— Существуют различные методики оценки зрелости SOC, например SOMM (Security Operations Maturity Model). Как бы вы, опираясь на эту методику, оценили зрелость SOC Сбербанка?
— По любой из методологий оценки мы находимся на первой (левой) половине шкалы. Мы это прекрасно понимаем и поэтому прямо сейчас проводим глобальные изменения в технологиях работы нашего SOC. Работа ведется по всем направлениям: и процессы, и люди, и технологии. Планка, которую мы поставили перед собой, находится на очень серьезной высоте. Уровень зрелости должен вырасти сразу на несколько пунктов. Мы должны уверенно держаться не ниже 2/3 шкалы оценки по любой из существующих методологий. К примеру, по SOMM, это четвертый (предпоследний) уровень с уверенным трендом в сторону максимума — пятого уровня.
Если называть фазы своими именами, то начальный уровень — это пре-SIEM, его мы прошли. Далее идут фазы от первой до четыртой. На первой фазе все правила корреляции работают правильно, но для ряда задач (отражение целевых атак) этого недостаточно. На следующем этапе становится понятно, что пора всерьез задуматься о Big Data. На высшем уровне все, что можно, уже внедрено, необходимо интегрироваться с внешними источниками данных, именно здесь подключается искусственный интеллект.
— Может ли считаться SOС полноценным, если у него нет SLA (Service Level Agreement), подразумевающего гарантированное время реагирования на различные события ИБ? Как обстоят дела с этим вопросом в Сбербанке?
— На наш взгляд, не может. Это принципиальный вопрос как с точки зрения понимания, зачем бизнесу ИБ, так и с точки зрения дисциплины внутри подразделения. Заключая SLA, мы начинаем лучше понимать сами себя. Это касается прежде всего ответственности людей за свою работу. Поэтому отношение к подготовке SLA соответствующее. В Сбербанке это процесс имеет две составляющие.