Операционная модель: как наложить шесть функций NIST Cybersecurity Framework 2.0 на повседневную работу Security Operations Center. Каждая функция разобрана как набор зон ответственности, практических контролей, метрик и уровней зрелости — чтобы документ работал не как теория, а как чеклист внедрения и дорожная карта к совершенству.
Зачем этот документ. «Колёсико NIST» — это NIST Cybersecurity Framework, набор функций, расположенных по кругу. Сам по себе CSF — не технический стандарт и не чеклист настроек: это язык управления киберрисками, на котором удобно описывать, что именно делает организация и насколько зрело. Ценность для SOC в том, что он связывает разрозненные процессы (детектирование, реагирование, восстановление, отчётность) в единый цикл с понятными зонами ответственности и измеримой зрелостью.
Как пользоваться. Документ обезличен и не привязан к конкретным продуктам — везде указаны классы систем (SIEM, EDR/XDR, NDR, SOAR, IdP, CMDB, тикет-система). Подставляйте свой стек. Для каждой функции есть: суть, официальные категории с кодами, зона ответственности SOC, практическое внедрение, метрики и лестница зрелости от хаоса до адаптивности.
В версии 1.1 функций было пять. В CSF 2.0 (февраль 2024) добавлена шестая — Govern, и помещена она не в кольцо, а в центр: управление пронизывает все остальные функции. Решения о приоритетах, бюджете, рисках и ответственности из Govern определяют, как наполняются Identify→Recover. Для SOC это означает, что без управленческого контура (метрики наверх, риск-ориентированные приоритеты) технические функции работают вхолостую.
CSF определяет четыре Tier'а (уровня) — они описывают не «насколько защищены», а насколько зрелы и риск-ориентированы процессы. По всему документу для каждой функции дана лестница в этих терминах. Цель — не доползти до Tier 4 везде (это дорого и не всегда оправдано), а осознанно выбрать целевой уровень под риск-аппетит и закрыть разрыв.
Процессы ad-hoc, реактивные. Нет регламентов, знание держится на людях. Риск осознаётся постфактум.
Практики утверждены, но не стандартизованы по организации. Приоритеты учитывают риск, но непоследовательно.
Формализованные, документированные, повторяемые процессы. Регулярный пересмотр. Реакция на изменение угроз — системная.
Непрерывное улучшение на основе метрик и threat intel. Процессы адаптируются проактивно. Культура киберриска встроена.
Сначала оцените текущий уровень по каждой функции (раздел 10), затем зафиксируйте целевой уровень. Разница — это и есть ваш backlog внедрения. Для SOC реалистичная цель — Tier 3 по Detect/Respond (повторяемость критична) и Tier 2–3 по остальным функциям, с движением к Adaptive в зрелых направлениях.
Govern отвечает на вопрос «как организация принимает и контролирует решения о киберриске». Для SOC это управленческая надстройка: чем мы занимаемся в порядке приоритета, кто за что отвечает, как мы отчитываемся наверх и как риск цепочки поставок влияет на нашу работу.
| Код | Категория | Что это значит для SOC |
|---|---|---|
| GV.OC | Organizational Context | Понимание миссии, критичных сервисов, юр./регуляторных обязательств — чтобы приоритеты детектирования били по тому, что важно бизнесу |
| GV.RM | Risk Management Strategy | Риск-аппетит и толерантность; на их основе — целевые Tier'ы и SLA |
| GV.RR | Roles & Responsibilities | Иерархия SOC (L1/L2/L3), эскалационные пути, полномочия на containment |
| GV.PO | Policy | Политики мониторинга, реагирования, хранения логов, использования TI |
| GV.OV | Oversight | Надзор: метрики и отчётность руководству, пересмотр стратегии |
| GV.SC | Cybersecurity Supply Chain Risk Mgmt | Риски подрядчиков, MSSP, вендоров; мониторинг третьих сторон |
SOC здесь не «владелец», а поставщик данных и исполнитель политик. Руководитель SOC переводит технические факты на язык риска для менеджмента и обратно — приоритеты менеджмента в use-case'ы и SLA.
