Инсорсинг vs аутсорсинг ИБ в Беларуси: строим свою команду или нанимаем MSSP/SOC?

В условиях растущих киберугроз и нового законодательства белорусские компании оказались перед стратегическим выбором: создавать собственный центр кибербезопасности (SOC) или доверить защиту профессиональному провайдеру (MSSP). Эта статья — подробное руководство, которое поможет принять взвешенное решение, оценив все риски, затраты и преимущества каждого из подходов.

Вопрос создания собственного центра кибербезопасности или использования услуг внешнего провайдера стал особенно актуальным для белорусских организаций после вступления в силу Указа Президента №40 «О кибербезопасности» в августе 2023 года. Документ определил правовую основу для национальной системы обеспечения кибербезопасности и установил жесткие требования к защите информационной инфраструктуры. Актуальность проблемы подтверждается и статистикой: Беларусь заняла второе место в СНГ по числу кибератак, на долю белорусских организаций приходится 9% всех успешных атак в регионе. Эта тревожная цифра заставляет бизнес серьезно задуматься о выборе оптимальной и, что немаловажно, соответствующей закону модели обеспечения информационной безопасности.

Законодательные требования: что нужно знать каждому руководителю

Новое законодательство не оставляет пространства для компромиссов в вопросах защиты. Ключевые документы, которые необходимо изучить — это Указ №40 и детализирующий его Приказ Оперативно-аналитического центра (ОАЦ) №130.

• Указ Президента №40 «О кибербезопасности» стал отправной точкой. Он обязал владельцев критически важных объектов информатизации (КВОИ) создать собственные центры кибербезопасности до 17 августа 2024 года. Кроме того, Совет Министров утвердил перечень из 124 государственных органов и организаций, которые должны либо сформировать свой аттестованный SOC, либо приобрести услуги у аттестованных провайдеров.
• Приказ ОАЦ №130 от 25 июля 2023 года конкретизировал технические и организационные требования к центрам кибербезопасности. Согласно приказу, каждый SOC должен быть оснащен целым арсеналом средств для выявления инцидентов и реагирования на них. В обязательный список входят:
  • SIEM-системы (Security Information and Event Management) для сбора и анализа событий безопасности.
  • Средства анализа сетевого трафика (NTA).
  • Системы обнаружения вторжений (IDS/IPS).
  • Платформы для управления инцидентами (IRP).
  • Платформы Threat Intelligence для получения данных об актуальных угрозах.

Особое внимание уделено кадровому вопросу. Приказ №130 устанавливает строгие квалификационные требования: специалисты SOC должны иметь либо профильное высшее образование в области защиты информации, либо любое высшее или среднее специальное образование, но с обязательной переподготовкой или повышением квалификации по кибербезопасности. Это требование существенно сужает и без того ограниченный рынок труда.

Собственный SOC (Инсорсинг): структура, затраты и подводные камни

Создание собственного центра кибербезопасности — это масштабный и капиталоемкий проект, сравнимый со строительством отдельного IT-департамента с нуля. Он дает максимальный контроль, но требует серьезных инвестиций и зрелых процессов.

Структура команды: кто нужен для защиты 24/7?

Эффективный внутренний SOC — это многоуровневая команда, где у каждого своя зона ответственности:

• Руководитель SOC: Стратегическое управление, контроль SLA, взаимодействие с руководством и бизнес-подразделениями.
• Аналитики первого уровня (L1): Круглосуточный мониторинг (24/7), первичная обработка и триаж событий, отсев ложноположительных срабатываний. Это "первая линия обороны".
• Аналитики второго уровня (L2): Глубокое расследование подтвержденных инцидентов, сбор цифровых доказательств, анализ вредоносного ПО, формирование отчетов и рекомендаций.
• Аналитики третьего уровня (L3) / Эксперты: Элита SOC. Занимаются проактивным поиском угроз (threat hunting), сложным реверс-инжинирингом, разработкой уникальных правил корреляции и сценариев реагирования (плейбуков).
• Инженеры безопасности: Техническая поддержка всей инфраструктуры SOC. Они отвечают за настройку и обслуживание SIEM-системы, интеграцию новых источников данных, написание скриптов автоматизации.

Для обеспечения непрерывного мониторинга 24/7 минимально необходимой команде потребуется минимум 7-8 специалистов: 5 аналитиков L1 для организации трехсменной работы, 1-2 аналитика уровня L2/L3 и руководитель. Для компании с инфраструктурой около 1000 узлов эксперты рекомендуют иметь три дежурные смены по два специалиста широкого профиля в каждой.

