SOC, технологии и люди
Одна из двух сессий первого дня SOC форума формально именовалась «Технологии SOC».
Однако т.н. «ключевой доклад» одного из модераторов сессии, Владимира Дрюкова (Ростелеком-Солар) был озаглавлен «SOC – вера в технологии, вера в людей, поиск баланса».
То, что технологии важны для успешной работы SOC, который может анализировать миллионы «событий» ИБ в день (как это происходит, например, в Сбербанке), никем не оспаривалось. Но характерно, что о роли людей в SOC вспомнил не только Владимир Дрюков в своём предваряющем докладе, но и ряд гостей форума, принявших участие в заключительном «аккорде» сессии о технологиях, в питч-сессии, получившей название «Опыт ошибок SOC: срывая покровы».
Как оказалось, ошибки совершали люди, и люди же ошибки исправляли. Но ни один из выступивших на разборе «полётов» руководителей не упрекнул своих подчинённых, акцентируя внимание слушателей лишь на извлечённых уроках, что поразительным образом коррелировало с мыслью, высказанной парой часов ранее на пленарном заседании заместителем начальника центра ФСБ Игорем Качалиным, о том, что в сфере ИБ ошибка одного может оказаться победой многих.
Что же касается технологий, то SOC – это достаточно дорогое удовольствие.
Для круглосуточного решения его задач в типичных ситуациях может быть задействовано более десятка инструментов. О некоторых из них было рассказано в специальных докладах сессии «Технологии SOC» представителями Positive Technologies, Лаборатории Касперского, ICL Системные Технологии, Пангео Радар и других.
При этом штатно и в теории персонал SOC должен был бы насчитывать несколько десятков человек. Что чаще всего оказывается не реализуемой на практике роскошью, как по формальным причинам (штатное расписание), так и в связи с отсутствием нужного количества людей должной квалификации. Об этом упоминалось на пленарной сессии и сессии, посвящённой опыту выполнения требований 187-ФЗ. Особенно ярко проблема была освещена в докладе Максима Акимова из Самары.
Частично выход находится в автоматизации работы, а сегодня и за счёт получения услуг SOC от стороннего поставщика. На форуме этот вариант представили Ростелеком-Солар и Angara Technologies Group.
Но независимо от способа реализации SOC максимальный успех этой структуры может быть достигнут только за счёт синергии работы всех таких подразделений на основе обмена информацией (ГосСОПКА), благодаря чему может в полной мере реализоваться принцип конверсии единичной ошибки в победу многих.
