Ответы на вопросы с пленарной дискуссии KSD Минск 2023.pdf
1. Вопросы с пленарной дискуссии
«Создание SOC завтрашнего дня: искусство и наука построения центров
кибербезопасности»
1. Какая нужна минимальная численность персонала центра кибербезопасности для
выполнения требований приказа 130?
Ответ Алексея Павлова («Ростелеком Солар»): По практике для выполнения требований 130
приказа необходима численность от 10 человек с масштабированием в зависимости от размера
компании.
Ответ Романа Назарова («Лаборатория Касперского»): Приказ 130 не регулирует минимальное
число персонала напрямую, но приводит типовую структуру, состоящую из руководителя и 6
структурных подразделений, 2 из которых могут быть на аутсорсе (анализ ВПО и оценка
защищенности).
В штате остаются руководитель, аналитики, команда реагирования и инженеры, администратор
системы обмена, обеспечение кибербезопасности.
Учитывая необходимость функционирования ЦКБ 24x7 - минимальное кол-во аналитиков будет 5.
• Руководитель - 1
• Сбор и обработка событий - 5
• Реагирование + администрирование - 2
• Администрирование системы взаимодействия - 1
• Лицо, ответственное за обеспечение кибербезопасности - 1
Скорее всего роль по администрированию системы взаимодействия удастся совместить с
командой реагирования, но при этом я бы увеличил число команды реагирования до 3-х человек
Поэтому для минимального числа стоит ориентироваться на цифру 10, при учете аутсорса анализа
ВПО и оценки защищенности.
2. ЦКБ — это юрлицо или структурные подразделение должно быть?
Ответ Романа Назарова («Лаборатория Касперского»): Структурное подразделение.
3. Вопрос участникам дискуссии: какие направления и формы взаимодействия между ВУЗами,
готовящими специалистов по кибербезопасности и компаниями, работающими в этом
направлении, необходимо развивать для повышения качества подготовки специалистов.
Ответ Алексея Павлова («Ростелеком Солар»): На мой взгляд, обязательно заключать соглашения
о стажировке с профильными компаниями для получения практического опыта. Также отлично
работают форматы открытых уроков от профильных специалистов по кибербезу
Ответ «Лаборатории Касперского»: Считаем, что в основе такого взаимодействия должен лежать
практико-ориентированный подход – студенты вузов должны иметь возможность получить
экспертизу «из первых рук» и в процессе учебы соприкасаться не только с теорией, но
формировать реальный опыт на основе реальных и актуальных индустриальных задач. Именно
2. этот подход лёг в основу нашей специальной программы сотрудничества с вузами Kaspersky
Academy Alliance, в рамках которой мы открываем доступ к нашим учебным курсам с
практическими заданиями, опыту наших экспертов, а также – к решениям компании, которые
студенты теперь смогут «потрогать» своими руками.
Важно учить не только студентов напрямую, но и давать преподавателям наиболее актуальные
знания и инструменты, которые они могут использовать в образовательном процессе. Поэтому
«Лаборатория Касперского» проводит регулярные учебные интенсивы, лекции и тренинги для
преподавателей вузов и колледжей.
4. Роман, обучение должно быть публичным и доступным? Или это только коммерческие
проекты?
Ответ Романа Назарова («Лаборатория Касперского»): Если учитывать цель, такую как
повышение уровня в области кибербезопасности на национальном уровне, обучение ИБ
специалистов должно носить общедоступный характер и поддерживаться государством.
5. Алексей, на какое количество пользовательских устройств рассчитан Ваш SOC?
Ответ Алексея Павлова («Ростелеком Солар»): нашим сервисом SOC пользуются самые
различные компании от 200 человек до 120 тысяч. Скорее все зависит от критичности
защищаемых активов и систем.
6. Алексей, какие условия входа в закрытые SOC клубы?
Ответ Алексея Павлова («Ростелеком Солар»): в закрытые SOC-клубы можно вступить по заявке
при наличии SOC или планов по его строительству, с обязательной рекомендацией от
действующего члена клуба и требованием выступить с докладом
Вопросы к Александру Соколову (ОАЦ):
1. Как ОАЦ видят распределение ролей в системе построения кибербезопасности (Минсвязи,
Нцзпд, ЦЦР, НЦЭУ, офисы цифровизации)?
Ответ: Состав национальной системы обеспечения кибербезопасности и функции структурных
элементов определены Указом Президента РБ №40. Госорганы и иные организации (в т.ч. и
обозначенные) исполняют предъявляемые к ним требования по обеспечению кибербезопасности
ОИИ.
2. На каком сейчас этапе обеспечение кибербезопасности нацсегмента в рамках ЕЭК? Будут ли
приняты документы в развитие указа 40, в частности планируется ли менять подходы,
закрепленные в постановлении совмин 880?
Ответ: Необходимые для реализации мероприятий, предусмотренных Указом Президента РБ
№40, НПА либо опубликованы и вступили в силу, либо будут разработаны в установленные сроки.
3. 3. Будет ли ОАЦ регулировать ценовую политику в предоставлении услуг SOC.
Ответ: Некоторые инструменты предусмотрены и обозначены в Указе Президента РБ №40, иные
действия – в рамках законодательства и договорных отношений.
4. Какими критериями определяется или будет определятся эффективность SOC (ведущий
затронул вопрос спроса со стороны ОАЦ по результатам создания их). И есть ли
необходимость в их оценке?