Совокупная стоимость владения (TCO): считаем реальные затраты

Стоимость собственного SOC — это не только зарплаты. Для объективной оценки используется методика расчета совокупной стоимости владения (Total Cost of Ownership, TCO) на горизонте нескольких лет (обычно 3-5).

Формула TCO: TCO = CAPEX + (OPEX × X), где X — срок планирования в годах.

Капитальные затраты (CAPEX) — первоначальные инвестиции:

• SIEM-платформа и лицензии: Для инфраструктуры с ~50 источниками событий стоимость может составлять от 40 000 BYN.
• Отказоустойчивая инфраструктура: Серверы, системы хранения данных (СХД) и сетевое оборудование потребуют от 130 000 BYN.
• Внедрение и настройка: Работы по интеграции, настройке правил корреляции и написанию плейбуков — от 80 000 BYN.
• Процессное обеспечение: Разработка регламентов, политик, инструкций — от 20 000 BYN.

Итоговый CAPEX: от 270 000 BYN.

Операционные затраты (OPEX) — ежегодные расходы:

• Фонд оплаты труда (ФОТ) с налогами (около 35%):
  • Руководитель SOC: 60 000 BYN/год.
  • Аналитики L2 (2 специалиста): 100 000 BYN/год.
  • Аналитики L1 (5 специалистов для 24/7): 160 000 BYN/год.
  • Инженеры/администраторы SIEM: 80 000 BYN/год.
• Продление лицензий и техподдержка ПО: 50 000 BYN/год.
• Обучение и сертификация персонала: 25 000 BYN/год.
• Прочие косвенные расходы (электричество, аренда и т.д.): 25 000 BYN/год.

Итоговый OPEX: от 500 000 BYN в год.

Таким образом, совокупная стоимость владения (TCO) собственным SOC на 3 года составит от 2 млн BYN. Это значительные инвестиции, доступные преимущественно крупному бизнесу.

Зарплаты специалистов по ИБ в Беларуси (данные на ноябрь 2025 года)

Дефицит кадров напрямую влияет на уровень зарплат. Рынок перегрет, и ожидания специалистов высоки.

• Junior специалист: 1500–2000 BYN
• Middle специалист: 2000–2800 BYN
• Senior специалист: 2800–3500 BYN
• Lead / Руководитель: от 3500–5600 BYN

Средняя зарплата специалиста по ИБ в Беларуси находится в диапазоне 2300-2600 BYN. При этом разница в оплате труда между Junior и Middle специалистами составляет 36-50%, что ярко подчеркивает ценность практического опыта в этой сфере.

Аутсорсинг (MSSP): безопасность как сервис

Для тех, кто не готов к многомиллионным вложениям и долгому процессу построения своей команды, рынок предлагает альтернативу — модель MSSP.

Что такое MSSP?

MSSP (Managed Security Service Provider) — это провайдер управляемых услуг кибербезопасности. По сути, это SOC на аутсорсе, который предоставляется по подписной модели. Клиент получает доступ к готовой инфраструктуре, технологиям и команде экспертов, оплачивая только необходимый ему сервис. Провайдер берет на себя все задачи по мониторингу 24/7, обнаружению угроз и реагированию на инциденты.

Аттестованные провайдеры в Беларуси

С введением нового законодательства в Беларуси сформировался официальный рынок MSSP-услуг. Ключевое требование к провайдеру — наличие аттестата ОАЦ. В официальный перечень аттестованных центров кибербезопасности входят:

• Hoster.by: Первый коммерческий аттестованный SOC в стране.
• A1: Центр кибербезопасности, развернутый на базе собственного дата-центра уровня Tier III.
• Национальный центр обмена трафиком (НЦОТ): Предоставляет услуги в партнерстве с Positive Technologies.
• Другие организации: Включая крупные банки и государственные структуры, которые также получили аттестацию.

Стоимость услуг MSSP и сроки подключения

Провайдеры в Беларуси не раскрывают публично свои тарифы, так как стоимость формируется индивидуально и зависит от множества факторов:

• Перечень услуг и требуемый уровень обслуживания (SLA).
• Количество и типы источников событий (серверы, рабочие станции, сетевое оборудование).
• Количество подключаемых географических площадок.
• Необходимость дополнительных сервисов (подключение нестандартных систем, разработка уникальных сценариев).

Если ориентироваться на российский рынок, то стоимость услуг MSSP в первый год может составлять от 30% до 60% от стоимости создания собственного SOC. В долгосрочной перспективе затраты могут сравняться, но аутсорсинг позволяет избежать колоссальных капитальных вложений на старте.

Главное преимущество MSSP — скорость развертывания. Подключение к сервису занимает в среднем 1-2 месяца, в то время как создание собственного SOC с нуля может занять от 6 месяцев до 3 лет.

