24 сентября, 2019

Кадровая алхимия

Эта статья пригодится тем, кто работает в компании, признанной субъектом критической информационной инфраструктуры (КИИ), а значит — обязанной выполнить требования №187-ФЗ и построить центр ГосСОПКА (Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак), соответствующий требованиям ФСБ России.

В прошлой статье мы затронули самые основы этой темы и рассказали о требованиях ФСБ к техническим средствам, которые должны использоваться в центре ГосСОПКА. Однако эти требования (едва ли не впервые) распространяются не только на технические средства защиты, но и на реализацию конкретных процессов мониторинга, реагирования и расследования инцидентов ИБ. Поэтому сегодня мы расскажем о том, какие кадровые ресурсы вам понадобятся, чтобы все эти процессы обеспечить.

Сначала пара слов о том, почему мы вообще раздаем советы на эту тему. По сути, центр ГосСОПКА — это небольшой внутренний центр мониторинга и реагирования на кибератаки
(Security Operations Center), только с дополнительными задачами и обязанностями. Семилетняя практика оказания таких сервисов, более сотни крупнейших компаний под защитой, а также опыт создания центров ГосСОПКА для заказчиков помогли нам в свое время достаточно глубоко проработать вопросы кадровой «алхимии». И, разумеется, на этом пути мы регулярно искали варианты оптимизации расходов на персонал при сохранении требуемого высокого уровня обслуживания.

В частности, команда должна быть в состоянии выдерживать достаточно жесткий SLA: у специалистов Solar JSOC есть всего 10 минут на детектирование атаки и всего 30 — на реагирование и защиту. При этом выработанные нами кадровые стандарты позволяют масштабировать команду в зависимости от фактического объема инцидентов у заказчика (а он год от года, поверьте, не сокращается).

В данном материале мы суммировали свои наработки и дали минимальную конфигурацию организационно-штатной структуры SOC, при которой он сможет выполнить все необходимые функции центра ГосСОПКА и соответствовать методическим рекомендациям регулятора.

 

Первая линия

Как показывает практика, для защиты на этом рубеже требуется минимум 7 специалистов — с учетом того, что большинство из них работает посменно, обеспечивая режим 24х7. Это, в частности, специалисты по мониторингу — их должно быть не менее 6 человек. В этом случае вы не только реализуете круглосуточный контроль над системами предприятия, но и сможете не позднее 24 часов предоставлять информацию о компьютерных инцидентах в ФСБ в соответствии с приказом № 367 от 24.07.2018.

В случае со специалистами по обслуживанию СЗИ ГосСОПКА возможны разные варианты.

Первый — у субъекта КИИ масштабная архитектура, и требуется обеспечить постоянную доступность критичных сервисов, а из-за остановки/недоступности/нарушения работы СЗИ организация понесёт денежные и/или репутационные потери, и при этом высок риск ущерба окружающей среде и людям. В этом случае потребуется нанять 6 человек которые обеспечат посменную работу 24х7.

Другой вариант: у субъекта все те же масштабная архитектура и критичные сервисы, требующие постоянной доступности, при этом все операции с оборудованием производят службы ИТ, а ИБ-подразделение определяет правила функционирования и контролирует их исполнение. В этом случае можно ограничиться тремя специалистами, работающими в режиме 12/7 и возможностью ночных вызовов при необходимости.

Если же субъект ГосСОПКА не считает критичным риск нарушения доступности объектов КИИ на 18+ часов, обслуживать средства защиты можно и силами 1 специалиста в режиме 8х5.

Важно понимать, что несмотря на существенно меньший объем инцидентов в ночные часы, самые важные и критичные события происходят как раз ночью и к моменту старта утренней смены уже теряют свою актуальность. Однако именно выстраивание режима работы 24х7 вызывает затруднения у большинства SOC: не каждый специалист захочет работать посменно. Редкий сотрудник будет продолжительное время мотивирован на качественную работу, особенно если в вашей инфраструктуре происходит мало инцидентов. Все это означает, что вам придется планомерно решать вопросы текучки кадров, непрерывно подбирая и обучая новых специалистов.

 

Вторая линия

На этой ступени, как правило, уже не обойтись без помощи опытного подрядчика — если, конечно, вы считаете деньги и не намерены превращаться в ИБ-компанию полного цикла. Ведь помимо специалистов по ликвидации последствий компьютерных инцидентов и по оценке защищенности, вторая линия включает довольно специфические позиции. Это весьма дорогостоящие специалисты, которые не нужны вам fulltime, но без которых ваш SOC вряд ли сможет соответствовать гордому званию центра ГосСОПКА — пентестеры, форензеры, эксперты по анализу кода. В итоге минимальный состав собственного персонала на второй линии — 3–4 сотрудника в зависимости от уровня задач.

Среди них — специалисты по ликвидации последствий компьютерных инцидентов, опытные сотрудники, выросшие из первой линии, которые знают, как обрабатывать нетиповые инциденты и оказывать помощь первой линии при возникновении сложностей.

Центр ГосСОПКА обязан регулярно оценивать защищённость информационных ресурсов в своей зоне ответственности, однако не каждая организация может себе позволить собственную команду пентестеров, которые бы держали коллег в постоянном тонусе. Тем более, что согласно методическим рекомендациям, тестирование на проникновение должно проводиться дважды в год — внешнее и внутреннее. Этот вопрос вполне успешно закрывается силами опытного внешнего подрядчика, специалисты которого работают с множеством разных заказчиков, а значит, регулярно повышают свою квалификацию в «боевых» условиях.

