.PNG)
Аналитик SOC стоит от 120 000 рублей в месяц. Мониторинг 24/7 требует минимум четырёх специалистов на ротацию. Плюс SIEM-система — от 500 000 рублей в год. Плюс EDR, Threat Intelligence, обучение, лицензии. Итого: собственный отдел ИБ обходится средней компании от 8–12 миллионов рублей в год — без накладных расходов. Аутсорсинг информационной безопасности закрывает ту же задачу в 2–4 раза дешевле и включает круглосуточный мониторинг с первого дня.
1Что такое аутсорсинг ИБ
Аутсорсинг информационной безопасности — это передача функций защиты IT-инфраструктуры внешнему специализированному провайдеру. Провайдер берёт на себя мониторинг событий, реагирование на инциденты, управление средствами защиты и compliance-сопровождение — полностью или в дополнение к штатной команде.
Ключевое отличие аутсорсинга ИБ от разовых услуг — это не проект, а сервис с чётким SLA. Провайдер несёт ответственность за время обнаружения угрозы и реагирование на инцидент: как правило, не более 15–30 минут для критичных событий.
Аутсорсинг ≠ передача контроля
2Модели аутсорсинга информационной безопасности
Три основные модели: выбор зависит от размера компании, наличия собственных ИБ-специалистов и регуляторных требований.
| Модель | Что включает | Кто работает | Для кого |
|---|---|---|---|
| MSSP | Полный спектр сервисов ИБ: мониторинг, реагирование, управление СЗИ, compliance | Аналитики L1/L2/L3, инженеры ИБ, CISO-консультант | СМБ без ИБ-отдела, КИИ, финансовый сектор |
| Внешний SOC | Фокус на мониторинге событий ИБ и реагировании на инциденты 24/7 | Аналитики SOC, команда Incident Response, TI | Компании с частичной ИБ-командой |
| Co-managed SOC | Гибридная модель: часть функций — у провайдера, часть — у штатной команды | Совместная команда по разграниченным зонам | Enterprise с существующим ИБ-отделом |
Для большинства компаний СМБ (50–500 рабочих мест) оптимальна модель MSSP: провайдер закрывает все функции ИБ под ключ, включая compliance и взаимодействие с регуляторами. Детальное сравнение: SOC vs MSSP — что выбрать.
3Что входит в аутсорсинг ИБ
Набор сервисов зависит от пакета, но полноценный MSSP закрывает все ключевые направления:
Мониторинг событий ИБ 24/7
SIEM-система собирает события со всей инфраструктуры: серверы, рабочие станции, сетевые устройства, облачные сервисы. Аналитики L1/L2 анализируют алерты в реальном времени без выходных и праздников.
Реагирование на инциденты (IR)
При обнаружении угрозы команда IR изолирует скомпрометированный узел, устраняет угрозу и восстанавливает работу. SLA: первичная реакция за 15–30 минут для критичных инцидентов, полное расследование — в течение 24–72 часов.
Threat Intelligence
Данные об актуальных угрозах — IoC, TTPs атакующих, свежие уязвимости — поступают из коммерческих и открытых фидов. Аналитики применяют их для проактивного поиска угроз в вашей инфраструктуре (Threat Hunting).
Управление уязвимостями
Регулярное сканирование инфраструктуры, приоритизация уязвимостей по CVSS и бизнес-контексту, контроль устранения. Отчётность — ежемесячно или по требованию.
Compliance-сопровождение
Подготовка к проверкам ФСТЭК, ФСБ, Роскомнадзора. Поддержание соответствия 152-ФЗ, 187-ФЗ, Приказам ФСТЭК №17/21/239. Подготовка документов для аттестации и категорирования объектов КИИ.
Управление средствами защиты
Администрирование NGFW, EDR, антивирусов, WAF: настройка правил, обновление сигнатур, разбор инцидентов. Без необходимости держать профильных инженеров в штате.
Форензика и расследования
Анализ после инцидента: восстановление цепочки атаки, сбор доказательной базы, подготовка отчётов для регуляторов и правоохранительных органов.
Ежемесячная отчётность
Регулярные отчёты для руководства: количество инцидентов по уровням, статус угроз, метрики SLA, рекомендации по снижению рисков.
4Аутсорсинг ИБ против штатного отдела: сравнение
Главный вопрос — не «что лучше», а «что эффективнее для вашего масштаба и бюджета».
| Параметр | Аутсорсинг ИБ (MSSP) | Штатный отдел ИБ |
|---|---|---|
| Стоимость (500 ПК) | от 250–400 тыс. ₽/мес | от 700 тыс. ₽/мес (4–5 человек + инструменты) |
| Время запуска | 2–4 недели (подключение к SIEM) | 3–6 месяцев (найм + онбординг + настройка) |
| Мониторинг 24/7 | Включён — без доплат и переработок | Требует ночных смен или дежурства |
| Экспертиза | Команда L1/L2/L3 + TI + IR + форензика | Зависит от найма: уход одного сотрудника = риск |
| Масштабируемость | Добавить источники событий — за несколько дней | Требует найма и обучения нового сотрудника |
| Compliance | Лицензиат ФСТЭК берёт на себя регуляторные требования | Нужны отдельные compliance-специалисты |
| Кадровый риск | Минимальный — провайдер не уходит в отпуск | Высокий — один уход = дыра в защите |
Когда аутсорсинг не подойдёт
5Кому подходит аутсорсинг ИБ
Средний бизнес (50–500 рабочих мест)
Нет бюджета на полноценный штатный SOC, но уровень угроз высокий — особенно при работе с персональными данными или финансовыми транзакциями. MSSP заменяет несуществующий отдел ИБ целиком.