Нет устава SOC, роли размыты, отчётность от случая к случаю.
Есть базовые политики и SLA, но не связаны с риск-аппетитом; отчётность нерегулярна.
Устав, RACI, SLA привязаны к рискам; регулярная отчётность с фиксированным набором метрик.
Метрики SOC влияют на риск-стратегию; приоритеты пересматриваются от данных и угроз непрерывно.
Identify — фундамент. Это понимание того, что у вас есть, что из этого критично и какие риски этому угрожают. Для SOC слепые зоны инвентаризации напрямую превращаются в слепые зоны детектирования: актив, которого нет в CMDB, не покрыт логами, не мониторится, не эскалируется.
| Код | Категория | Что это значит для SOC |
|---|---|---|
| ID.AM | Asset Management | Инвентаризация: хосты, сервисы, данные, аккаунты, потоки данных. Источник истины о scope мониторинга |
| ID.RA | Risk Assessment | Оценка угроз и уязвимостей; приоритизация активов по критичности и эксплуатируемости |
| ID.IM | Improvement | Улучшение на основе извлечённых уроков, тестов, оценок (новое выделение в 2.0) |
SOC — потребитель и одновременно валидатор инвентаризации. Через данные мониторинга SOC обнаруживает теневые активы (то, что генерирует трафик/логи, но отсутствует в CMDB) и возвращает их в учёт.
Инвентаризация неполна и устарела; scope мониторинга — «что подключилось».
CMDB есть, критичность размечена, но не связана с источниками логов.
CMDB ↔ логи синхронизированы; регулярный аудит покрытия; теневые активы отлавливаются.
Динамическая инвентаризация в реальном времени; покрытие автоматически валидируется телеметрией.
Protect — преимущественно зона IT и инженерии, но SOC участвует двумя способами: задаёт и валидирует защитный baseline и обеспечивает, чтобы защитные контроли были наблюдаемы (контроль без телеметрии бесполезен для детектирования).
| Код | Категория | Что это значит для SOC |
|---|---|---|
| PR.AA | Identity, Authentication & Access Control | Управление доступом, MFA, least privilege. SOC мониторит злоупотребление identity |
| PR.AT | Awareness & Training | Обучение; SOC поставляет данные о реальных фишинг-кампаниях для тренировок |
| PR.DS | Data Security | Шифрование, DLP, защита данных at-rest/in-transit |
| PR.PS | Platform Security | Hardening, baseline-конфигурации, управление изменениями |
| PR.IR | Technology Infrastructure Resilience | Сегментация, отказоустойчивость, защита от отказов |
SOC не владеет внедрением защиты, но задаёт требования к наблюдаемости и валидирует эффективность контролей через детектирование. Hardening-baseline и сегментация должны проектироваться так, чтобы их нарушение было видимо в SIEM.
Защита внедряется без оглядки на наблюдаемость; SOC узнаёт о контролях постфактум.
Baseline есть, но отклонения не логируются системно; identity-телеметрия частична.
Контроли проектируются с наблюдаемостью; config drift и деградация контролей детектируются.
SOC валидирует эффективность контролей непрерывно (BAS, purple team); защита подстраивается под угрозы.
Detect — сердце SOC. Это способность своевременно находить события и аномалии и понимать их значимость. Большая часть инженерной работы SOC (use-case'ы, корреляция, покрытие по матрице угроз, охота) ложится именно сюда.
| Код | Категория | Что это значит для SOC |
|---|---|---|
| DE.CM | Continuous Monitoring | Непрерывный мониторинг сети, хостов, identity, приложений, физической среды |
| DE.AE | Adverse Event Analysis | Анализ событий: корреляция, определение значимости, отсев ложных срабатываний |
Это прямая и основная зона. SOC владеет конвейером детектирования целиком: сбор телеметрии → нормализация → корреляция → детекты → триаж → алерт. Здесь же — detection engineering как дисциплина и threat hunting как проактивный слой.
Зрелый Detect измеряется не количеством алертов, а покрытием релевантных техник × качеством детектов × скоростью обнаружения (MTTD). Тысяча шумных правил хуже сотни точных с известным покрытием.
