PHD7: Численность работников SOC

PHD7: Численность работников SOC
Сегодня завершается ежегодная, уже седьмая, конференция – Positive Hack Days ( https://www.phdays.ru/about/ ), на которой мне удалось побывать:
f357c640662bb6b251e5c32120591d6e.png

Начать хотел бы с того, что в 2012 и 2013 годах я имел честь выступать на данном мероприятии:
19a80aafc576bd652892d7568abce0b5.png
и планировал продолжать это делать, но второй год мои доклады не проходят отборочный тур (заявлял темы «from SIEM to SOC» и «Is SIEM dead?»).
Ничего страшного в этом нет, подготовлю более интересный материал к следующему разу.
Но заметка не об этом.


Я хотел бы отметить интересные цифры, относящиеся персоналу Центров операционной безопасности (Security Operations Center, SOC), которые были озвучены на секции «Эволюция SOC – 2017: план развития» ( https://www.phdays.ru/press/news/256702/?sphrase_id=29732 ) со стороны представителей реальных SOC-ов:
- Microsoft Corp. имеет в своем составе Microsoft Cyber Defense Operations Center, в котором работают более 50 человек, здесь стоит отметить, что помимо этого подразделения в корпорации есть еще 8 ИБ-команд, с которыми данный центр взаимодействует (сервисные ИБ-инженеры, юридические консультанты, ИБ-специалисты по продуктам Microsoft, отдельно по Azure, отдельно по Office 365, Risk Management, Threat Intelligence и Response команды);
- ПАО «Ростелеком» имеет в составе своего SOC-а более 25 человек и продолжает набор, целевые показатели не были озвучены;
- ПАО Сбербанк озвучил целевой показатель для своего SOC-а или даже точнее Fusion Center – 400 человек.

Цифры конечно немаленькие, хотя и компании ТОП-овые, скажите вы, но стоит отметить, что ряд вендоров обозначал, что "начинается" SOC хотя бы с десяти человек.
Реально ли это для организаций, где все ИБ-подразделение составляет 3-5 человек, вместе с руководителем и профильными ответственными за документальное обеспечение и например за жизненный цикл сертификатов ключа проверки электронной подписи.

Мое мнение пока остается прежним, сначала определите:
- какие задачи в рамках операционной деятельности вы реализуете и как с ними справляется "текущая версия" ИБ-подразделения;
- нужна ли отдельная организационная структура в виде SOC-а или вам достаточно "наложить" ее на то, что у вас уже есть;
- надо ли вам вообще это (это главный вопрос)?

Успехов при формировании вашей команды!
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Александр Кузнецов

Заметки про управление в области информационной безопасности и не только