Кадровая алхимия: каков оптимальный состав команды центра ГосСОПКА?

    image

    Эта статья пригодится тем, кто работает в компании, признанной субъектом критической информационной инфраструктуры (КИИ), а значит — обязанной выполнить требования №187-ФЗ и построить центр ГосСОПКА (Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак), соответствующий требованиям ФСБ России.

    В прошлой статье мы затронули самые основы этой темы и рассказали о требованиях ФСБ к техническим средствам, которые должны использоваться в центре ГосСОПКА. Однако эти требования (едва ли не впервые) распространяются не только на технические средства защиты, но и на реализацию конкретных процессов мониторинга, реагирования и расследования инцидентов ИБ. Поэтому сегодня мы расскажем о том, какие кадровые ресурсы вам понадобятся, чтобы все эти процессы обеспечить.

    Сначала пара слов о том, почему мы вообще раздаем советы на эту тему. По сути, центр ГосСОПКА — это небольшой внутренний центр мониторинга и реагирования на кибератаки
    (Security Operations Center), только с дополнительными задачами и обязанностями. Семилетняя практика оказания таких сервисов, более сотни крупнейших компаний под защитой, а также опыт создания центров ГосСОПКА для заказчиков помогли нам в свое время достаточно глубоко проработать вопросы кадровой «алхимии». И, разумеется, на этом пути мы регулярно искали варианты оптимизации расходов на персонал при сохранении требуемого высокого уровня обслуживания.

    В частности, команда должна быть в состоянии выдерживать достаточно жесткий SLA: у специалистов Solar JSOC есть всего 10 минут на детектирование атаки и всего 30 — на реагирование и защиту. При этом выработанные нами кадровые стандарты позволяют масштабировать команду в зависимости от фактического объема инцидентов у заказчика (а он год от года, поверьте, не сокращается).

    В данном материале мы суммировали свои наработки и дали минимальную конфигурацию организационно-штатной структуры SOC, при которой он сможет выполнить все необходимые функции центра ГосСОПКА и соответствовать методическим рекомендациям регулятора.

    Первая линия


    Как показывает практика, для защиты на этом рубеже требуется минимум 7 специалистов — с учетом того, что большинство из них работает посменно, обеспечивая режим 24х7. Это, в частности, специалисты по мониторингу — их должно быть не менее 6 человек. В этом случае вы не только реализуете круглосуточный контроль над системами предприятия, но и сможете не позднее 24 часов предоставлять информацию о компьютерных инцидентах в ФСБ в соответствии с приказом № 367 от 24.07.2018.

    В случае со специалистами по обслуживанию СЗИ ГосСОПКА возможны разные варианты.

    Первый — у субъекта КИИ масштабная архитектура, и требуется обеспечить постоянную доступность критичных сервисов, а из-за остановки/недоступности/нарушения работы СЗИ организация понесёт денежные и/или репутационные потери, и при этом высок риск ущерба окружающей среде и людям. В этом случае потребуется нанять 6 человек которые обеспечат посменную работу 24х7.

    Другой вариант: у субъекта все те же масштабная архитектура и критичные сервисы, требующие постоянной доступности, при этом все операции с оборудованием производят службы ИТ, а ИБ-подразделение определяет правила функционирования и контролирует их исполнение. В этом случае можно ограничиться тремя специалистами, работающими в режиме 12/7 и возможностью ночных вызовов при необходимости.

    Если же субъект ГосСОПКА не считает критичным риск нарушения доступности объектов КИИ на 18+ часов, обслуживать средства защиты можно и силами 1 специалиста в режиме 8х5.

    Специалист

    Обязанности

    Требования к квалификации

    Режим

    Кол-во

    Специалист по мониторингу


    • Обработка типовых инцидентов из HelpDesk, IRP, SIEM или от пользователей.
    • Типовые отчеты по результатам рассмотрения.
    • Мониторинг состояния источников.
    • Ретроспективные проверки (при поступлении новых индикаторов компрометации).

    • Системное администрирование (Linux/Mac/Windows).
    • Знание различных СЗИ.
    • Знание модели OSI.
    • Знание принципов защиты e-mail, мониторинга сети и реагирования на инциденты.
    • Опыт агрегации и анализа логов от множества гетерогенных СЗИ.

    24х7

    6

    Специалист по обслуживанию СЗИ ГосСОПКА


    • Мониторинг и диагностика проблем эксплуатируемого оборудования и ПО.
    • Плановое регламентное техобслуживание СЗИ.
    • Внеплановое обслуживание СЗИ.
    • Обслуживание внутренней инфраструктуры центра
    • Оперативное реагирование в случае многочисленных срабатываний False Positive.

    • Системное администрирование (Linux/Mac/Windows).
    • Знание различных СЗИ.

    24х7

    6

    12х7 + вызов в ночь

    3


    8х5


    1



    Важно понимать, что несмотря на существенно меньший объем инцидентов в ночные часы, самые важные и критичные события происходят как раз ночью и к моменту старта утренней смены уже теряют свою актуальность. Однако именно выстраивание режима работы 24х7 вызывает затруднения у большинства SOC: не каждый специалист захочет работать посменно. Редкий сотрудник будет продолжительное время мотивирован на качественную работу, особенно если в вашей инфраструктуре происходит мало инцидентов. Все это означает, что вам придется планомерно решать вопросы текучки кадров, непрерывно подбирая и обучая новых специалистов.

    Вторая линия


    На этой ступени, как правило, уже не обойтись без помощи опытного подрядчика — если, конечно, вы считаете деньги и не намерены превращаться в ИБ-компанию полного цикла. Ведь помимо специалистов по ликвидации последствий компьютерных инцидентов и по оценке защищенности, вторая линия включает довольно специфические позиции. Это весьма дорогостоящие специалисты, которые не нужны вам fulltime, но без которых ваш SOC вряд ли сможет соответствовать гордому званию центра ГосСОПКА — пентестеры, форензеры, эксперты по анализу кода. В итоге минимальный состав собственного персонала на второй линии — 3–4 сотрудника в зависимости от уровня задач.

    Среди них — специалисты по ликвидации последствий компьютерных инцидентов, опытные сотрудники, выросшие из первой линии, которые знают, как обрабатывать нетиповые инциденты и оказывать помощь первой линии при возникновении сложностей.

    Центр ГосСОПКА обязан регулярно оценивать защищённость информационных ресурсов в своей зоне ответственности, однако не каждая организация может себе позволить собственную команду пентестеров, которые бы держали коллег в постоянном тонусе. Тем более, что согласно методическим рекомендациям, тестирование на проникновение должно проводиться дважды в год — внешнее и внутреннее. Этот вопрос вполне успешно закрывается силами опытного внешнего подрядчика, специалисты которого работают с множеством разных заказчиков, а значит, регулярно повышают свою квалификацию в «боевых» условиях.

    В штате мы рекомендуем оставить только одного специалиста по оценке защищённости, чьими основными обязанностями будут инвентаризация информационных ресурсов, наполнение и поддержание в актуальном состоянии базы CMDB, работа со сканером защищённости, обработка уязвимостей и контроль патч-менеджмента.

    Также, если для субъекта КИИ актуально внедрение жизненного цикла безопасной разработки ПО, для выявления уязвимостей может применяться статический и динамический анализ исходного кода. При этом appsec-специалист нужен только в очень ограниченном для КИИ количестве кейсов — здесь логично привлечь внешнюю экспертизу.

    Кроме этого, в зрелом SOC ещё и есть специалисты по установлению причин компьютерных инцидентов. Как правило, это тоже целая команда инженеров, которая нужна всего несколько раз в год, и мы рекомендуем не обременять себя их содержанием, а заключать договоры с компаниями, которые занимаются форензикой на постоянной основе.

    Специалист


    Обязанности


    Требования к квалификации


    Режим


    Кол-во


    Специалист по ликвидации последствий КИ


    • Реагирование на сложные инциденты.
    • Контроль взаимодействия СЗИ с SIEM.
    • Анализ аномальных активностей для выявления инцидентов.
    • Расследования DDoS-атак.
    • Оперативное реагирование в случае многочисленных срабатываний False Positive.

    Те же, что в первой линии, плюс:


    • Знание скриптовых языков (Python, Bash, Powershell).
    • Осведомлённость в управлении уязвимостями и номерах CVE.
    • Управление логами и патч-менеджмент в семействах ОС Windows и Linux.
    • Сертификаты или знания, соответствующие CISSP/CEH.
    • Особое внимание на SIEM-системы

    8х5 с вызовом в ночь/выходные


    2


    12х7 + вызов в ночь


    3


    Специалист по оценке защищенности


    • Сканирования на уязвимости и compliance.
    • Настройка профилей сканирования.
    • Анализ уязвимостей по отчетам сканера безопасности.
    • Наполнение базы CMDB.

    Работа с инструментами инвентаризации, средствами контроля защищённости


    8х5


    1


    DevSecOps-/QA-специалист

    Статический и динамический анализ исходного кода ПО

    Построение appsec CI/CD, работа со статическими и динамическими анализаторами кода, Fuzzing

    Субподряд


    Пентестеры/ Redteam


    • Тесты на проникновение.
    • Разработка IoC по результатам проведенных исследований.

    • Проведение внутренних и внешних пентестов по всем стадиям killchain.
    • Владение инструментальными средствами обнаружения и эксплуатации уязвимостей.
    • Обход IDS/IPS и т.п.
    • Владение OSINT.
    • Bash, Powershell, Python.
    • Знание методик проведения тестов.

    Субподряд


    Специалист по установлению причин компьютерных инцидентов


    • Reverse-инжиниринг образцов вредоносных файлов.
    • Форензика дампов сетевого трафика, ОЗУ, слепков дисков.
    • Host-based форензика.

    • Расследование инцидентов.
    • Сбор и анализ свидетельств, взаимодействие с правоохранительными органами (работа с системами форензики, реверс-инжинирингом и т.д.)

    Субподряд


    Третья линия


    Решение ключевых стратегических задач и верхнеуровневое управление, которые реализуются третьей линией, стоит аккумулировать на своей стороне. Минимальный состав такого блока — 5 специалистов.

    Это, в частности, технические эксперты — инженеры узкой специализации, отвечающие за свою область экспертизы. В штате крупных центров должны быть выделены специалисты по всем необходимым направлениям (WAF, МСЭ, IDS/IPS, СКЗИ и т.д.). Мы же ограничимся двумя техническими экспертами, которые должны оказывать экспертную поддержку специалистам 1-й и 2-й линий.

    За оценку соответствия уровня защищенности организации положениям закона отвечает методолог (аудитор ИБ) — эксперт в сфере нормативно-правовых актов и требований регуляторов (ФСТЭК, ФСБ, ЦБ, РКН).

    Аналитик-архитектор занимается разработкой новых коннекторов, сценариев SIEM, обновлением правил и политик средств защиты в соответствии с данными Threat Intelligence, анализом срабатываний False Positive, анализом аномалий.

    Руководитель центра ГосСОПКА должен, несомненно, обладать глубокими знаниями нормативной базы и иметь за плечами не менее 10 лет практического опыты в ИБ-отрасли.

    Специалист

    Обязанности

    Требования к квалификации

    Режим

    Кол-во

    Технический эксперт


    • Внутренние технологические работы по развертыванию стендов.
    • Тестирование новых продуктов для центра.
    • Оперативное реагирование в случае многочисленных ложных срабатываний сценариев.
    • Анализ качества контента, формирование требований на доработку.
    • Проведение Case Review, анализ качества разбора кейсов 1 линией.
    • Сводная аналитика срабатываний False Positive, рекомендации по устранению.

    Эксперты по своей специализации (вредоносное ПО, настройка СЗИ, применение специализированных технических средств и т.п.),


    8х5


    2


    Методолог (аудитор ИБ)


    • Разработка и поддержание в актуальном состоянии организационно-распорядительной ИБ-документации (политики, регламенты, инструкции).
    • Организация и контроль соблюдения требований законодательства и отраслевых стандартов ИБ.
    • Участие в подготовке и заключении договоров; анализ применимости и выполнимости требований контрагентов с точки зрения ИБ; анализ договоров с точки зрения соответствия политикам и стандартам безопасности.
    • Разработка и обеспечение программы повышения ИБ-осведомленности в компании.
    • Инвентаризация и классификация информационных активов со стороны описания в документации.

    Эксперт в области complience и разработки методических документов.


    Опыт в разработке моделей угроз и нарушителя, методических рекомендаций.


    8х5


    1


    Аналитик-архитектор


    • Разработка коннектора.
    • Адаптация сценариев к особенностям функционирования ИС.
    • Разработка сценариев для новых источников.
    • Оптимизация сценариев.
    • Разработка сценариев при поступлении Threat Intelligence.
    • Эмуляция атак и разработка сценариев по их детектированию

    Владение в совершенстве процессом и средствами обеспечения (SIEM) по своему направлению:

    • Vulnerability Assessment.
    • Continuous diagnostics and mitigation.

    Умение адаптировать IoC от систем Threat Intelligence к ИС субъекта ГосСОПКА

    8х5


    1


    Руководитель


    • Общее руководство и оркестрация.
    • Повышение осведомлённости сотрудников субъекта ГосСОПКА.
    • Проведение «киберучений».

    • Руководство коллективом
    • Опыт в ИБ от 10 лет
    • Знание нормативных документов ФСБ и ФСТЭК

    8х5


    1



    Кстати, о практике


    Все эти рекомендации служат скорее отправной точкой, нежели точным руководством к действию. Безусловно, при создании собственного центра у вас получится свое штатное расписание. В одной линии специалистов будет больше, в другой — меньше, в третьей появятся несколько иные роли или они уйдут на повышение/понижение.

