С выходом №187–ФЗ многие субъекты КИИ начали создавать собственные центры Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА). Для этого недостаточно пройти классический путь закупки железа, лицензий и аттестации. ГосСОПКА фокусируется на непрерывном совершенствовании процессов, и ключевой (а также наиболее затратной) частью здесь являются кадры. Эксперт компании «Ростелеком-Солар» делится опытом — как найти оптимальный состав команды Центра ГосСОПКА.
Введение
В 2012 г. Solar JSOC был первым коммерческим SOC (Security Operations Center, центр мониторинга и реагирования на кибератаки) в России, а в 2018 г. одним из первых заключил соглашение о взаимодействии с Национальным координационным центром по компьютерным инцидентам (НКЦКИ, ФСБ). Семилетняя практика оказания сервисов по мониторингу и управлению ИБ, более сотни крупнейших компаний под защитой, а также опыт создания центров ГосСОПКА для заказчиков — все это заставило нас достаточно глубоко проработать вопросы кадровой «алхимии». Разумеется, на этом пути мы искали варианты оптимизации расходов на персонал при сохранении требуемого высокого уровня обслуживания. В частности, в нашем случае команда должна быть в состоянии выдерживать достаточно жесткий SLA: у специалистов есть всего 10 минут на детектирование атаки и всего 30 — на реагирование и защиту. При этом выработанные нами кадровые стандарты позволяют масштабировать команду в зависимости от фактического объема инцидентов, который, как известно, растет от года к году.
В данном материале мы представляем минимальную конфигурацию организационно-штатной структуры SOC, при которой он сможет выполнить все необходимые функции центра ГосСОПКА и соответствовать методическим рекомендациям регулятора. Такой вариант подойдет организациям с высоким уровнем зрелости процессов ИБ, подпадающим под действие Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ.
Первая линия
Как показывает практика, для защиты на этом рубеже требуется минимум 7 специалистов — с учетом того, что большинство из них работает посменно, обеспечивая режим 24х7. Это, в частности, специалисты по мониторингу первой линии — их должно быть не меньше 6 человек. В этом случае вы не только реализуете круглосуточный контроль над системами предприятия, но и сможете не позднее 24 часов предоставлять информацию о компьютерных инцидентах в ФСБ в соответствии с приказом № 367 от 24.07.2018.
В случае со специалистами по обслуживанию СЗИ ГосСОПКА возможны разные варианты. Первый — у субъекта КИИ масштабная архитектура и требуется постоянная доступность критичных сервисов, а из-за остановки/недоступности/нарушения работы СЗИ организация понесет денежные и/или репутационные потери и при этом высок риск ущерба окружающей среде и людям. Здесь потребуется нанять 6 человек, которые обеспечат посменную работу 24х7.
Другой вариант: у субъекта все те же масштабная архитектура и критичные сервисы, требующие постоянной доступности, при этом все операции с оборудованием производят службы ИТ, а ИБ — формируют правила функционирования и контролируют их исполнение. В этом случае можно ограничиться тремя специалистами с режимом работы 12/7 и возможностью ночных вызовов при необходимости.
Если же субъект ГосСОПКА не считает критичным риск нарушения доступности объектов КИИ на 18+ часов, обслуживать средства защиты можно и силами 1 специалиста в режиме 8х5.
Таблица 1. Первая линия защиты Центра ГосСОПКА
| № | Специалист | Обязанности | Требования к квалификации | Режим | Кол-во |
| 1 | Специалист по мониторингу |
|
|
24х7 | 6 |
| 2 | Специалист по обслуживанию СЗИ ГосСОПКА |
|
|
24х7 | 6 |
| 12х7+ вызов в ночь | 3 | ||||
| 8х5 | 1 |
Важно понимать, что несмотря на существенно меньший объем инцидентов в ночные часы, самые важные и критичные события происходят как раз ночью и к моменту старта утренней смены уже теряют свою актуальность. Однако именно выстраивание режима работы 24х7 вызывает затруднения у большинства SOC: не каждый специалист захочет работать посменно. Редкий сотрудник будет продолжительное время мотивирован на качественную работу, особенно если в вашей инфраструктуре происходит мало инцидентов. Все это означает, что вам придется планомерно решать вопросы текучки кадров, непрерывно подбирая и обучая новых специалистов.