Ответ: Отдельных критериев не предусмотрено, основная задача ЦК-реализация требований,
предъявляемых к ним, и постоянное стремление к повышению уровня экспертизы и качества
предоставляемых услуг.
5. Будет ли ОАЦ проводить проверки работы центров? Кто будет и как их контролировать? Что с
указом 510?
Ответ: Употребление термина «проверка» и Указа 510 некорректно в этом контексте. Будут
проводиться, по мере необходимости, мероприятия в рамках процедуры аттестации ЦКБ и п 3.3
Указа, реализации иных полномочий в соответствии с Указом Президента РБ 40.
6. Проводился ли экономический анализ выполнения требований? Может ли представитель
назвать среднюю стоимость выполнения требований к бизнесу в отрасли ИБ в разрезе их-же
классификации в части работы с персональными данными? Нет ли перегрузки затратной
части малого бизнеса? Были ли подобные жалобы со стороны субъектов хозяйствования РБ?
Ответ: Требования Указа определены с учетом необходимости обеспечения национальной
безопасности. Указ подписан после согласования с заинтересованными госорганами. Затратная
часть зависима от многих факторов.
7. Указом представителям национального центра кибербезопасности даны беспрецедентные
полномочия, объединившие полномочия следственных и контрольных органов, как будет
обеспечиваться соблюдение конституционных прав граждан этими людьми? Как можно
обжаловать их действия, в каком порядке?
Ответ: 1) Нормативные правовые акты (в том числе и Указ №40 Президента РБ) принимаются
(издаются) нормотворческим органом (должностным лицом) в пределах его компетенции,
установленной Конституцией Республики Беларусь и иными актами законодательства с
соблюдением установленной процедуры нормотворческого процесса. 2) В соответствии с
законодательными актами.
8. Может, есть количество уже созданных (аттестованных) центров кибербезопасности? Сколько
начальников центров прошли аттестацию? Кто может представить коммерческое
предложение по оказанию услуг по обеспечению кибербезопасности?
Ответ: На текущий момент аттестованных ЦКБ нет, но заявки поступают. В отношении одного из
потенциальных ЦКБ процедура аттестации инициирована. Все, кто присылал запрос на
согласование, проходят процедуру согласования в определенное время.
4. 9. В развитие указа 136 должен был вступить в марте в силу Указ о цифровом развитии. Этим
указом утверждается перечень офисов цифровизации. Вопрос - включены ли требования о
кибербезопасности в требования к офисам цифровизации и почему указ до сих пор не
принят?
Ответ: Требования по кибербезопасности предъявляются к объектам информационной
инфраструктуры. "Офисы цифровизации"- юр. лица, подчиненных (входящих в систему)
государственным органам и иным государственным организациям, и (или) структурные
подразделения государственных органов и иных государственных организаций, назначенные для
оказания услуг по организационно-техническому обеспечению реализации мероприятий в сфере
цифрового развития. Исключений в Указе №40, касающихся "офисов цифровизации" не
предусмотрено. Про НПА в развитие Указа №136 не по адресу (Минсвязи).
10. Вопрос: возможна ли работа ИБ на эффективное опережение атак? Может ли ИБ-сотрудник
не просто не выгорать выполняя рутинный анализ инцидентов, а глядя на свою
инфраструктуру разрабатывать планы атак, применять их на практике и в случае их успеха
разрабатывать меры противодействия? Не наблюдается ли в сфере ИБ преимущество,
атакующего в опыте и знаниях, времени, средств реализации атак?
Ответ: Возможна. Яркий пример: риск-ориентированный подход в определении необходимых
мер по обеспечению непрерывной работоспособности инфраструктуры, составление плана
восстановления в случае нарушения работоспособности.
11. Планируете ли внедрять в систему трудовых отношений NDA? Или хватит коммерческой
тайны?
Ответ: Ничто не мешает применять NDA и иные условия, обеспечивающие выполнение
требований по обеспечению кибербезопасности, самостоятельно.
12. Если в настоящее время преимущественно базы данных располагаются в облачных ресурсах,
собственником является не наша организация (это понятно), чья зона ответственности за
информационную безопасность?
Ответ: ответили на мероприятии
13. Принятие решений и влияние на стороннюю организацию, в которой наши данные хранятся и
обрабатываются, в случае инцидента ИБ: чем регулируется и как в этом случае можно влиять
на них?
Ответ: ответили на мероприятии
14. Уважаемые коллеги, вопрос по обеспечению SOC квалифицированными кадрами. На гос
уровне, есть ли программы по обучению специалистов в Вузах, далее на уровне вендоров-
подготовка/повышение проф. уровня под конкретные системы SOC?
5. 15. Не будет ли кадровый голод препятствием для эффективной работы того числа soc, которые
планируется создать в рамках 40-го Указа.
Ответ на 14-15: разрабатываются программы подготовки в ВУЗах, программы повышения
квалификации с привлечением вендоров СЗИ, решений, необходимых для организации
функционирования НСОКБ, растет вовлеченность вендоров в процессы, в том числе путем
открытия авторизованных учебных центров и авторизованных центров сертификации.
16. Мог бы ОАЦ стать инициатором предложения выделения в бюджетном финансировании для
государственных структур статьи на кибербезопасность?
Ответ: п.3.4 и п.3.11 Указа Президента РБ №40