Аудит поможет сформировать перечень объектов, процессов, угроз, рисков, понять категорию и ориентировочные затраты, а также перечень того, что нужно для обеспечения безопасности объектов КИИ.
Если это нормальный, конечно, аудит (который оплата в час, а не бесплатный от интегратора)

А вам какой центр ГосСОПКА? Ведомственный, корпоративный для холдинга или коммерческий SOC для оказания услуг клиентам? Они по-разному создаются.

Этапность нигде не определена, ее каждый субъект для себя сам определяет. Но опытом поделиться можно.

Корпоративный для холдинга и ведомственный. Два разных.

При создании ведомственного центра  обычно акцент делается на техническом оснащении, т.е. деньги выделяются на создание информационной системы центра (система управления инцидентами плюс "обвязка" в виде источников событий). Соответственно, этапность такая же, как и при создании ИС:
1. НИОКР на создание "демонстратора технологий" - фактически пилотный проект, в котором разворачиваются основные техническиеи решения, но в ограниченной зоне (отдельный ЦОД, центральный аппарат ведомства и т.п). По итогам - разработка ТЗ на центр.
2. Создание центра, зона ответственности которого ограничена только федеральным центром.
3. Подключение к центру "на обслуживание" ИС федерального центра - фактически это интеграция на уровне сбора инвентаризации, сведений об уязвимостях и событий. Обычно на это же этапе4.  оформляется взаимодействие с НКЦКИ
4. ТЗ на "тиражирование" - что и как нужно добавить, чтобы охватить структуры ведомства уровня субъектов федерации. Отсюда и дальше все очень сильно зависит от оргструктуры и масштабов конкретного ведомства.

Где-то на стадии 3 ведомство начинает осознавать, что нужны люди (и сколько их нужно) и что никто не даст им расширять штат, поэтому дальше начинают прорабатывать вопросы аутсорсинга

В ОИВ уровня субъектов федерации все примерно так же, но масштаб меньше. Центры создаются на базе местных ИАЦ и охватывают только серверную инфраструктуру ИАЦ. До вопроса "как реагировать на инциденты в конкретном бюджетном учреждении" пока вроде никто не дошел

С корпоративными и проще, и сложнее. Обычно есть сервисная компания, которая  уже выполняет какие-то функции безопасности для предприятий корпорации.  НКЦКИ. Соответственно, при создании центра отталкиваются не от техники, а от функций - чего не хватает
1. Проводится пентест a-la "киберучения". В ходе пентеста оценивается, что компания реально смогла сделать прооив пентестеоов (в большинстве случаев - почти ничего).
2. По результатам пентеста разрабатываются рекомендации по совершенствованию системы защиты: что изменить в инфраструктуре, что - в защите самих ИС и какие функции централизовать.

😱 о чем вы говорите? Какие системы? SOC - это в первую очередь люди. Для создания SOC  нужно созреть.
Начиная с систем - просто выкинете деньги(

3. Под автоматизацию этих функций делается ТЗ и создается обвязка для недостающих функций безопасности

А я и начал с того, что в ведомствах и коммерческих компаниях SOCи создаются по-разному. На фразе "SOC - это в первую очередь люди" создание SOC в государственном ведомстве закончится сразу же - потому что людей нет и не будет. Поэтому идут по другому пути - создают автоматизацию, а потом решают, откуда возьмутся люди, которые будут с ней работать

1. Прокачивайте ИБ-специалистов
2. Создавайте SOC, если до него созрели и понимаете для чего он вам.
3. Используйте системы, которые будут удобны вашим специалистам и может позволить ваша организация
4. Постояно развивайте и улучшайте ваш soc 😉

Поделитесь опытом, как прокачать того, кого нет.

Нет в большинстве федеральных ведомств специалистов под задачи ГосСОПКА - не было их в штате до принятия ФЗ

Если у вас нет ИБ-специалистов, зачем вам SOC? Зачем вам НИОКРы и системы?

Вы название канала читали? На то, что вы прочитали вопрос, на который отвечаю, я даже не надеюсь.

😂 в 187 нет ничего про создание центров ГосСОПКА, непонятно зачем ваш порядок по созданию корпоративных и ведомственных.
Хотя... так как вы участник НИОКР, вендор ИБ-систем и компания, оказывающая ИБ-услуги на аутсорс - я вас понимаю 😉

Про порядок поинтересовался я. Так что все ок. Спасибо Дмитрию за ответ (мнение). В 187-ФЗ хоть и нет слов «центр ГосСОПКА», но есть целая глава, посвящённая этому делу, а уж как ее реализует то ведомство, на которое возложили регулирование этой деятельности, - ФСБ, это их дело.
Тем более, все же «центр ГосСОПКА» появился ещё до 187-ФЗ, можно предположить, что этот закон был притянут к этой сущности.

Чтобы это понимать, нужно знать, почему ведомства создают центры ГосСОПКА  :)

Одновременно с ФЗ-187 было принято распоряжение Правительства, устанавливающее, какие ведомства и в какой срок должны создать центры ГосСОПКА. Вопрос "при чем тут ФЗ?" рекомендую адресовать аппарату Правительства, который контролирует исполнение этого распоряжения.

Создание ведомственных центров финансируется из программ информатизации этих ведомств. Результатом исполнения программы информатизации может быть только создание информационных систем, иначе это будет квалифицировано как нецелевое расходование, то бишь 285.1 УК РФ.

Поэтому эти ведомства создают центры ГосСОПКА  именно как информационные системы и под них решают кадровый вопрос ИБ

Распоряжение, разумеется, «С»?
Даже в контексте 187-ФЗ глава, о ГосСОПКА оперирует понятием «информационные ресурсы», из-за чего получается странная ситуация, что предмет регулирования данной главы шире, чем сфера действия самого Закона? Или это мне только кажется? Созданием центров ГосСОПКА озадачились те ведомства, которые на первый взгляд и не субъекты КИИ.

Не знаю, я его не видел

Действительно, про распоряжение ничего не слышал, только о плане развертывания от 2015 года. Дмитрий, спасибо за ваше мнение 👍

вы бы сначала подсказали людям какие ИБ-системы будут соответствовать требованиям к средствам ГосСОПКА. потом возможно будет сложновато объяснять Счетной палате что бюджетные деньги освоенны, людей нет, центр не работает, закупленные для всех регионов средства не совсем средства ГосСОПКА