Дефолтные правила «из коробки», шум, нет понимания покрытия. Охоты нет.
Use-case'ы под ключевые риски, ручной тюнинг FP, покрытие оценивается эпизодически.
Detection engineering как процесс: каталог, версии, тесты, измеримое покрытие, регулярная охота.
Детекты адаптируются от TI и результатов охоты непрерывно; покрытие валидируется эмуляцией атак.
Respond — то, что происходит после срабатывания детекта: управление инцидентом, его анализ, коммуникация и локализация. Зрелость здесь измеряется не героизмом дежурных, а повторяемостью: плейбуки, оркестрация, чёткие роли.
| Код | Категория | Что это значит для SOC |
|---|---|---|
| RS.MA | Incident Management | Управление жизненным циклом инцидента: триаж, классификация, назначение |
| RS.AN | Incident Analysis | Анализ: scope, корневая причина, сбор и сохранение артефактов (форензика) |
| RS.CO | Reporting & Communication | Коммуникация со стейкхолдерами, эскалация, нотификации |
| RS.MI | Incident Mitigation | Локализация и устранение: изоляция, блокировка, нейтрализация |
Прямая зона. SOC владеет триажем, анализом и первичной локализацией. Граница ответственности — там, где требуются решения бизнеса (остановка сервиса, юридические нотификации): SOC готовит факты и рекомендации, решение принимается на уровне Govern.
Реагирование ad-hoc, без плейбуков; результат зависит от конкретного дежурного.
Есть плейбуки на частые сценарии и SLA, но автоматизация минимальна, коммуникации непоследовательны.
Плейбуки покрывают основные сценарии, оркестрация рутины, матрица коммуникаций, артефакты сохраняются.
Плейбуки эволюционируют от разборов; широкая автоматизация; реагирование адаптируется под новые TTP.
Recover — про восстановление работоспособности после инцидента и коммуникацию в ходе восстановления. Для SOC это в основном про координацию, валидацию «чисто ли» и, главное, цикл извлечения уроков, который замыкает колесо обратно на Identify и Detect.
| Код | Категория | Что это значит для SOC |
|---|---|---|
| RC.RP | Incident Recovery Plan Execution | Исполнение плана восстановления; валидация целостности и отсутствия закрепления |
| RC.CO | Incident Recovery Communication | Коммуникация в процессе восстановления, координация со стейкхолдерами |
Восстановлением сервисов обычно владеет IT, но SOC валидирует «чистоту» восстановленной среды (нет ли остаточного присутствия, бэкдоров, закрепления) и ведёт пост-инцидентный разбор, превращая выводы в задачи для Detect и Identify.
Recover нередко считают «не делом SOC» и сводят к восстановлению из бэкапа силами IT. Но именно цикл lessons learned → новые детекты отличает SOC, который растёт, от SOC, который год за годом ловит одно и то же. Без замыкания колеса зрелость не растёт.
Восстановили и забыли; разборов нет, повторные инциденты того же типа.
Разборы делают по крупным инцидентам, но выводы редко доходят до задач.
Разбор обязателен, SOC валидирует чистоту, выводы стабильно превращаются в задачи.
Цикл уроков непрерывно улучшает Detect/Identify/Protect; повторные инциденты стремятся к нулю.
Внедрять колесо целиком и сразу — путь к выгоранию. Ниже — фазовый порядок, в котором функции усиливают друг друга: сначала фундамент (Govern + Identify), затем ядро (Detect + Respond), потом замыкание и адаптация.
Устав SOC, роли L1/L2/L3, политика эскалации, риск-аппетит. Параллельно — инвентаризация и связка CMDB ↔ источники логов. Без этого всё остальное строится на песке. Цель — выйти на Tier 2 по GV и ID.
Закрыть покрытие телеметрией критичных активов и identity. Запустить базовый каталог use-case'ов под ключевые риски. Согласовать наблюдаемый hardening-baseline с IT. Цель — измеримое покрытие детектирования.
