение угроз и возможность реагирования.
Как правило, использовать SOC для компаний из группы IG1 — преждевременно. Наибольшую пользу он принесет для IG2- и IG3-организаций, в которых безопасность уже выстроена на базовом уровне.
In-house или аутсорсинг
Собственный SOC предоставляет организациям ряд преимуществ: гибкость в настройке процессов, соответствие индивидуальным требованиям и возможность масштабирования по мере роста компании.
Эксперты из CIS, который мы уже упоминали ранее, также подтверждают эти доводы:
Проектирование и создание SOC собственными силами дает вашей организации множество преимуществ. Наблюдая за разработкой и проектированием SOC, вы закладываете основу для более эффективной настройки процедур, инструментов и персонала в соответствии с потребностями вашей организации. По мере роста вашей организации SOC также может масштабироваться, чтобы обеспечить надлежащую защиту от киберугроз.
Что делать, если ресурсы ограничены
Создание собственного SOC сопряжено с серьезными затратами на оборудование, ПО, привлечение квалифицированных специалистов и постоянную модернизацию. С ограничениями финансирования сталкивается большинство компаний — от коммерческих до государственных.
Специалисты из CIS также отмечают проблему нехватки ресурсов. На сегодняшний день это одна из популярных причин отказа от SOC формата in-house. Также важно понимать, что крупные финансовые вложения нужны не только на старте, но и для поддержания, модернизации функций центра.
Оптимальное решение для компаний с ограниченными ресурсами — аутсорсинговый SOC. Это специализированный центр, который берет на себя задачи мониторинга, анализа и реагирования на инциденты. При этом инструмент важен не только для защиты бизнеса, но и для повышения зрелости IT-сервисов компании в целом.
SOC на аутсорсе становится востребованным решением не только для крупных корпораций, но и для региональных органов власти, малого и среднего бизнеса. Это связано с ограничениями на бюджеты и кадровые ресурсы, которые делают создание собственного SOC практически невозможным.
Перспективы для аутсорсингового SOC
В России постоянно увеличивается количество компаний, оказывающих услуги по мониторингу информационной безопасности. Это подтверждает статистика выданных ФСТЭК лицензий на такую деятельность. Год от года их количество растет. Рассмотрим ключевые причины, почему бизнес стремится к получению лицензии на мониторинг.
Рост штрафов
Законопроекты, принятые в ноябре 2024 года, усилили ответственность за утечки персональных данных, включая оборотные штрафы до 3% годовой выручки. Это стимулирует компании активно инвестировать в обеспечение информационной безопасности.
Перевод ИБ-отдела в сервисную организацию для группы компаний
Все больше представителей бизнеса переводит IT- и ИБ-отделы в дочерние сервисные организации. Если при этом такие компании оказывают услуги по мониторингу безопасности персональных данных и коммерческой тайны, то получение лицензии ФСТЭК на ТЗКИ (пункт «в») также становится необходимостью. Этот шаг позволяет централизовать управление ИБ-группы компаний, упрощает масштабирование процессов и обеспечивает соблюдение регуляторных требований.
Адаптация к новым регуляторным требованиям
ФСТЭК России подготовил проект приказа, где предполагается обязательное внедрение мониторинга ИБ для компаний, работающих с персональными данными и критической информационной инфраструктурой. Документом планируется утвердить ежегодную подачу отчетов о мониторинге до 31 января, а также допускается передача этой функции на аутсорсинг по решению руководства компании. Это делает аутсорсинговые SOC востребованным инструментом для бизнеса, стремящегося к соблюдению нормативов с минимальными затратами.
Обязательные уведомления об инцидентах
ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» №187 регулирует обязательные уведомления об ИБ-инцидентах. Помимо государственных органов, под действие документа попадает средний и малый бизнес. Однако компания не сможет передавать необходимые данные без организации бесперебойного ИБ-мониторинга.
Аутсорсинг SOC становится оптимальным решением не только для снижения затрат, но и для выполнения регуляторных требований, повышения уровня зрелости ИБ и адаптации бизнеса к современным угрозам.