Вторая линия
На этой ступени, как правило, уже не обойтись без помощи опытного подрядчика — если, конечно, вы считаете деньги и не намерены превращаться в ИБ-компанию полного цикла. Ведь помимо специалистов по ликвидации последствий компьютерных инцидентов и по оценке защищенности, вторая линия включает довольно специфические позиции. Это весьма дорогостоящие специалисты, которые не нужны вам постоянно, но без которых ваш SOC вряд ли сможет соответствовать гордому званию Центра ГосСОПКА — пентестеры, форензеры, эксперты по анализу кода. В итоге минимальный состав собственного персонала на второй линии — 3–4 сотрудника в зависимости от уровня задач.
Среди них — специалисты по ликвидации последствий компьютерных инцидентов, опытные сотрудники, выросшие из первой линии, которые знают, как обрабатывать нетиповые инциденты и оказывать помощь первой линии при возникновении сложностей.
Центр ГосСОПКА обязан регулярно оценивать защищенность информационных ресурсов в своей зоне ответственности, однако не каждая организация может себе позволить собственную команду пентестеров, которые бы держали коллег в постоянном тонусе. Тем более, что согласно методическим рекомендациям, тестирование на проникновение должно проводиться дважды в год — внешнее и внутреннее. Этот вопрос вполне успешно закрывается силами опытного внешнего подрядчика, специалисты которого работают с множеством разных заказчиков, а значит, регулярно повышают свою квалификацию в «боевых» условиях.
В штате мы оставляем только одного специалиста по оценке защищенности, чьими основными обязанностями будут инвентаризация информационных ресурсов, наполнение и поддержание в актуальном состоянии базы CMDB, работа со сканером защищенности, обработка уязвимостей и контроль патч-менеджмента.
Также если для субъекта КИИ актуально внедрение жизненного цикла безопасной разработки программного обеспечения, для выявления уязвимостей может применяться статический и динамический анализ исходного кода. При этом appsec-специалист нужен только в очень ограниченном для КИИ количестве кейсов — логично привлечь здесь внешнюю экспертизу.
Кроме этого, в зрелом SOC еще и есть специалисты по установлению причин компьютерных инцидентов. Как правило, это тоже целая команда инженеров, которая нужна всего несколько раз в год, и мы рекомендуем не обременять себя их содержанием, а заключать договоры с компаниями, которые занимаются форензикой на постоянной основе.
Таблица 2. Вторая линия защиты Центра ГосСОПКА
| № | Специалист | Обязанности | Требования к квалификации | Режим | Кол-во |
| 3 | Специалист по ликвидации последствий КИ |
|
Как в первой линии, плюс:
|
8х5 с вызовом в ночь/выходные | 2 |
| 12х7+вызов в ночь | 3 | ||||
| 4 | Специалист по оценке защищенности |
|
Работа с инструментами инвентаризации, средствами контроля защищенности | 8х5 | 1 |
| 5 | DevSecOps/QA специалист | Статический и динамический анализ исходного кода ПО | Построение appsec CI/CD, работа со статическими и динамическими анализаторами кода, Fuzzing | Субподряд | |
| 6 | Пентестеры/ Redteam |
|
|
Субподряд | |
| 7 | Специалист по установлению причин КИ |
|
|
Субподряд | |
Третья линия
Решение ключевых стратегических задач и верхнеуровневое управление, которые реализуются третьей линией, стоит аккумулировать на своей стороне. Минимальный состав такого блока — 5 специалистов.
Это, в частности, технические эксперты — инженеры узкой специализации, отвечающие за свою область экспертизы. В штате крупных центров должны быть выделены специалисты по всем необходимым направлениям (WAF, МСЭ, IDS\IPS, СКЗИ и т.д.). Мы же ограничимся двумя техническими экспертами, которые должны оказывать экспертную поддержку специалистам 1-й и 2-й линий.
