Построение SOC для мониторинга КИИ

4. Технологический стек: SIEM, SOAR, EDR, NTA

Каждый элемент стека решает свою задачу. Ниже — обзор четырёх ключевых классов решений, необходимых для полноценного мониторинга ИБ 24/7.

4.1. SIEM — ядро SOC

SIEM система внедрение — отправная точка для любого SOC. Система собирает события из десятков источников, нормализует их в единый формат и применяет корреляционные правила для выявления инцидентов.

На российском рынке доступны решения, входящие в реестр отечественного ПО и имеющие сертификаты ФСТЭК/ФСБ:

• MaxPatrol SIEM (Positive Technologies) — лидер рынка, глубокая интеграция с PT NAD и PT Sandbox;
• KUMA (Kaspersky Unified Monitoring and Analysis Platform) — встроенная интеграция с НКЦКИ;
• R-Vision SIEM — часть экосистемы R-Vision, включающей SOAR и TIP;
• RuSIEM — лёгкое решение для среднего бизнеса;
• KOMRAD Enterprise SIEM — ориентирован на государственный сектор.

Выбор SIEM определяется количеством источников (EPS — events per second), требованиями к сертификации СЗИ и совместимостью с уже используемыми средствами защиты. Подробнее о требованиях к отечественным решениям — в статье «Импортозамещение на объектах КИИ».

4.2. SOAR — автоматизация реагирования

SOAR (Security Orchestration, Automation and Response) позволяет формализовать процедуры реагирования в виде playbook'ов и автоматически выполнять типовые действия: блокировку IP-адресов, изоляцию хоста, создание карточки инцидента для НКЦКИ. Без SOAR аналитики L1 тратят до 80 % времени на рутину, что критично при режиме 24/7.

4.3. EDR — видимость на конечных точках

EDR-агенты устанавливаются на серверы и рабочие станции, обеспечивая телеметрию процессов, файловых операций и сетевых подключений. Для объектов КИИ особенно важна возможность ретроспективного анализа — если SIEM зафиксировал подозрительную корреляцию, аналитик L2 должен «отмотать» цепочку событий на конечной точке.

4.4. NTA/NDR — контроль сетевого трафика

Network Traffic Analysis выявляет аномалии в сетевом трафике: C2-каналы, lateral movement, эксфильтрацию данных. Для промышленных объектов КИИ (АСУ ТП) NTA часто оказывается единственным инструментом обнаружения, поскольку установка агентов на контроллеры и SCADA-серверы не всегда возможна.

4.5. Калькулятор технологической готовности SOC (авторский инструмент «Астелс»)

Для оценки полноты технологического стека используйте чек-лист ниже. Каждый пункт соответствует требованию приказа ФСБ № 196 к средствам ГосСОПКА.

Если хотя бы одна обязательная функция не закрыта, SOC не будет соответствовать требованиям приказа ФСБ № 196 и не сможет полноценно взаимодействовать с ГосСОПКА.

5. Свой SOC (Capex) vs SOCaaS (Opex) — сравнительный анализ

Один из первых стратегических вопросов для CISO — строить SOC самостоятельно или приобрести мониторинг как услугу. Решение зависит от бюджета, зрелости ИБ-процессов и регуляторных ограничений.

Гибридная модель

На практике многие организации выбирают гибридный подход: SIEM и EDR разворачиваются on-premise (данные не покидают контур), а дежурная смена L1 и часть аналитики L2 передаются коммерческому SOC-провайдеру. Это позволяет совместить контроль над данными с экономией на персонале и сократить время вывода SOC в рабочий режим до 2–3 месяцев.

При любой модели критически важно корректно провести инвентаризацию ИТ-активов и категорирование объектов КИИ, чтобы определить периметр мониторинга.

6. Кадровая модель и линии поддержки L1–L3

Технологии без квалифицированной команды бесполезны. SOC центр КИИ в режиме 24/7 требует выделенного штата с чёткой ролевой структурой.

Итого минимальный штат для собственного SOC в режиме 24/7 — 12–16 человек. С учётом дефицита специалистов ИБ на российском рынке (по данным hh.ru, на одну вакансию SOC-аналитика приходится менее двух резюме) формирование команды занимает 3–6 месяцев и является одним из основных аргументов в пользу SOCaaS.

