6 марта, 2023

SOC. Добрый и не очень

О практике построения Центров по обеспечению безопасности (SOC) говорили представители бизнес-сообщества и MSSP-провайдеры на сессии «SOC. Добрый и не очень» в рамках прошедшего в Магнитогорске форума «Цифровая устойчивость и информационная безопасность в России».

Если есть силы, время и возможность — стройте SOC самостоятельно. Если нет — приглашайте MSSP-провайдера, у него есть опыт, средства и специалисты по всем направлениям, от программистов до узких специалистов в области ИБ, — примерно так начиналась дискуссия о добром и не очень SOC’е, в которой участвовали Владимир Дрюков («Ростелеком-Солар»), Артём Калашников («Газпромбанк»), Алексей Мартынцев («Норникель»), Алексей Новиков (Positive Technologies), модерировал сессию Лев Палей (АО «СО ЕЭС»).

Опытом построения SOC на крупном промышленном предприятии, в работе которого сложно разобраться любому MSSP-провайдеру, поделился Алексей Мартынцев, генеральный директор компании «Норникель Сфера». Он отметил, что для крупного промышленного предприятия, каковым является «Норникель», услуги внешнего SOC не подошли по ряду причин, среди которых недостаточный уровень компетенций сторонних специалистов, которые не понимают всех аспектов работы предприятия и его подразделений, необходимость частого изменения бизнес-процессов, которые сказываются на работе Центра, недостаточный контроль за действиями подрядчика и доступ его к критически важным данным и процессам, что вызывает нервозность у заказчика — растет вероятность взлома третьей стороны.

Исходя из того, что у компании, представляющие услуги ИБ на аутсосинге, цель — заработать деньги, а у компании, работающей в рамках холдинга, цель — безопасность структуры, в «Норникеле» провели изыскания и подготовили проект по выбору схемы информационной безопасности с учетом всей специфики крупного промышленного предприятия.

В крупной компании как «Норникель» SOC является частью организационной структуры и подчиняется всем правилам внутреннего распорядка. Поэтому в компании предпочли создать внутреннюю структуру, занимающуюся разработкой, созданием и поддержкой SOC, которая аккумулирует выделенные на данные задачи ресурсы, понимает технологические и бизнес-процессы предприятия, не зависит от единого поставщика, ей можно предоставить доступ к критически значимым системам и она несет полную ответственность за происходящее.

«Процесс управления инцидентами ИБ в технологической сети не может быть реализован без комплексного проекта», — отметил Алексей Мартынцев. Для обеспечения принципа Security by design необходимо вовлечение архитекторов безопасности АСУП на этапах построения и модернизации производственных процессов и систем управления, которые станут связующим звеном между командами автоматизации и ИБ.

При этом для управления инцидентами ИБ необходимо наличие зрелого ландшафта СЗИ для сбора необходимых данных о событиях информационной безопасности. Как отметил Алексей Мартынцев, все процессы кибербезопасности в технологической сети передачи данных взаимоувязаны с существующими бизнес-процессами, включая АСУП и АСУ ТП. И, например, критичное повышение температуры, которое относится к процессам АСУ ТП, контролируются системами SOC в числе недопустимых событий.

Построение SOC — долгий процесс, отметили все спикеры. До промышленного состояния необходимо поработать его на корпоративном уровне. При медленном развитии процесса — это движение от MSSP провайдера к своей структуре SOC. Как показывает практика, отметил Алексей Мартынцев, который занимается ИБ АСУП с 2016 г., уровень зрелости в данном направлении низкий по всей стране, при построении SOC возникает много нюансов, потому процесс не завершен и находится в процессе разработки.

Согласился с подходом коллеги к построению внутреннего SOC управляющий директор Центра информационной безопасности дочерних и зависимых обществ (ДЗО) Газпромбанка Артем Калашников. Он отметил, что на слайдах «Норникеля» термин АСУ ТП можно легко заменить на банковские процессы и применить их к финансовой сфере. В своем выступлении Артем Калашников сделал упор на финансовые аспекты внедрения SOC. Он представил графики совокупной стоимости создания и сопровождения центров противодействия киберугрозам для 25 отдельных ДЗО в сравнении с Центром противодействия киберугрозам (ЦПК) для 25 ДЗО. Экономия ресурсов и финансов начинается уже при объединении 15 ДЗО в рамках одного ЦПК. «Выигрываем на кадрах, лицензиях, защите…», — подчеркнул Калашников.

В ходе долгой и полезной для себя и слушателей дискуссии спикеры спорили о положительных и отрицательных аспектах самостоятельной реализации SOC на предприятии или привлечении MSSP, границах, где заканчивается ответственность подрядчика и начинается ответственность заказчика, кадровых вопросах… У каждой из сторон нашлись весомые аргументы в ту или иную сторону. Поэтому все остались при своем мнении: каждая компания должна самостоятельно принять решение, будет она создавать свой SOC или отдавать задачу Центра стороннему подрядчику. Но в любом случае в компании должна были своя ИБ служба и цепочка процессов ИБ, которые должны быть закончены.

Еще один вывод по итогам сессии сделал Алексей Мартынцев, который ранее не был знаком с банковской безопасностью. Он отметил схожесть процессов банковской ИБ и ИБ АСУ ТП, несмотря на разный тип кибератак, и полезность таких встреч.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
28.03.2024
Термин «риск ИБ» некорректен по своей сути
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных