24 Мая, 2017

PHD7: Численность работников SOC

Александр Кузнецов
Сегодня завершается ежегодная, уже седьмая, конференция – Positive Hack Days ( https://www.phdays.ru/about/ ), на которой мне удалось побывать:
f357c640662bb6b251e5c32120591d6e.png

Начать хотел бы с того, что в 2012 и 2013 годах я имел честь выступать на данном мероприятии:
19a80aafc576bd652892d7568abce0b5.png
и планировал продолжать это делать, но второй год мои доклады не проходят отборочный тур (заявлял темы «from SIEM to SOC» и «Is SIEM dead?»).
Ничего страшного в этом нет, подготовлю более интересный материал к следующему разу.
Но заметка не об этом.


Я хотел бы отметить интересные цифры, относящиеся персоналу Центров операционной безопасности (Security Operations Center, SOC), которые были озвучены на секции «Эволюция SOC – 2017: план развития» ( https://www.phdays.ru/press/news/256702/?sphrase_id=29732 ) со стороны представителей реальных SOC-ов:
- Microsoft Corp. имеет в своем составе Microsoft Cyber Defense Operations Center, в котором работают более 50 человек, здесь стоит отметить, что помимо этого подразделения в корпорации есть еще 8 ИБ-команд, с которыми данный центр взаимодействует (сервисные ИБ-инженеры, юридические консультанты, ИБ-специалисты по продуктам Microsoft, отдельно по Azure, отдельно по Office 365, Risk Management, Threat Intelligence и Response команды);
- ПАО «Ростелеком» имеет в составе своего SOC-а более 25 человек и продолжает набор, целевые показатели не были озвучены;
- ПАО Сбербанк озвучил целевой показатель для своего SOC-а или даже точнее Fusion Center – 400 человек.

Цифры конечно немаленькие, хотя и компании ТОП-овые, скажите вы, но стоит отметить, что ряд вендоров обозначал, что "начинается" SOC хотя бы с десяти человек.
Реально ли это для организаций, где все ИБ-подразделение составляет 3-5 человек, вместе с руководителем и профильными ответственными за документальное обеспечение и например за жизненный цикл сертификатов ключа проверки электронной подписи.

Мое мнение пока остается прежним, сначала определите:
- какие задачи в рамках операционной деятельности вы реализуете и как с ними справляется "текущая версия" ИБ-подразделения;
- нужна ли отдельная организационная структура в виде SOC-а или вам достаточно "наложить" ее на то, что у вас уже есть;
- надо ли вам вообще это (это главный вопрос)?

Успехов при формировании вашей команды!