Важно: вне зависимости от выбранной модели, субъект КИИ обязан назначить ответственное лицо за обеспечение безопасности значимых объектов и закрепить это в организационно-распорядительной документации.

7. Дорожная карта запуска SOC за 6 месяцев

Ниже — поэтапный план построения SOC центра КИИ, апробированный на проектах «Астелс».

Этап 1. Аудит и проектирование (месяц 1–2)

• Аудит ИБ текущей инфраструктуры и оценка зрелости.
• Инвентаризация ИТ-активов и определение периметра мониторинга.
• Анализ модели угроз и определение use case для SIEM.
• Выбор модели (свой SOC / SOCaaS / гибрид) и утверждение бюджета.
• Разработка технического проекта и архитектуры.

Этап 2. Внедрение технологий (месяц 3–4)

• Развёртывание SIEM-системы, подключение приоритетных источников (AD, межсетевые экраны, антивирус, почтовый шлюз).
• Установка EDR-агентов на критичные серверы и АРМ.
• Настройка NTA-сенсоров на ключевых сегментах сети.
• Интеграция SOAR-платформы и разработка первых playbook'ов.
• Настройка модуля взаимодействия с ГосСОПКА / личным кабинетом НКЦКИ.

Этап 3. Формирование команды и процессов (месяц 4–5)

• Набор и обучение персонала L1–L3 (или подключение внешней дежурной смены).
• Разработка ОРД: регламенты мониторинга, процедуры эскалации, инструкции реагирования.
• Настройка корреляционных правил и пороговых значений.
• Тестирование сценариев реагирования на основе MITRE ATT&CK.

Этап 4. Запуск и стабилизация (месяц 5–6)

• Переход в режим 24/7: пилотный мониторинг с параллельным контролем.
• Калибровка правил: снижение false positive до приемлемого уровня (< 15 %).
• Подключение к ГосСОПКА и тестовая передача карточек инцидентов.
• Формирование отчётности и метрик SOC (MTTD, MTTR, количество инцидентов по категориям).
• Подготовка к проверке ФСТЭК/ФСБ.

Для автоматизации учёта объектов КИИ и управления соответствием рекомендуем параллельно внедрять SGRC-платформу, которая станет «единым окном» для руководителя SOC и CISO.

8. Как «Астелс» помогает построить SOC под требования КИИ

Компания «Астелс» (sertifikat.bz) реализует проекты по построению SOC «под ключ» для субъектов КИИ любого масштаба. Наш подход включает:

• Комплексный аудит — оценка текущей зрелости, аудит ИБ перед проверкой ФСТЭК, определение оптимальной модели SOC.
• Проектирование архитектуры — подбор технологического стека с учётом требований импортозамещения и сертификации СЗИ.
• Внедрение SIEM, SOAR, EDR, NTA — развёртывание, подключение источников, разработка корреляционных правил.
• Подключение к ГосСОПКА — настройка взаимодействия с НКЦКИ, тестирование обмена данными.
• Разработка ОРД — полный пакет организационно-распорядительной документации по КИИ.
• Сопровождение — техническая поддержка SOC, обучение персонала, подготовка к проверкам.

Стоимость проекта зависит от масштаба инфраструктуры, выбранной модели и состава работ. Ориентировочные расценки — в разделе «Сколько стоит категорирование КИИ». Для получения индивидуального расчёта и консультации — оставьте заявку на комплексную кибербезопасность КИИ.

Заключение

Построение SOC — это не только техническая задача по внедрению SIEM-системы. Это создание полноценной операционной функции, объединяющей людей, процессы и технологии для непрерывного мониторинга ИБ 24/7. С вступлением в силу приказа ФСБ № 548 и ужесточением контроля за взаимодействием с ГосСОПКА наличие работоспособного SOC центра КИИ становится обязательным условием для законной деятельности субъекта критической информационной инфраструктуры.

Выбор между собственным SOC и SOCaaS определяется масштабом организации, бюджетом и зрелостью ИБ-процессов. Для большинства субъектов КИИ оптимальным решением является гибридная модель с последующим наращиванием внутренних компетенций.

Не откладывайте построение SOC — запросите бесплатную консультацию у специалистов «Астелс» и получите дорожную карту, адаптированную под вашу инфраструктуру и категорию значимости объектов КИИ.