    Например, для одного из наших заказчиков мы построили SOC, где функции 1-й линии мониторинга в режиме 24х7 оставили за собой, а вторую линию (группу реагирования из 5 человек) и аналитику третьей заказчик нанял самостоятельно. Кроме того, в организации уже был руководитель ИБ (он и возглавил SOC), а также методолог и ИТ-подразделение, которое занималось в том числе и инвентаризацией.

    Другой заказчик добавил в первую линию роли руководителя группы мониторинга и ответственных за взаимодействие с пользователями, а также увеличил количество специалистов по мониторингу до восьми. Во второй линии за ликвидацию последствий отвечало три сотрудника, а специалиста по форензике всё-таки взяли в штат. Общая численность команды центра ГосСОПКА в этой компании составила 20 человек.

    В конечном счете штатный состав центра зависит от ключевых векторов развития вашего SOC, которые определяются и корректируются в процессе анализа инцидентов. При этом, особенно на начальных этапах, целесообразно использовать возможности сервис-провайдера для «тестового» масштабирования лицензий и персонала. В этом случае вы сможете точнее оценить ресурсные потребности, избежав лишних капитальных вложений. Например, один из клиентов отдал нам все операционные функции по работе центра, а за собой оставил только взаимодействие с НКЦКИ (отправку отчетов о произошедших инцидентах).

    Если же говорить о нашей типовой схеме принятия инфраструктуры заказчика на мониторинг, то на стороне заказчика, как правило, есть:

    • Два сотрудника, которые принимают сообщения от группы мониторинга Solar JSOC и реагируют на инциденты в соответствии с нашими рекомендациями.
    • Один специалист по сканированию уязвимостей.
    • Менеджер по управлению сервисом.

    Но у каждого свой путь в построении центра ГосСОПКА, и мы надеемся, эта статья помогла вам определиться с вашим.
    • +11
    • 2,2k
    • 7
    Ростелеком-Солар
    221,57
    Безопасность по имени Солнце
    Поделиться публикацией

    Комментарии 7

      +3
      боюсь я во все эти «Гос Фед Надзор Оборон» тыжпрограммистом идти
        +2
        Давным-давно (ну, в 80-е, например) попасть на работу в оборонку было не так плохо. Не считая того, что «компьютерщику» попасть куда-то мимо было непросто. А, попав, человек видел плюсы.
        1 — «куда ты денешься с подлодки». Ездить из страны было сложно: свободно ехать не пускали/валюту не продавали. Поэтому «невыездной» — не пугало. А вот страна была большая. Особо радовались туристы, водники и горники. Почему-то на всяких «ящиках» жизнь молодежи кипела. Там и вольнодумцев было больше.
        2 — «платят больше». Да.
        3 — «острие прогресса». Самая новая техника, вся печатная продукция по теме и самые новые задачи. И возможности роста.
        Сейчас-то все эти пункты развернуты наоборот. От того и нет желания в какие-то секреты ввязываться.
        Есть еще (личное) — после развала страны родственники оказались за границей. Лишиться возможности просто так съездить к ним в гости — похоже на лишение остатков свободы.
        Мое «имхошное»: все эти «Гос Фед Надзор Оборон» — для стариков, досиживать век. «Ночной ай-ти сторож».
        +1
        Оперативное реагирование в случае многочисленных ложных срабатываний сценариев.

        А если срабатывание неложное, то куда бежать руководителю центра ГосСОПКА?

          0
          По возможности самостоятельно реагировать и ликвидировать последствия с участием службы ИБ и ИТ компании, при невозможности – просить содействия у вышестоящего центра
          0
          Пора конечно новое название для этой идеи искать, от старого всех уже должно начать подташнивать.
            0
            Коллеги, я могу ошибаться, но мне кажется, что в статье есть неточность в части определения «центра Госсопки». Можно создать отраслевой или ведомственный центр Госсопки, но никак не абстрактный «центр Госсопки» как утверждают авторы.
            Отраслевой центр может создавать любой крупный игрок в той или иной отрасли экономики РФ (например для внедрения единой политики ИБ среди дочерних организаций), а ведомственный — соответственно, федеральный орган исполнительной власти (например, для внедрения единой политики ИБ среди многочисленного количества подведомственных организаций). Процедура создания ведомственных центров регламентируется в том числе ведомственными актами и не совсем вписывается в данную статью. Процедура создания отраслевых SOCов — вполне вписывается. Именно поэтому уточнение весьма важно на мой взгляд.
              0
              На текущий момент нет термина отраслевой центр ГосСОПКА. Но есть корпоративный, который может быть нацелен как на обеспечение безопасности внутренней инфраструктуры и дочерних обществ (например созданный в рамках госкорпорации или крупного бизнеса), так и на оказание коммерческих услуг организациям рынка.

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

            Самое читаемое