Оперативный центр информационной безопасности (ОЦИБ) – важный элемент в системе обеспечения информационной безопасности Казахстана, призванный охватить значимые для страны объекты информационно-коммуникационной инфраструктуры необходимыми мерами по кибербезопасности.
В результате введения регуляторных требований и повышения уровня осведомленности владельцев бизнеса об актуальности рисков информационной безопасности ОЦИБ как услуга становится все более распространенной и востребованной. Этому свидетельствует количество организаций, обладающих лицензией на предоставление данного вида услуг – 51.
При этом у потенциальных и даже действующих заказчиков услуги ОЦИБ часто возникают вопросы о том, что такое хороший ОЦИБ и как не ошибиться при его выборе.
Команда Security Operations Center (SOC) PS Cloud Services подготовила обзор-исследование о состоянии рынка ОЦИБ в Казахстане на декабрь 2024 года, в котором на основании информации из открытых официальных источников и методики оценки SOC (международный прообраз ОЦИБ) сформирована статистика по сервисам, которые, по заявлениям самих ОЦИБ, могут быть ими предоставлены. Также статистические данные дополнены так называемыми "неудобными" вопросами, призванными помочь заказчикам выбрать наиболее подходящий ОЦИБ для их бизнеса. Ранее в открытых источниках подобные исследования еще не публиковались.
Некоторые выводы и статистические показатели, характеризующие рынок ОЦИБ
1. Низкая информационная представленность ОЦИБ в Интернете. Из 51 организации, имеющей лицензию ОЦИБ, только 50 процентов на своих официальных интернет-ресурсах заявляют о предоставлении услуги ОЦИБ, 47 процентов дают описание сервисов ОЦИБ, а 16 процентов не имеют официального интернет-ресурса вовсе.
Низкая информационная представленность ОЦИБ не только усложняет выбор потенциальных поставщиков, но и указывает на недостаточную прозрачность рынка услуги и каналов ее продажи. Это влияет на формирование неоднозначности и недоверия в целом к услугам в сфере кибербезопасности.
2. Базовые сервисы по кибербезопасности имеются у большинства ОЦИБ. 88 процентов из числа ОЦИБ, имеющих описание сервисов, заявляют наличие базовых, на наш взгляд, сервисов ОЦИБ: Мониторинга событий ИБ, Управление инцидентами ИБ, Управление уязвимостями.
В первую очередь это связано с тем, что современные технические решения по безопасности (системы мониторинга, сканеры уязвимостей, платформы для автоматизации реагирования на инциденты и так далее) получают все большее распространение и их внедрение позволяет запустить хотя бы на базовом уровне процессы по обеспечению кибербезопасности.
3. Низкая распространенность экспертных сервисов кибербезопасности. 33 процента ОЦИБ (из числа описывающих свои сервисы) заявляют наличие сервиса Threat Intelligence (киберразведка или анализ угроз) и только 13 процентов – Threat Hunting (поиск угроз, не выявляемых стандартными решениями по безопасности).Данные сервисы играют ключевую роль при противодействии целевым атакам, которые в том числе актуальны для критически важных объектов информационно-коммуникационной инфраструктуры. Но низкий спрос на данные сервисы из-за недостаточной осведомленности заказчиков не стимулирует рынок ОЦИБ на развитие глубокой экспертизы по данным направлениям.
Какие решения для выявленных проблем предлагает SOC PS Cloud Services?
Во-первых, это повышение информированности о деятельности различных ОЦИБ. Это может быть достигнуто через активное присутствие в Интернете, предоставление актуальной и детальной информации о работе ОЦИБ, а также через активное участие их представителей в публичных мероприятиях. Например, в качестве спикеров в профильных конференциях по кибербезопасности. Все это позволит сформировать доверие как к отдельным организациям, так и к рынку ОЦИБ в целом.
Во-вторых, популяризация лучших международных практик, связанных с деятельностью Security Operations Center (как было указано выше, прообраза ОЦИБ). Это поможет заказчикам объективно оценивать и сравнивать поставщиков подобных услуг, а непосредственно ОЦИБ конкурировать между собой в более прикладной плоскости. Например, фреймворк SOC-CMM, использованный для подготовки нашего обзора-исследования, может стать полезным инструментом для этого.
В-третьих, повышение осведомленности в целом о системе управления информационной безопасностью в организации и о возможной роли ОЦИБ в ее реализации. Такие знания будут очень полезны для формирования корректных требований к ОЦИБ и контроля их исполнения, что напрямую влияет на состояние защищенности инфраструктуры заказчика.
Советы по выбору ОЦИБ с учетом результатов исследования
Рынок ОЦИБ пока неоднозначен. Но многим организациям уже сейчас необходимо выбрать партнера, которому они доверят реализацию ключевых мер по кибербезопасности.
Для того чтобы помочь в столь ответственном вопросе, в дополнение к вопросам из исследования SOC PS Cloud Services также подготовлены полезные советы, которые, уверены, пригодятся Вам при выборе поставщика услуги ОЦИБ.
Совет 1. Не бойтесь задавать неудобные вопросы
При выборе ОЦИБ важно не ограничиваться лишь ценой и объемом услуг. Старайтесь получить полное и подробное описание сервисов ОЦИБ, желательно опираясь на заранее подготовленный чек-лист из потребностей вашей организации и/или лучших практик по мерам обеспечения ИБ. Для этого в том числе вы можете использовать информацию из нашего исследования.
Совет 2. Спросите про план развития ОЦИБ
Видение развития ОЦИБ позволит вам определить:
системность его развития;
как учитываются потребности заказчиков;
какие имеются слабые стороны и когда они будут устранены.
Такая информация требует большой открытости со стороны ОЦИБ, но она необходима заказчику в том числе для планирования развития собственной системы управления информационной безопасности.
Совет 3. Узнайте про принципы управления ОЦИБ
Важно, чтобы в управлении ОЦИБ, начиная с организационной структуры и заканчивая операционной деятельностью, применялись общепризнанные методики для сервисов SOC, а за каждым направлением деятельности был ответственный сотрудник (менеджер, team leader), имеющий релевантный и подтверждаемый опыт в данной сфере.
Совет 4. Узнайте про меры для обеспечения безопасности инфраструктуры непосредственно самого ОЦИБ
ОЦИБ должен предоставить подробную информацию о мерах информационной безопасности, которые им реализуются для обеспечения надежности и защищенности своего сервиса. Здесь важны не только аспекты непрерывности предоставления услуги ОЦИБ, но и, что более важно, безопасность данных заказчика. Будет большим плюсом для ОЦИБ прохождение регулярных внешних аудитов.
Совет 5. Не забывайте про безопасность на инфраструктурном уровне.
Безусловно, ОЦИБ призван обеспечивать видимость угроз и вредоносной активности, чтобы на наиболее ранних этапах помочь их устранить. Но безопасность инфраструктуры также зависит от многих других аспектов, в частности связанных с ее сопровождением и администрированием, где полномочий ОЦИБ может быть недостаточно. Поэтому рекомендуется рассмотреть возможность использования и других аутсорсинговых услуг, например защищенной облачной инфраструктуры, которая также помогает минимизировать множество рисков информационной безопасности, но уже на инфраструктурном уровне.
Александр Косенков, SOC Manager PS Cloud Services
Фото: Алексей Мальченко
