Сервис IZ:SOC компании «Информзащита» в обзоре на Anti-Malware

На  сайте anti-malware опубликован анализ российского рынка услуг и продуктов для центров мониторинга и реагирования на инциденты информационной безопасности (SOC – Security Operation Center), который проводился в преддверии важного для отрасли мероприятия – SOC-Форума. Это, пожалуй, первая такая глубокая аналитика коммерческих SOC, которая вобрала в себя сравнение по 179 критериям, характеризующим полноту и качество предоставляемых услуг.  

Для удобства все критерии разделены на следующие категории:

1. Общие сведения
2. Тестовый период
3. Личный кабинет
4. Мониторинг и управление событиями безопасности
5. Управление инцидентами
6. Расследование инцидентов
7. Управление средствами защиты
8. Услуги центра ГосСОПКА
9. Дополнительные услуги
10. Технологии поставщика SOC
11. Персонал SOC
12. Возможность двусторонней интеграции с инфраструктурой клиента
13. Гарантии качества (SLA)
14. Система оповещения и отчетность
15. Режим работы и техническая поддержка
16. Предоставление актуальных в рамках SOC средств защиты в аренду (MSSP)
17. Ценовая политика

Для участия в сравнении было отобрано шесть наиболее известных в России коммерческих SOC: Solar JSOC, BI.ZONE SOC, IZ:SOC, Angara Cyber Resilience Center, JET CSIRT, CyberART (ранее — SOC ICL СТ).

Все перечисленные поставщики сервисов SOC активно участвовали в выработке списка критериев сравнения и помогали со сбором необходимой информации. В приведенном сравнении нет итогового ранжирования, потому что в каждом конкретном случае заказчик сам определяет требования к технологиям или функциональным возможностям решения, а значит, сможет сделать из сравнения правильный именно для него вывод. 

Можно сделать вывод, что понимание ключевых функций, которые должен выполнять коммерческий центр мониторинга информационной безопасности, сильно разнится. Во многом это по-прежнему объясняется уровнем зрелости рынка SOC в России, который отстает от общемировых тенденций. Однако появление серьезной конкуренции, которой не было еще 2-3 года назад, оказывает благоприятное влияние на общее качество услуги в стране. Так, всеми поставщиками SOC применяется актуальный стек технологий, а компетенции и численность персонала растут.

Удовлетворяя совершенно разноплановые запросы клиентов, сервис-провайдеры оказывают дополнительные услуги, фокусируясь не только на классической для SOC задаче мониторинга и оперативного реагирования на инциденты ИБ, расширяют список сценариев реагирования на инциденты. У всех поставщиков есть возможность оказания технической поддержки 24х7, но конкретная сервисная программа может зависеть от тарифа.

С учетом отечественного законодательства все без исключения рассматриваемые игроки имеют соответствующие лицензии регуляторов, основная из которых — ФСТЭК ТЗКИ с пунктом «в». А вот подтверждений качества со стороны внешних сертификаций по ИБ — немного.

Сроки подключения услуги в среднем 1 месяц, с возможностью предварительного тест-драйва. Личный кабинет специально под сервис разработан еще не всеми, но даже в его отсутствие есть возможность попасть в собственную консоль SIEM или IRP.

Отдельно стоит упомянуть услуги центра ГосСОПКА. В настоящий момент не каждый провайдер готов похвастаться большим количеством клиентов, по факту их — единицы. Кроме того, на момент написания сравнения некоторые SOC еще не успели заключить официальное соглашение с НКЦКИ. Однако инфраструктура, отвечающая требования регулятора, построена у всех рассматриваемых поставщиков услуги.

Ознакомиться со сравнением можно на сайте: https://www.anti-malware.ru/compare/SOC-Security-Operations-Center.