Субъекты критической информационной инфраструктуры (КИИ)
187-ФЗ обязывает обеспечить мониторинг значимых объектов КИИ и подключение к ГосСОПКА. Привлечение лицензированного MSSP — законный и экономически обоснованный способ выполнить требование.
Финансовые организации
ГОСТ Р 57580.1 обязывает банки и финтех иметь SOC или привлекать сертифицированного MSSP. Аутсорсинг — наиболее экономичный путь к соответствию стандарту без создания собственного SOC.
Компании в стадии цифровой трансформации
При переезде в облако, внедрении новых систем или росте ИТ-инфраструктуры аутсорсинг ИБ масштабируется вместе с бизнесом — без лага на найм и обучение.
Региональные компании
В регионах рынок ИБ-специалистов ограничен. MSSP даёт доступ к экспертизе уровня Москвы без релокации: аналитики работают удалённо через защищённые каналы.
Не уверены, нужен ли аутсорсинг или достаточно усилить внутренние процессы? Начните с аудита — анализ защищённости инфраструктуры покажет реальные пробелы и поможет выбрать оптимальную модель.
2–4×
дешевле
аутсорсинг vs штатный SOC
24/7
мониторинг
включён с первого дня
15 мин
реакция
SLA на критичные инциденты
2–4
недели
до запуска мониторинга
6Стоимость аутсорсинга ИБ
Цена зависит от масштаба инфраструктуры, набора подключённых сервисов и требуемого SLA. Ориентиры по рынку:
| Пакет | Инфраструктура | Что включено | Стоимость/мес |
|---|---|---|---|
| Базовый мониторинг | до 100 источников событий | SIEM-мониторинг 24/7, алертинг, ежемесячный отчёт | от 80 000 ₽ |
| MSSP Стандарт | 100–500 рабочих мест | Мониторинг + IR + управление уязвимостями + compliance | от 200 000 ₽ |
| MSSP Расширенный | 500–1500 рабочих мест | Полный стек: SOC + TI + форензика + управление СЗИ | от 400 000 ₽ |
| Enterprise SOC | 1500+ рабочих мест / КИИ | Выделенная команда, ГосСОПКА, SLA 15 мин, CISO-консультант | от 800 000 ₽ |
Что влияет на стоимость
7Как выбрать MSSP-провайдера
Рынок MSSP в России насчитывает несколько десятков компаний. Вот критерии, на которые нужно обращать внимание:
Лицензия ФСТЭК на техническую защиту информации
Обязательна для работы с ГИС, ИСПДн и объектами КИИ. Без лицензии ФСТЭК провайдер не имеет права оказывать услуги по технической защите информации в регулируемых секторах.
Собственный SOC, а не перепродажа
Узнайте, где физически расположен SOC, сколько аналитиков работает в смену. «Партнёрский SOC» означает, что данные о вашей инфраструктуре идут через третью сторону без вашего ведома.
Конкретный SLA с финансовыми санкциями
Время обнаружения угрозы, время первичной реакции, доступность сервиса — всё фиксируется в SLA. Если нет штрафов за нарушение — провайдер не несёт реальной ответственности.
Портфолио в вашей отрасли
SOC для производственного предприятия с АСУ ТП принципиально отличается от SOC для банка или интернет-магазина. Запросите кейсы из вашего сектора.
Российские сертифицированные СЗИ в стеке
Для работы с ГИС и КИИ требуются сертифицированные ФСТЭК средства защиты. Уточните, какие именно SIEM, EDR и NGFW использует провайдер.
Подключение к ГосСОПКА
Для субъектов КИИ важно, чтобы провайдер являлся корпоративным или ведомственным центром ГосСОПКА или работал с НКЦКИ. Это юридически значимо при инциденте.
Полный чеклист по выбору SOC: как выбрать SOC — 10 критериев.
КРЕДО-С — лицензиат ФСТЭК с 2007 года
ФСТЭК + ФСБ
Собственный SOC в Москве. Аналитики L1/L2/L3 в режиме 24/7. Подключение к ГосСОПКА. Работаем с компаниями от 50 рабочих мест. SLA: реакция на критичные инциденты за 15 минут.
8Регуляторные требования к аутсорсингу ИБ
В ряде отраслей привлечение MSSP — не только удобство, но и регуляторная необходимость:
| Регулятор / документ | Требование | Для кого |
|---|---|---|
| 187-ФЗ + Приказ ФСТЭК №239 | Мониторинг безопасности значимых объектов КИИ, подключение к ГосСОПКА | Субъекты КИИ |
| ГОСТ Р 57580.1 | SOC или привлечение MSSP как обязательный элемент системы ИБ | Финансовые организации |
| Приказ ФСТЭК №17 / №21 | Контроль защищённости, выявление и реагирование на инциденты как меры защиты | ГИС, ИСПДн |
| Указ Президента №250 (01.05.2022) | Назначение ответственного за ИБ, регулярная оценка уровня защищённости | Системообразующие организации |
При привлечении КРЕДО-С в качестве MSSP мы берём на себя подготовку документации для регуляторов: акты соответствия, отчёты об инцидентах, материалы для аттестации. О подключении к ГосСОПКА: пошаговая инструкция по подключению к ГосСОПКА.
Обсудить аутсорсинг ИБ с командой КРЕДО-С — бесплатная консультацияЧасто задаваемые вопросы
Эта статья подготовлена командой КРЕДО-С — эксперта по информационной безопасности с 1993 года. Используйте наш калькулятор стоимости SOC, пройдите бесплатный экспресс-аудит ИБ или проверьте размер штрафов за нарушения ИБ.
Дмитрий Лазарев
Руководитель направления MSSP
Отвечает за развитие MSSP-направления в КРЕДО-С. 12 лет опыта в построении SOC для финансовых организаций и субъектов КИИ.