Ограничения аутсорсинговых SOC
Из более чем 3 000 компаний с лицензией ФСТЭК на техническую защиту информации только около 300 обладают лицензией на мониторинг ИБ (ТЗКИ, пункт «в»). Ее наличие обязательно для аутсорсинговых SOC, а для получения необходимо соответствовать строгим нормативным требованиям:
- соответствие квалификации и стажа сотрудников,
- использование сертифицированного оборудования и ПО,
- аттестация системы мониторинга по наивысшим (ГИС К1) требованиям приказау ФСТЭК России №17,
- наличие аттестованного помещения.
С реестрами лицензиатов ФСТЭК можно ознакомиться на сайте ФСТЭК России.
Готовая IT-инфраструктура: решение от Selectel для аутсорсинговых SOC
Мы предлагаем IT-инфраструктуру для SOC, которая разработана с учетом требований ФСТЭК России. Решение помогает компаниям ускорить процесс получения лицензии и запустить услуги по ИБ-мониторингу для своих клиентов.
Почему выбор IT-инфраструктуры при создании SOC играет ключевую роль?
- Доступность 24/7. Надежная работа инфраструктуры обеспечивает постоянный мониторинг и оперативное реагирование на инциденты.
- Масштабируемость. Инфраструктура должна легко адаптироваться под рост клиентской базы и количество устройств, подключаемых к SOC, а также позволять оперативно увеличивать вычислительные ресурсы.
- Оптимизация затрат. Использование готового решения исключает необходимость крупных капиталовложений в создание и поддержку собственной платформы.
- Выполнение требований безопасности. IT-инфраструктура и ИБ-сервисы, которые предоставляет Selectel, позволяют выполнить требования ФСТЭК для аттестации (ГИС К1) и получения лицензии ТЗКИ (пункт «в»).
Описание и состав решения
Решение создается на базе услуг Selectel: аттестованного сегмента ЦОД, сервиса ГОСТ-VPN, аппаратного межсетевого экрана и других.
Больше о безопасности в услуге «Аттестованный сегмент ЦОД» рассказали в обзоре.
Зоны ответственности при эксплуатации
После передачи доступа к настроенной IT-инфраструктуре Selectel обеспечивает работоспособность на физическом уровне, а за работу ПО и администрирование средств защиты информации отвечает клиент. Оборудование, которое используется для SOC, физически изолировано аппаратным межсетевым экраном. Доступ к последнему есть только у клиента.
Преимущества для компаний-соискателей лицензии
- Ускорение процесса лицензирования: сокращение сроков на 5–8 месяцев.
- Подключение клиентов через сеть из 50+ провайдеров и с использованием сервиса ГОСТ-VPN.
- Масштабируемость IT-ресурсов (CPU, RAM, SSD) и S3-хранилищ по мере роста клиентов SOC.
- Высокий SLA доступности SOC благодаря размещению в надежных ЦОД Selectel с дополнительными мерами безопасности.
- Снижение капитальных затрат на проектирование и аттестацию SOC (например, ГИС К1).
- Ежемесячная тарификация IT-инфраструктуры и сервисов безопасности вместо крупных капитальных затрат.
Помимо прочего, решение будет полезным и для компаний, которые оказывают услуги по подготовке документов и консультации для получения лицензии ФСТЭК России ТЗКИ (в).
Преимущества для компаний-консультантов и лицензиатов ФСТЭК
- Сокращение сроков создания «Аттестованной системы мониторинга ИБ» для клиентов — до пяти месяцев.
- Рост числа клиентов-лицензиатов за счет снижения капитальных затрат на проектирование и внедрение SOC и ежемесячной тарификации.
- Возможность получить дополнительный доход через партнерскую программу на весь срок использования инфраструктуры клиентом.
Решение от Selectel — это оптимальный выбор для аутсорсинговых SOC при развертывании инфраструктуры. Оно содержит надежную аппаратную платформу с круглосуточной технической поддержкой, позволяет сократить время и затраты на проектирование, а также отвечает всем требованиям безопасности.
Помимо прочего, решение можно использовать при получении лицензии ФСТЭК России на ИБ-мониторинг. Это помогает бизнесу в сжатые сроки начать предоставлять услуги информационной безопасности клиентам.