Плейбуки на типовые сценарии, классификация и SLA, базовая оркестрация рутины, матрица коммуникаций и полномочий containment. Цель — Tier 3 по Respond (результат не зависит от конкретного дежурного).
Обязательные пост-инцидентные разборы, валидация чистоты восстановления, цикл lessons learned → новые детекты. Запуск threat hunting по гипотезам. Цель — самоулучшающийся SOC.
Валидация покрытия эмуляцией атак (BAS / purple team), TI-driven адаптация детектов, метрики SOC влияют на риск-стратегию в Govern. Цель — движение к Tier 4 в приоритетных направлениях.
Метрики делятся на операционные (для управления SOC изнутри) и управленческие (для отчётности в Govern). Не путайте аудитории: руководству не нужен FP-rate отдельного правила, а инженеру детектирования — квартальный тренд риска.
| Функция | Метрика | Тип | Что показывает |
|---|---|---|---|
| GV | Покрытие критичных сервисов мониторингом | Управленч. | Насколько мониторинг бьёт по тому, что важно бизнесу |
| GV | Соблюдение SLA по критичности | Управленч. | Держим ли обещания, заданные риск-аппетитом |
| ID | % активов с поставкой логов | Оперативн. | Размер слепых зон детектирования |
| ID | Теневые активы / месяц | Оперативн. | Качество инвентаризации и обратной связи |
| PR | % здоровья защитных агентов | Оперативн. | Деградация контролей до того, как ей воспользуются |
| DE | MTTD — среднее время обнаружения | Оба | Скорость обнаружения; ключевая для бизнеса |
| DE | % покрытия техник противника | Оба | Сколько реальных техник вообще детектируется |
| DE | FP-rate | Оперативн. | Шум, выжигающий аналитиков |
| RS | MTTR / MTTC | Оба | Скорость реагирования и локализации |
| RS | % инцидентов по плейбуку | Оперативн. | Повторяемость реагирования |
| RC | Детектов, рождённых разбором | Оба | Замыкается ли колесо, растёт ли SOC |
| RC | Повторные инциденты того же типа | Управленч. | Учимся ли мы на инцидентах |
«Количество обработанных алертов» как KPI поощряет шум и наказывает за тюнинг. Меряйте исходы (MTTD, MTTR, покрытие, повторные инциденты), а не активность (число алертов, число тикетов). Активность растёт, когда SOC работает плохо.
CSF — общеорганизационный фреймворк, и SOC владеет не всем. Чёткое разграничение снимает конфликты «это не наша зона» во время инцидента. Ниже — где SOC владеет (R/A), где участвует (C), где информируется (I).
| Функция | Роль SOC | Кто ещё |
|---|---|---|
| GV — Govern | Поставщик данных / исполнитель (C) | Владеет руководство ИБ / CISO |
| ID — Identify | Потребитель + валидатор (C/R на теневых активах) | Владеет IT / asset management |
| PR — Protect | Требования к наблюдаемости + валидация (C) | Владеет IT / инженерия |
| DE — Detect | Владелец (R/A) | Опирается на телеметрию от IT |
| RS — Respond | Владелец (R/A); решения бизнеса эскалирует | Бизнес/юристы — на критичных решениях |
| RC — Recover | Валидация чистоты + lessons learned (R/A на разборе) | Восстановление сервисов — IT |
Безоговорочное ядро SOC — Detect и Respond. В Identify/Protect/Recover SOC — сильный соисполнитель и валидатор. В Govern — поставщик фактов для решений. Понимание этих границ важнее, чем знание кодов категорий: оно определяет, за что с вас спросят.
Отметьте утверждения, которые верны прямо сейчас, без «почти» и «в планах». Доля закрытых пунктов по функции грубо соответствует Tier'у: <25% — Tier 1, до 50% — Tier 2, до 80% — Tier 3, выше — приближение к Tier 4.
Для каждой функции зафиксируйте текущий и целевой Tier. Разрывы — это ваш backlog, а фазы из раздела 07 задают порядок его закрытия. Пересматривайте самооценку раз в квартал: движение по этой шкале и есть путь «до совершенства» в терминах CSF.