В штате мы рекомендуем оставить только одного специалиста по оценке защищённости, чьими основными обязанностями будут инвентаризация информационных ресурсов, наполнение и поддержание в актуальном состоянии базы CMDB, работа со сканером защищённости, обработка уязвимостей и контроль патч-менеджмента.

Также, если для субъекта КИИ актуально внедрение жизненного цикла безопасной разработки ПО, для выявления уязвимостей может применяться статический и динамический анализ исходного кода. При этом appsec-специалист нужен только в очень ограниченном для КИИ количестве кейсов — здесь логично привлечь внешнюю экспертизу.

Кроме этого, в зрелом SOC ещё и есть специалисты по установлению причин компьютерных инцидентов. Как правило, это тоже целая команда инженеров, которая нужна всего несколько раз в год, и мы рекомендуем не обременять себя их содержанием, а заключать договоры с компаниями, которые занимаются форензикой на постоянной основе.

 

Третья линия

Решение ключевых стратегических задач и верхнеуровневое управление, которые реализуются третьей линией, стоит аккумулировать на своей стороне. Минимальный состав такого блока — 5 специалистов.

Это, в частности, технические эксперты — инженеры узкой специализации, отвечающие за свою область экспертизы. В штате крупных центров должны быть выделены специалисты по всем необходимым направлениям (WAF, МСЭ, IDS/IPS, СКЗИ и т.д.). Мы же ограничимся двумя техническими экспертами, которые должны оказывать экспертную поддержку специалистам 1-й и 2-й линий.

За оценку соответствия уровня защищенности организации положениям закона отвечает методолог (аудитор ИБ) — эксперт в сфере нормативно-правовых актов и требований регуляторов (ФСТЭК, ФСБ, ЦБ, РКН).

Аналитик-архитектор занимается разработкой новых коннекторов, сценариев SIEM, обновлением правил и политик средств защиты в соответствии с данными Threat Intelligence, анализом срабатываний False Positive, анализом аномалий.

Руководитель центра ГосСОПКА должен, несомненно, обладать глубокими знаниями нормативной базы и иметь за плечами не менее 10 лет практического опыты в ИБ-отрасли.

 

Кстати, о практике

Все эти рекомендации служат скорее отправной точкой, нежели точным руководством к действию. Безусловно, при создании собственного центра у вас получится свое штатное расписание. В одной линии специалистов будет больше, в другой — меньше, в третьей появятся несколько иные роли или они уйдут на повышение/понижение.

Например, для одного из наших заказчиков мы построили SOC, где функции 1-й линии мониторинга в режиме 24х7 оставили за собой, а вторую линию (группу реагирования из 5 человек) и аналитику третьей заказчик нанял самостоятельно. Кроме того, в организации уже был руководитель ИБ (он и возглавил SOC), а также методолог и ИТ-подразделение, которое занималось в том числе и инвентаризацией.

Другой заказчик добавил в первую линию роли руководителя группы мониторинга и ответственных за взаимодействие с пользователями, а также увеличил количество специалистов по мониторингу до восьми. Во второй линии за ликвидацию последствий отвечало три сотрудника, а специалиста по форензике всё-таки взяли в штат. Общая численность команды центра ГосСОПКА в этой компании составила 20 человек.

В конечном счете штатный состав центра зависит от ключевых векторов развития вашего SOC, которые определяются и корректируются в процессе анализа инцидентов. При этом, особенно на начальных этапах, целесообразно использовать возможности сервис-провайдера для «тестового» масштабирования лицензий и персонала. В этом случае вы сможете точнее оценить ресурсные потребности, избежав лишних капитальных вложений. Например, один из клиентов отдал нам все операционные функции по работе центра, а за собой оставил только взаимодействие с НКЦКИ (отправку отчетов о произошедших инцидентах).

Если же говорить о нашей типовой схеме принятия инфраструктуры заказчика на мониторинг, то на стороне заказчика, как правило, есть:

  • Два сотрудника, которые принимают сообщения от группы мониторинга Solar JSOC и реагируют на инциденты в соответствии с нашими рекомендациями.
  • Один специалист по сканированию уязвимостей.
  • Менеджер по управлению сервисом.

Но у каждого свой путь в построении центра ГосСОПКА, и мы надеемся, эта статья помогла вам определиться с вашим.

Источник: habr.com

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

09.12.2024
Конференция «Сетевая безопасность». Эксперты — о трендах на рынке ИБ в 2024 году
09.12.2024
Конференция «Сетевая безопасность». Эксперты — о самой конференции
09.12.2024
Конференция «Сетевая безопасность». Эксперты — об импортозамещении
09.12.2024
Конференция «Сетевая безопасность». Эксперты — о будущем
09.12.2024
Мошенники предлагают заявить на мошенников… и это тоже мошенничество
09.12.2024
У ВТБ появился свой «пэй». Сервис подключило уже 30 тысяч человек
06.12.2024
«Инфа с точностью до секунд». DLBI — о новом взломе БД «Почты России»
06.12.2024
На CX FinTech Day эксперты обсудили стратегии и технологии для улучшения клиентского опыта
06.12.2024
«Штурман» будет дружески подсматривать в экран пользователя
06.12.2024
«То, что госкомпании будут ориентированы на опытных игроков, скорее всего, пойдёт первым на пользу»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных