24/09/2019

Эта статья пригодится тем, кто работает в компании, признанной субъектом критической информационной инфраструктуры (КИИ), а значит — обязанной выполнить требования №187-ФЗ и построить центр ГосСОПКА (Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак), соответствующий требованиям ФСБ России.

В прошлой статье мы затронули самые основы этой темы и рассказали о требованиях ФСБ к техническим средствам, которые должны использоваться в центре ГосСОПКА. Однако эти требования (едва ли не впервые) распространяются не только на технические средства защиты, но и на реализацию конкретных процессов мониторинга, реагирования и расследования инцидентов ИБ. Поэтому сегодня мы расскажем о том, какие кадровые ресурсы вам понадобятся, чтобы все эти процессы обеспечить.

Сначала пара слов о том, почему мы вообще раздаем советы на эту тему. По сути, центр ГосСОПКА — это небольшой внутренний центр мониторинга и реагирования на кибератаки
(Security Operations Center), только с дополнительными задачами и обязанностями. Семилетняя практика оказания таких сервисов, более сотни крупнейших компаний под защитой, а также опыт создания центров ГосСОПКА для заказчиков помогли нам в свое время достаточно глубоко проработать вопросы кадровой «алхимии». И, разумеется, на этом пути мы регулярно искали варианты оптимизации расходов на персонал при сохранении требуемого высокого уровня обслуживания.

В частности, команда должна быть в состоянии выдерживать достаточно жесткий SLA: у специалистов Solar JSOC есть всего 10 минут на детектирование атаки и всего 30 — на реагирование и защиту. При этом выработанные нами кадровые стандарты позволяют масштабировать команду в зависимости от фактического объема инцидентов у заказчика (а он год от года, поверьте, не сокращается).

В данном материале мы суммировали свои наработки и дали минимальную конфигурацию организационно-штатной структуры SOC, при которой он сможет выполнить все необходимые функции центра ГосСОПКА и соответствовать методическим рекомендациям регулятора.

 

Первая линия

Как показывает практика, для защиты на этом рубеже требуется минимум 7 специалистов — с учетом того, что большинство из них работает посменно, обеспечивая режим 24х7. Это, в частности, специалисты по мониторингу — их должно быть не менее 6 человек. В этом случае вы не только реализуете круглосуточный контроль над системами предприятия, но и сможете не позднее 24 часов предоставлять информацию о компьютерных инцидентах в ФСБ в соответствии с приказом № 367 от 24.07.2018.

В случае со специалистами по обслуживанию СЗИ ГосСОПКА возможны разные варианты.

Первый — у субъекта КИИ масштабная архитектура, и требуется обеспечить постоянную доступность критичных сервисов, а из-за остановки/недоступности/нарушения работы СЗИ организация понесёт денежные и/или репутационные потери, и при этом высок риск ущерба окружающей среде и людям. В этом случае потребуется нанять 6 человек которые обеспечат посменную работу 24х7.

Другой вариант: у субъекта все те же масштабная архитектура и критичные сервисы, требующие постоянной доступности, при этом все операции с оборудованием производят службы ИТ, а ИБ-подразделение определяет правила функционирования и контролирует их исполнение. В этом случае можно ограничиться тремя специалистами, работающими в режиме 12/7 и возможностью ночных вызовов при необходимости.

Если же субъект ГосСОПКА не считает критичным риск нарушения доступности объектов КИИ на 18+ часов, обслуживать средства защиты можно и силами 1 специалиста в режиме 8х5.

Важно понимать, что несмотря на существенно меньший объем инцидентов в ночные часы, самые важные и критичные события происходят как раз ночью и к моменту старта утренней смены уже теряют свою актуальность. Однако именно выстраивание режима работы 24х7 вызывает затруднения у большинства SOC: не каждый специалист захочет работать посменно. Редкий сотрудник будет продолжительное время мотивирован на качественную работу, особенно если в вашей инфраструктуре происходит мало инцидентов. Все это означает, что вам придется планомерно решать вопросы текучки кадров, непрерывно подбирая и обучая новых специалистов.

 

Вторая линия

На этой ступени, как правило, уже не обойтись без помощи опытного подрядчика — если, конечно, вы считаете деньги и не намерены превращаться в ИБ-компанию полного цикла. Ведь помимо специалистов по ликвидации последствий компьютерных инцидентов и по оценке защищенности, вторая линия включает довольно специфические позиции. Это весьма дорогостоящие специалисты, которые не нужны вам fulltime, но без которых ваш SOC вряд ли сможет соответствовать гордому званию центра ГосСОПКА — пентестеры, форензеры, эксперты по анализу кода. В итоге минимальный состав собственного персонала на второй линии — 3–4 сотрудника в зависимости от уровня задач.

Среди них — специалисты по ликвидации последствий компьютерных инцидентов, опытные сотрудники, выросшие из первой линии, которые знают, как обрабатывать нетиповые инциденты и оказывать помощь первой линии при возникновении сложностей.

Центр ГосСОПКА обязан регулярно оценивать защищённость информационных ресурсов в своей зоне ответственности, однако не каждая организация может себе позволить собственную команду пентестеров, которые бы держали коллег в постоянном тонусе. Тем более, что согласно методическим рекомендациям, тестирование на проникновение должно проводиться дважды в год — внешнее и внутреннее. Этот вопрос вполне успешно закрывается силами опытного внешнего подрядчика, специалисты которого работают с множеством разных заказчиков, а значит, регулярно повышают свою квалификацию в «боевых» условиях.

В штате мы рекомендуем оставить только одного специалиста по оценке защищённости, чьими основными обязанностями будут инвентаризация информационных ресурсов, наполнение и поддержание в актуальном состоянии базы CMDB, работа со сканером защищённости, обработка уязвимостей и контроль патч-менеджмента.

Также, если для субъекта КИИ актуально внедрение жизненного цикла безопасной разработки ПО, для выявления уязвимостей может применяться статический и динамический анализ исходного кода. При этом appsec-специалист нужен только в очень ограниченном для КИИ количестве кейсов — здесь логично привлечь внешнюю экспертизу.

Кроме этого, в зрелом SOC ещё и есть специалисты по установлению причин компьютерных инцидентов. Как правило, это тоже целая команда инженеров, которая нужна всего несколько раз в год, и мы рекомендуем не обременять себя их содержанием, а заключать договоры с компаниями, которые занимаются форензикой на постоянной основе.

 

Третья линия

Решение ключевых стратегических задач и верхнеуровневое управление, которые реализуются третьей линией, стоит аккумулировать на своей стороне. Минимальный состав такого блока — 5 специалистов.

Это, в частности, технические эксперты — инженеры узкой специализации, отвечающие за свою область экспертизы. В штате крупных центров должны быть выделены специалисты по всем необходимым направлениям (WAF, МСЭ, IDS/IPS, СКЗИ и т.д.). Мы же ограничимся двумя техническими экспертами, которые должны оказывать экспертную поддержку специалистам 1-й и 2-й линий.

За оценку соответствия уровня защищенности организации положениям закона отвечает методолог (аудитор ИБ) — эксперт в сфере нормативно-правовых актов и требований регуляторов (ФСТЭК, ФСБ, ЦБ, РКН).

Аналитик-архитектор занимается разработкой новых коннекторов, сценариев SIEM, обновлением правил и политик средств защиты в соответствии с данными Threat Intelligence, анализом срабатываний False Positive, анализом аномалий.

Руководитель центра ГосСОПКА должен, несомненно, обладать глубокими знаниями нормативной базы и иметь за плечами не менее 10 лет практического опыты в ИБ-отрасли.

 

Кстати, о практике

Все эти рекомендации служат скорее отправной точкой, нежели точным руководством к действию. Безусловно, при создании собственного центра у вас получится свое штатное расписание. В одной линии специалистов будет больше, в другой — меньше, в третьей появятся несколько иные роли или они уйдут на повышение/понижение.

Например, для одного из наших заказчиков мы построили SOC, где функции 1-й линии мониторинга в режиме 24х7 оставили за собой, а вторую линию (группу реагирования из 5 человек) и аналитику третьей заказчик нанял самостоятельно. Кроме того, в организации уже был руководитель ИБ (он и возглавил SOC), а также методолог и ИТ-подразделение, которое занималось в том числе и инвентаризацией.

Другой заказчик добавил в первую линию роли руководителя группы мониторинга и ответственных за взаимодействие с пользователями, а также увеличил количество специалистов по мониторингу до восьми. Во второй линии за ликвидацию последствий отвечало три сотрудника, а специалиста по форензике всё-таки взяли в штат. Общая численность команды центра ГосСОПКА в этой компании составила 20 человек.

В конечном счете штатный состав центра зависит от ключевых векторов развития вашего SOC, которые определяются и корректируются в процессе анализа инцидентов. При этом, особенно на начальных этапах, целесообразно использовать возможности сервис-провайдера для «тестового» масштабирования лицензий и персонала. В этом случае вы сможете точнее оценить ресурсные потребности, избежав лишних капитальных вложений. Например, один из клиентов отдал нам все операционные функции по работе центра, а за собой оставил только взаимодействие с НКЦКИ (отправку отчетов о произошедших инцидентах).

Если же говорить о нашей типовой схеме принятия инфраструктуры заказчика на мониторинг, то на стороне заказчика, как правило, есть:

  • Два сотрудника, которые принимают сообщения от группы мониторинга Solar JSOC и реагируют на инциденты в соответствии с нашими рекомендациями.
  • Один специалист по сканированию уязвимостей.
  • Менеджер по управлению сервисом.

Но у каждого свой путь в построении центра ГосСОПКА, и мы надеемся, эта статья помогла вам определиться с вашим.

Источник: habr.com