
Начать хотел бы с того, что в 2012 и 2013 годах я имел честь выступать на данном мероприятии:

и планировал продолжать это делать, но второй год мои доклады не проходят отборочный тур (заявлял темы «from SIEM to SOC» и «Is SIEM dead?»).
Ничего страшного в этом нет, подготовлю более интересный материал к следующему разу.
Но заметка не об этом.
Я хотел бы отметить интересные цифры, относящиеся персоналу Центров операционной безопасности (Security Operations Center, SOC), которые были озвучены на секции «Эволюция SOC – 2017: план развития» (
- Microsoft Corp. имеет в своем составе Microsoft Cyber Defense Operations Center, в котором работают более 50 человек, здесь стоит отметить, что помимо этого подразделения в корпорации есть еще 8 ИБ-команд, с которыми данный центр взаимодействует (сервисные ИБ-инженеры, юридические консультанты, ИБ-специалисты по продуктам Microsoft, отдельно по Azure, отдельно по Office 365, Risk Management, Threat Intelligence и Response команды);
- ПАО «Ростелеком» имеет в составе своего SOC-а более 25 человек и продолжает набор, целевые показатели не были озвучены;
- ПАО Сбербанк озвучил целевой показатель для своего SOC-а или даже точнее Fusion Center – 400 человек.
Цифры конечно немаленькие, хотя и компании ТОП-овые, скажите вы, но стоит отметить, что ряд вендоров обозначал, что "начинается" SOC хотя бы с десяти человек.
Реально ли это для организаций, где все ИБ-подразделение составляет 3-5 человек, вместе с руководителем и профильными ответственными за документальное обеспечение и например за жизненный цикл сертификатов ключа проверки электронной подписи.
Мое мнение пока остается прежним, сначала определите:
- какие задачи в рамках операционной деятельности вы реализуете и как с ними справляется "текущая версия" ИБ-подразделения;
- нужна ли отдельная организационная структура в виде SOC-а или вам достаточно "наложить" ее на то, что у вас уже есть;
- надо ли вам вообще это (это главный вопрос)?
Успехов при формировании вашей команды!