За оценку соответствия уровня защищенности организации положениям закона отвечает методолог (аудитор ИБ) — эксперт в сфере нормативно-правовых актов и требований регуляторов (ФСТЭК, ФСБ, ЦБ, РКН).
Аналитик-архитектор занимается разработкой новых коннекторов, сценариев SIEM, обновлением правил и политик средств защиты в соответствии с данными Threat Intelligence, анализом срабатываний False Positive, анализом аномалий.
Руководитель центра ГосСОПКА должен, несомненно, обладать глубокими знаниями нормативной базы и иметь за плечами не менее 10 лет практического опыты в ИБ-отрасли.
Таблица 3. Третья линия защиты Центра ГосСОПКА
| № | Специалист | Обязанности | Требования к квалификации | Режим | Кол-во |
| 8 | Технический эксперт |
|
Эксперты по своей специализации (вредоносные программы, настройка СЗИ, применение специализированных технических средств и т. п.) | 8х5 | 2 |
| 9 | Методолог (аудитор ИБ) |
|
Эксперт в области complience и разработки методических документов.Опыт в разработке моделей угроз и нарушителя, методических рекомендаций | 8х5 | 1 |
| 10 | Аналитик-архитектор |
|
В совершенстве владеть процессом и средствами обеспечения (SIEM) по своему направлению:
Умение адаптировать IOC от систем Threat Intelligence к ИС субъекта ГосСОПКА |
8х5 | 1 |
| 11 | Руководитель |
|
Руководство коллективом. Опыт в ИБ от 10 лет. Знание нормативных документов ФСБ и ФСТЭК России |
8х5 | 1 |
Выводы
Все эти рекомендации служат скорее отправной точкой, нежели точным руководством к действию. Безусловно, при создании собственного Центра у вас получится свое штатное расписание. В одной линии специалистов будет больше, в другой — меньше, в третьей появятся несколько иные роли или они уйдут на повышение/понижение.
Например, для одного из наших заказчиков мы построили SOC, где функции 1-й линии мониторинга в режиме 24х7 оставили за собой, а вторую (группу реагирования из 5 человек) и аналитику третьей линии заказчик нанял самостоятельно. Кроме того, в организации уже был руководитель ИБ (он и возглавил SOC), а также методолог и ИТ-подразделение, которое занималось в том числе и инвентаризацией.
Другой заказчик добавил в первую линию роли руководителя группы мониторинга и ответственных за взаимодействие с пользователями, а также увеличил количество специалистов по мониторингу до 8. Во второй линии за ликвидацию последствий отвечало три сотрудника, а специалиста по форензике все-таки взяли в штат. Общая численность команды Центра ГосСОПКА в этой компании составила 20 человек.
В конечном счете штатный состав Центра зависит от ключевых векторов развития вашего SOC, которые определяются и корректируются в процессе анализа инцидентов. При этом, особенно на начальных этапах, целесообразно использовать возможности сервис-провайдера для «тестового» масштабирования лицензий и персонала. В этом случае вы сможете точнее оценить ресурсные потребности, избежав излишних капительных вложений. И такие примеры тоже есть в нашей практике — в частности, один из клиентов отдал нам все операционные функции по работе Центра, а за собой оставил только взаимодействие с НКЦКИ (отправку отчетов о произошедших инцидентах).
Если же говорить о нашей типовой схеме принятия инфраструктуры заказчика на мониторинг, то на стороне заказчика, как правило, есть:
- два сотрудника, которые принимают сообщения от группы мониторинга JSOC и реагируют на инциденты в соответствии с нашими рекомендациями;
- один специалист по сканированию уязвимостей;
- менеджер по управлению сервисом.
На этом все. В следующих публикациях мы расскажем о технических средствах, лицензиях, субподрядах и процессах, которые должны быть в Центре ГосСОПКА.
