.PNG)
1Как выбрать SOC: три модели и их отличия
Компания решает задачу мониторинга ИБ одним из трёх способов: строит собственный SOC, подключается к аутсорсинговому SOC или создаёт гибридную модель. Выбор зависит от размера инфраструктуры, требований регуляторов и бюджета.
2Собственный SOC: когда имеет смысл
Собственный SOC оправдан при соблюдении хотя бы двух условий:
Инфраструктура от 1 000–2 000 узлов
Меньше — не окупается: стоимость на узел у провайдера в 5–10 раз ниже.
Жёсткие требования к суверенитету данных
Банки первого уровня, спецслужбы, предприятия с государственной тайной.
Профиль угроз требует глубокого знания бизнес-контекста
Уникальные АСУ ТП, собственные технологические процессы, нестандартные системы.
| Параметр | Собственный SOC | Аутсорсинговый SOC |
|---|---|---|
| Начальные инвестиции | от 15–30 млн ₽ | от 50 000 ₽/мес без капзатрат |
| Время до запуска | 6–18 месяцев | 2–4 недели |
| Минимальная команда | 6–8 аналитиков (24/7) | не нужна |
| Стоимость в год (200 узлов) | от 8–12 млн ₽ (зарплаты) | от 0,6–1,5 млн ₽ |
| Соответствие 187-ФЗ/ГосСОПКА | да | да (при наличии лицензий ФСБ) |
| Масштабируемость | сложно | легко |
3Аутсорсинговый SOC: оптимально для среднего бизнеса
Для компаний от 50 до 500 рабочих станций аутсорсинговый SOC — экономически оправданный выбор. Провайдер уже имеет инфраструктуру, аналитиков всех уровней и отработанные процессы. Вы получаете enterprise-уровень защиты по подписке.
50К ₽
от/мес
аутсорсинговый SOC
2 нед
подключение
от заявки до мониторинга
10–20×
дешевле
чем собственный SOC
24/7
мониторинг
без выходных и праздников
Что проверить у провайдера
4Гибридная модель: лучшее из обоих миров
Гибридный SOC подходит компаниям с 200–500 узлами, у которых есть хотя бы один штатный специалист ИБ. Схема: ваш специалист управляет политиками и взаимодействует с бизнесом, провайдер обеспечивает круглосуточный мониторинг и немедленное реагирование.
Контроль над данными
Коллектор в вашей инфраструктуре, вы контролируете, что передаётся провайдеру.
Круглосуточное реагирование
Провайдер дежурит ночью и в выходные — ваш специалист отдыхает.
Бизнес-контекст
Штатный специалист знает бизнес-процессы и помогает снижать ложные срабатывания.
Экономия vs полный аутсорсинг
Сохраняете внутреннюю экспертизу при меньших затратах, чем полностью собственный SOC.
57 критериев выбора SOC-провайдера
При выборе аутсорсингового SOC проверяйте по семи ключевым критериям:
1. Лицензии ФСТЭК и ФСБ России
Обязательно для работы с персональными данными и субъектов КИИ. Проверяется на сайтах регуляторов.
2. Собственная SIEM-инфраструктура
Не облако иностранного вендора, а развёрнутая на российских серверах система. Иначе — зависимость и риск отключения.
3. SLA с конкретными метриками
MTTD (среднее время обнаружения) и MTTR (среднее время реагирования) — не более 15–30 минут на критический инцидент.
4. Опыт интеграции с ГосСОПКА
Для субъектов КИИ обязателен. Провайдер должен уметь информировать НКЦКИ в установленные сроки.
5. Прозрачная отчётность
Ежемесячные отчёты по инцидентам, метрикам, угрозам и рекомендациям — в личном кабинете.
6. Тестовый период
Хороший провайдер даёт 2–4 недели тестирования. Если откажет — ищите другого.
7. Референсные клиенты в вашей отрасли
Попросите 2–3 контакта действующих клиентов из схожей отрасли для прямого разговора.
Подробнее о подключении к ГосСОПКА — в отдельной статье «ГосСОПКА: пошаговое подключение для субъектов КИИ». Если ваша компания работает в регулируемой отрасли, также читайте «Регуляторный чек-лист ИБ 2025».