Гибридная модель: лучшее из двух миров

Гибридный SOC — это компромиссное и набирающее популярность решение, которое сочетает в себе собственную команду и экспертизу внешнего провайдера. Такой подход позволяет гибко распределять задачи и оптимизировать затраты.

Популярные варианты реализации:

• SIEM на стороне заказчика, мониторинг у провайдера: Все данные и технологическая платформа остаются внутри периметра компании, но за их анализом в режиме 24/7 следит внешняя команда.
• Разделение по времени: Собственная команда работает в дневную смену (например, 8x5), а MSSP-провайдер закрывает ночные часы, выходные и праздничные дни, обеспечивая непрерывность мониторинга.
• Разделение по уровням аналитики: Базовый мониторинг и обработку событий (L1) выполняет провайдер, а глубокое расследование инцидентов (L2/L3) и реагирование (Incident Response) остаются за внутренними специалистами.
• Аутсорсинг экспертизы: Компания разворачивает всю инфраструктуру у себя, но привлекает специалистов провайдера для настройки правил, разработки плейбуков и расследования сложных инцидентов.

Сравнительный анализ: инсорсинг vs аутсорсинг

Критерии выбора: какой путь подходит вашей компании?

Собственный SOC (Инсорсинг) — ваш выбор, если:

• Вы крупная компания с годовым бюджетом на ИБ свыше 100 млн рублей.
• Ваша организация является стратегически значимой для государства или владеет КВОИ.
• Вы работаете с особо чувствительными данными (банки, госсектор) и требования к конфиденциальности максимальны.
• У вас есть зрелая IT-инфраструктура и четкое видение развития ИБ на 3-5 лет вперед.
• Вы готовы к длительному и сложному проекту и имеете в штате лидера, способного его возглавить.

Аутсорсинг (MSSP) — ваш выбор, если:

• Вы относитесь к малому или среднему бизнесу с ограниченным бюджетом на ИБ.
• Вам необходимо выполнить требования законодательства в сжатые сроки.
• У вас нет собственной IT-команды или не хватает экспертизы в области кибербезопасности.
• Ваш бизнес требует непрерывной работы 24/7 (e-commerce, ритейл, онлайн-сервисы).
• Вы входите в перечень 124 организаций по Указу №40, но не являетесь владельцем КВОИ.

Гибридная модель — ваш выбор, если:

• У вас уже есть некоторые элементы системы безопасности (например, SIEM), но не хватает людей для круглосуточного мониторинга.
• Вы хотите сохранить контроль над данными, но получить доступ к внешней экспертизе.
• Вы находитесь в процессе перехода от аутсорсинга к собственному SOC и хотите сделать это плавно.
• Вам нужно оптимизировать затраты, но при этом сохранить ключевые компетенции внутри компании.

Рынок труда: главная головная боль для инсорсинга

Ключевой проблемой при построении собственного SOC в Беларуси остается критическая нехватка квалифицированных кадров. По данным на июль 2025 года, на портале rabota.by было открыто всего 56 вакансий для специалистов по информационной безопасности. Спрос, подогретый требованиями Указа №40, значительно превышает предложение.

Факторы дефицита:

• Высокий спрос: Требования законодательства резко увеличили потребность в ИБ-специалистах.
• Длительная подготовка: Чтобы стать эффективным SOC-аналитиком, требуется 3-5 лет практического опыта.
• Конкуренция за таланты: Крупные компании и IT-сектор предлагают более высокие зарплаты, переманивая специалистов.
• Отток кадров: Миграция опытных специалистов в международные компании.

В таких условиях модель MSSP становится не просто альтернативой, а зачастую единственным реальным решением для многих организаций, чтобы выполнить требования регулятора и обеспечить реальную защиту.

Выбор между инсорсингом и аутсорсингом информационной безопасности в Беларуси — это стратегическое решение, которое должно основываться на трезвой оценке финансовых возможностей, уровня зрелости IT-процессов и долгосрочных целей компании. Указ №40 «О кибербезопасности» задал четкие правила игры, но оставил за бизнесом право выбора модели их реализации.

Собственный SOC является мощным активом, но доступен лишь крупным организациям с серьезными бюджетами. Для малого и среднего бизнеса, а также для компаний, которым нужно быстрое и эффективное решение, услуги аттестованных MSSP-провайдеров становятся оптимальным выходом. Гибридная модель, в свою очередь, предлагает гибкий и сбалансированный подход.

Независимо от выбранного пути, важно помнить: кибербезопасность — это не проект, а непрерывный процесс. Беларусь находится под постоянным прицелом киберпреступников, и инвестиции в надежную модель защиты сегодня — это залог устойчивости и выживания бизнеса завтра.