Почти не осталось компаний, которые не слышали про MSSP. Но мало кто понимает, как отличить реальную SOC-услугу от автоматизированной рассылки уведомлений от сканеров. Часто выбор сводится к цене или красивому дашборду. Это путь к иллюзии безопасности, которая в нужный момент окажется пустой обёрткой. Сейчас я разберу неочевидные, но критичные критерии, которые показывают, на что вы платите деньги. https://seberd.ru/6788
Регуляторное давление в виде требований 152-ФЗ и приказов ФСТЭК подталкивает компании к передаче функций мониторинга и реагирования на внештатные ситуации на аутсорсинг. Подрядчики, предлагающие Managed Security Service Provider (MSSP), часто кажутся панацеей, но рынок услуг безопасности в России фрагментирован. С одной стороны, есть крупные интеграторы с собственными SOC, с другой — множество мелких провайдеров, часто представляющих собой реселлеров зарубежных платформ с минимальной кастомизацией.
Первая и самая распространённая ошибка — выбор исходя из технологии, а не из модели работы. Заявления вроде “мы используем SIEM” или “у нас есть платформа X” не гарантируют качество услуги. Технология лишь инструмент, а суть — в процессах, квалификации аналитиков и глубине интеграции в вашу ИТ-среду.
Что на деле скрывается за термином MSSP
Управляемый сервис безопасности, это не единый продукт. Он представляет собой набор услуг, которые могут комбинироваться. Базовый уровень — мониторинг событий безопасности (поток логов в SIEM и их первичный анализ). Более глубокая услуга — обнаружение и реагирование на инциденты, включая расследование и рекомендации по устранению. Полноценный MSSP подразумевает также управление средствами защиты — антивирусами, межсетевыми экранами, системами предотвращения вторжений — по согласованной политике безопасности. Провайдеры исторически выросли из системных интеграторов или сервисных департаментов. Это накладывает отпечаток: их сильная сторона — развёртывание и поддержка инфраструктуры, но не обязательно непрерывная аналитическая работа. Другие, особенно появившиеся в последние 3–5 лет, строят свои сервисы на базе облачных SOC-платформ, что даёт быстрый старт, но часто ограничивает гибкость.
## На что смотреть в первую очередь: скрытые критерии
Глубина интеграции и права доступа
Стандартный вопрос — “какие источники вы подключаете?”. Но более важный — “как вы будете их подключать и что делать, если интеграция нестандартная?”. Например, мониторинг ERP-системы или промышленных контроллеров часто выходит за рамки шаблонных коннекторов SIEM. Убедитесь, что провайдер готов работать с вашими специфичными системами, а не предлагает только список из коробки.
Модель предоставления прав. Облачный SOC, требующий полного административного доступа ко всем системам, несёт высокие риски. Предпочтительнее модель, где права чётко сегментированы и ограничены необходимым минимумом для выполнения задач мониторинга и реагирования. Запросите схему разграничения прав и типовые роли доступа, которые будут использоваться.
Состав команды и модель эскалации
Не доверяйте общим фразам “у нас есть аналитики 2-го и 3-го уровня”.
- Какой средний опыт работы аналитиков в области ИБ?
- Есть ли в штате специалисты с отраслевыми сертификатами, актуальными для вашего сегмента (например, для банков или промышленности)?
- Как построена сменность? Существует ли полноценное круглосуточное дежурство или это режим “по вызову”?
Запросите детализированную модель эскалации инцидентов. Она должна чётко описывать, при каких условиях и в какие сроки информация передаётся от автоматики к аналитику 1-го уровня, затем к эксперту, и, наконец, — вашему ответственному лицу. Обратите внимание, указаны ли в модели конкретные временные рамки для каждого этапа.
Формат отчётности и метрики эффективности
Красивый дашборд с графиками, это не отчётность. Вас должен интересовать содержательный отчёт, который позволяет оценить как текущую обстановку, так и эффективность самого сервиса. Задайте вопросы:
- Какие метрики вы используете для оценки эффективности мониторинга (например, время до обнаружения, время до реагирования, процент ложных срабатываний)?
- Как в отчётах отражается динамика и улучшение ситуации, а не просто констатация фактов?
- Предоставляются ли рекомендации по устранению root-причин инцидентов, а не только по “закрытию” конкретной угрозы?
Сравните, предлагает ли провайдер разовые отчёты “по факту” или регулярную аналитику, включающую тенденции и прогнозы по вашей среде.
Правовая и регуляторная “чистота”
В условиях российского регулирования критически важно, чтобы провайдер мог работать в рамках требований 152-ФЗ о локализации данных и приказов ФСТЭК.
- На территории какой страны (региона) физически расположены серверы, обрабатывающие ваши логи и данные?
- Как обеспечивается конфиденциальность и защита передаваемых данных?
- Есть ли у провайдера аттестованные ФСТЭК специалисты и опыт прохождения проверок регуляторов со стороны заказчика?
Отсутствие ясных ответов на эти вопросы может в будущем привести к конфликту с требованиями регуляторов.
Какие вопросы задавать на переговорах и при оценке предложений
Составьте чек-лист вопросов, которые раскрывают не маркетинговую, а операционную сторону услуги.
Главный вопрос, который стоит задать себе: “Покупаем ли мы просто систему уведомлений или партнёра, который разделит с нами операционную нагрузку по безопасности?”. Ответ на него станет основой для выбора.
Риски при выборе MSSP
“Теневая” автоматизация. Услуга по факту сводится к автоматической пересылке алертов от EDR или файрвола без человеческого анализа. Спросите, какой процент событий обрабатывается аналитиками вручную.
Жёсткая привязка к “коробочной” платформе. Провайдер не может выйти за рамки возможностей конкретной SIEM-системы, что ограничивает адаптацию под ваши нужды.
Недостаток отраслевого контекста. Аналитики, не знакомые со спецификой вашего бизнеса (например, с процессами в розничной сети или на производстве), будут выдавать множество ложных срабатываний или, наоборот, пропускать аномалии.
Размытые границы ответственности. В договоре чётко не прописано, где заканчивается зона ответственности провайдера (обнаружение и рекомендации) и начинается ваша (непосредственное устранение угрозы на системах).
Выбор MSSP, это стратегическое решение, которое определяет операционную устойчивость компании на годы вперёд. Фокус должен сместиться с обсуждения технологий на оценку зрелости процессов, компетенций команды и готовности провайдера стать частью вашей экосистемы безопасности, а не просто внешним наблюдателем. Правильно заданные вопросы на старте позволяют отсеять поставщиков, продающих иллюзию контроля, и найти того, кто сможет нести реальную операционную нагрузку.