6Матрица выбора по размеру компании
| Размер компании | Рекомендуемая модель | Бюджет/год | Сроки запуска |
|---|---|---|---|
| 50–200 узлов (СМБ) | Аутсорсинговый SOC | от 600 000 ₽ | 2–4 недели |
| 200–500 узлов (средний бизнес) | Аутсорсинг или гибрид | от 1,2–2,4 млн ₽ | 2–6 недель |
| 500–2 000 узлов (крупный бизнес) | Гибрид или собственный | от 3–8 млн ₽ | 3–6 месяцев |
| 2 000+ узлов (Enterprise) | Собственный SOC | от 15 млн ₽ | 6–18 месяцев |
| Субъект КИИ любого размера | Аутсорсинг с лицензией ФСБ | индивидуально | 4–8 недель |
Как быстро посчитать стоимость
7Частые ошибки при выборе SOC
Ориентироваться только на цену
Дешёвый SOC без реальных аналитиков — это просто SIEM-система без мониторинга. Дешевле — не значит лучше защищён.
Не проверять лицензии
Лицензии ФСТЭК и ФСБ — не просто бумаги. Без них работа с ПДн и КИИ юридически рискованна для вас.
Игнорировать SLA-метрики
SLA «реагируем оперативно» — ни о чём. Требуйте конкретные цифры: MTTD ≤ 15 минут, MTTR ≤ 1 час для P1.
Не учитывать возможность роста
Провайдер должен масштабироваться с вами: добавление источников, расширение инфраструктуры без переподписания.
SOC КРЕДО-С: мониторинг с 2018 года
Лицензиат ФСТЭК и ФСБ
Собственный SOC с подтверждёнными метриками: MTTD < 15 мин, MTTR < 1 час
8Часто задаваемые вопросы о выборе SOC
Какой SOC лучше: собственный или аутсорсинговый?▼
Для компаний до 500 рабочих станций аутсорсинговый SOC выгоднее в 10–20 раз: нет капитальных затрат на инфраструктуру и найма дорогих аналитиков. Собственный SOC имеет смысл для предприятий от 1 000–2 000 узлов с жёсткими требованиями по суверенитету данных (банки, госструктуры первого уровня).
По каким критериям выбирать аутсорсинговый SOC?▼
7 ключевых критериев: 1) Лицензии ФСТЭК и ФСБ России; 2) Собственная инфраструктура SIEM (не облако иностранного вендора); 3) Время реагирования по SLA — не дольше 15–30 минут на критический инцидент; 4) Опыт интеграции с ГосСОПКА для субъектов КИИ; 5) Прозрачная отчётность (MTTD, MTTR, количество инцидентов); 6) Возможность тестового периода; 7) Опыт работы в вашей отрасли.
Сколько стоит аутсорсинговый SOC для компании 50–200 человек?▼
Для компании с 50–200 рабочими станциями аутсорсинговый SOC стоит от 50 000 до 150 000 ₽/мес в зависимости от набора услуг и SLA. Для сравнения: собственная команда из 3 аналитиков (минимум для 8×5 мониторинга) обходится от 4,5 млн ₽/год только в зарплатах.
Что такое гибридный SOC?▼
Гибридный SOC — это сочетание собственных специалистов ИБ (1–2 человека) и аутсорсингового SOC-провайдера. Собственные сотрудники управляют политиками и работают с бизнес-контекстом, SOC-провайдер обеспечивает 24/7 мониторинг и реагирование. Оптимален для компаний 200–500 узлов с хотя бы одним штатным сотрудником ИБ.
Как проверить SOC-провайдера перед подключением?▼
Запросите: 1) копии лицензий ФСТЭК и ФСБ; 2) описание архитектуры SIEM и коллекторов; 3) примеры отчётов по инцидентам (anonymized); 4) SLA с конкретными метриками MTTD/MTTR; 5) контакт 2–3 действующих клиентов для референса. Хороший SOC-провайдер отвечает на эти вопросы без колебаний.
Эта статья подготовлена командой КРЕДО-С — эксперта по информационной безопасности с 1993 года. Используйте наш калькулятор стоимости SOC, пройдите бесплатный экспресс-аудит ИБ или проверьте размер штрафов за нарушения ИБ.
Дмитрий Колесник
Директор по информационной безопасности
CISO КРЕДО-С. С 2010 года консультирует органы власти и крупнейшие предприятия по вопросам защиты информации. Эксперт в области стратегии ИБ, построения SOC и управления киберрисками.