О затратах компаний на создание собственного Центра ГосСОПКА рассказал руководитель направления «ГосСОПКА» «Ростелеком-Солар» Павел Гончаров в рамках конференции Ведомости.Практика «Кибербезопасность: законы, люди, технологии».
«Затраты на необходимый состав специалистов (15 человек) — это около 25 млн рублей в год. Закупить себе SIEM, технические средства – около 12 млн. Получить лицензии – это 1,6 млн. Плюс интеграционный проект. В общем и целом, по нашим подсчетам, содержание Центра ГосСОПКА выходит в 50 млн рублей в год. Это самые минимальные деньги, которые нужно вложить, чтобы выполнять те функции Центра ГосСОПКА, которые на нас возлагает регулятор», – заметил Павел Гончаров.
Наиболее затратным и сложным вопросом в создании собственного Центра являются кадры. Владельцы значимых объектов КИИ должны обеспечивать непрерывное взаимодействие с НКЦКИ и ГосСОПКА. Для этого должен быть разработан план по реагированию на инциденты и оповещения НКЦКИ в течение трёх часов с момента возникновения инцидента. Это влечёт за собой существенные затраты на кадровое обеспечение для работы в режиме 24/7.
Среди необходимых специалистов руководитель направления «ГосСОПКА» «Ростелеком-Солар» Павел Гончаров выделяет три линии. На первой линии находятся специалисты по мониторингу и администрированию средств ГосСОПКА. Для выполнения требований законодательства нужно как минимум 5 человек, чтобы нагружать их 40 часов в неделю. Для резервирования нужно 6 человек.
Во второй линии должны быть специалисты по ликвидации последствий компьютерных инцидентов – это опытные инженеры, выросшие из первой линии, которые работают уже не только с типовыми инцидентам, но могут решать и более сложные задачи. Кроме того, Центр ГосСОПКА должен выполнять два раза в год внешний и внутренний пентест и каждый месяц производить сканирование своей инфраструктуры на уязвимости.
«Далеко не каждая компания может себе позволить иметь в штате целую команду пентестеров, которая бы держала в тонусе остальных участников процесса. Мы предлагаем отдавать эту задачу на аутсорс, у себя оставлять такого условного оператора сканера защищённости, который будет дополнять базу и раз в месяц проводить сканирование на уязвимости», – сказал Павел Гончаров. Ещё одним специалистом на аутсорсе он предлагает сделать специалиста по расследованию инцидентов.
В третьей линии находятся высокоуровневые технические эксперты, которые помогают первой и второй линии в работе с инцидентами, они же занимаются «приземлением» новых средств защиты в свою инфраструктуру и прочей экспертной деятельностью. Тут нужен аудитор-методолог, который опишет все процессы, присутствующие в Центре; аналитик-архитектор, который занимается техническим развитием Центра; и руководитель Центра ГосСОПКА, который должен отвечать за всех указанных специалистов.
Также Гончаров напомнил о накладных расходах на помещение, субподряд, поддержку ПО и инфраструктуры и пр.
.jpg)
