Реальная цена SOC: что скрывается за бюджетами на технологии

от

«Когда речь заходит о цене SOC, все считают железо и ПО. На деле это вопрос времени, квалификации и устойчивости процессов. Без них миллионы рублей превращаются в дорогостоящую игрушку для отчётов»

.

Что мы считаем «нормальным» SOC?

Прежде чем говорить о деньгах, нужно определить цель. «Нормальный» SOC в российском понимании — не столько технологический хаб уровня Голливуда, сколько признанный регулятором центр мониторинга и реагирования, соответствующий требованиям 152-ФЗ и приказам ФСТЭК. Это означает не просто сбор логов, а работающую модель угроз, прописанные регламенты и закрытие конкретных требований, например, по обнаружению APT-атак или обеспечению непрерывности мониторинга. Если ваша система не пройдёт проверку, то любые вложения обесценятся.

Разбиваем стоимость на ключевые блоки

Стоимость складывается не из одной позиции, а из нескольких взаимосвязанных пластов. Их можно разделить на капитальные (разовые) и операционные (ежемесячные).

Капитальные затраты (CapEx)

  • Технологическая платформа (SIEM/EDR/XDR): Лицензии на ПО для сбора, корреляции и анализа событий. Это ядро SOC. Российские решения могут быть сопоставимы по цене с иностранными аналогами, но часто требуют глубокой доработки под локальные стандарты. Стоимость сильно зависит от объёма собираемых логов в сутки (EPS).
  • Аппаратное обеспечение: Сервера для развёртывания платформы, хранилища данных, сетевое оборудование для выделенного сегмента. Закупка «железа» под ИБ — отдельная статья, так как требования к отказоустойчивости и сертификации выше.
  • Системы управления инцидентами (SOAR/Ticketing): Платформа для автоматизации реагирования и учёта инцидентов. Может быть частью SIEM или отдельным продуктом.
  • Средства дополнительного контроля (NTA/UEBA): Специализированные решения для анализа сетевого трафика или поведения пользователей. Не всегда являются обязательными на старте, но серьёзно повышают зрелость.
  • Разработка и интеграция: Самый скрытый и часто недооцениваемый пункт. Готовая коробка никогда не заработает «из коробки». Необходимы работы по подключению источников данных, написанию правил корреляции под вашу модель угроз, интеграции с другими системами компании.
  • Обучение персонала: Курсы по работе с выбранными технологиями и методологиям расследования инцидентов (например, на базе Mitre ATT&CK).

Операционные затраты (OpEx)

  • Заработная плата команды: Основная и самая большая статья. Минимальный состав — аналитики L1/L2, инженер по поддержке платформы, руководитель. Зарплатный фонд для команды из 4-5 человек в Москве или крупном региональном центре.
  • Обновление и сопровождение ПО: Годовые платежи за техподдержку, обновления лицензий и вендорскую поддержку.
  • Аренда помещений и инфраструктуры: Если SOC физически выделен, учитываются затраты на охраняемое помещение, связь, электропитание с ИБП.
  • Постоянное обучение и развитие: Мир угроз меняется, правила детектирования устаревают. Нужен бюджет на конференции, дополнительные курсы, подписки на актуальные разведданные об угрозах.
  • Аутсорсинг части функций (MDR/SOCaaS): Многие начинают с частичного выноса функций, например, круглосуточного мониторинга или анализа сложных инцидентов, на внешнего подрядчика. Это превращает капитальные затраты в операционные.

От абстрактных цифр к конкретным сценариям

Бессмысленно называть единую сумму. Стоимость кардинально различается в зависимости от масштаба компании и её требований.

Сценарий / Масштаб Ключевые характеристики Ориентировочный диапазон капитальных затрат (CapEx) Ежемесячные операционные затраты (OpEx)
Базовая модель для соответствия Стартап или небольшая компания. Цель — формальное закрытие требований 152-ФЗ по мониторингу. Минимальный сбор логов, готовые правила из коробки, команда 1-2 человека. От 1.5 до 3 млн руб. 300 — 600 тыс. руб. (в основном ФОТ)
Промышленный SOC для среднего бизнеса Компания с несколькими тысячами сотрудников, развитой ИТ-инфраструктурой. Требуется реальное обнаружение угроз, работа с EDR, базовые процессы реагирования. Команда 4-6 специалистов. От 5 до 15 млн руб. 1.2 — 2.5 млн руб.
Центр компетенций крупной корпорации или банка Высокие требования к безопасности, необходимость собственного Threat Intelligence, разработка сложных сценариев реагирования. Полный цикл: мониторинг, расследование, киберразведка. Команда 10+ человек. От 25 млн руб. и выше От 4 млн руб.

Где таятся скрытые расходы, о которых не пишут вендоры?

Именно эти пункты съедают бюджет и откладывают сроки.

  • Время на согласование и внедрение: В крупных организациях процесс выбора вендора, проведения пилотов и согласования бюджета может занять год и более. Все это время проект не приносит пользы, но требует ресурсов.
  • «Под ключ» оказывается «под откос»: Вендорские интеграторы часто выполняют работы по минимальному чек-листу. После их ухода выясняется, что правила не детектируют реальные атаки, система падает под нагрузкой, а документация не соответствует действительности. Доработка силами собственных специалистов требует дополнительных месяцев и денег.
  • Стоимость данных: Чем больше логов вы собираетесь анализировать, тем дороже лицензия SIEM и мощнее требуется хранилище. Неверная оценка объёма событий на старте ведёт к резкому удорожанию проекта уже на первом году эксплуатации.
  • Выгорание и текучка аналитиков

    : Монотонная работа в режиме 24/7, высокий уровень стресса и дефицит кадров на рынке приводят к частой смене персонала. Каждый уход, это потеря знаний о вашей инфраструктуре и затраты на поиск и обучение нового сотрудника.

Альтернатива: можно ли обойтись без многомиллионных вложений?

Да, если пересмотреть саму модель. Построение классического SOC — не единственный путь.

  • Фокус на EDR/XDR вместо тяжелого SIEM: Современные платформы класса Endpoint Detection and Response часто имеют встроенные облачные консоли управления и базовые возможности корреляции. Для многих организаций этого достаточно для начала. Это снижает затраты на развёртывание и поддержку сложной SIEM-платформы.
  • Гибридная модель (In-house + MDR): Своими силами создаётся костяк команды и внедряются ключевые технологии. Функции круглосуточного мониторинга, первичного анализа и приоритизации инцидентов передаются специализированному провайдеру Managed Detection and Response. Это позволяет быстро получить экспертизу, не нанимая большую ночную смену.
  • Поэтапное развитие, а не big bang: Вместо закупки всей дорогостоящей экосистемы сразу, проект разбивается на этапы. Первый год: сбор критичных логов и базовое реагирование. Второй год: внедрение автоматизации (SOAR) и сетевого анализа. Такой подход распределяет финансовую нагрузку и позволяет проверить гипотезы на практике.

Итог: цена, это не цифра в смете, а осознанный выбор модели

Спросить, сколько стоит SOC, — всё равно что спросить, сколько стоит дом. Ответ зависит от фундамента, материалов, размера и того, строите ли вы его сами или нанимаете подрядчика.

Ключевой вывод для российского ИБ-специалиста: основная стоимость сместилась с железа и лицензий на компетенции людей и отлаженность процессов. Можно потратить 10 миллионов на «коробочное» решение, которое не пройдёт проверку ФСТЭК из-за отсутствия регламентов. И можно, имея грамотную команду и чёткий план, начать с гораздо меньшего бюджета, последовательно наращивая зрелость.

Поэтому считать нужно не рубли, а время до достижения операционной готовности и соответствия тем требованиям, которые для вашей организации являются обязательными. Именно это и определяет реальную цену «нормального» SOC.

Оставьте комментарий