Vladimir
Отлично. Вы прекрасно показали, что SOC перед лицом заказчика может попытаться по максимум устранится от ответственности. Возвращаюсь к первоначальному вопросу: я не ратую за полностью снятие ответственности с гендира или ответственного за КИИ, но если SOC не несет никакой ответственности и не гарантирует надлежащее предоставление услуг и при первой же проблеме попытается уйти даже от финансовой ответственности, то зачем он нужен моей организации?
Если вы не группа компаний, для внешнего SOC могут быть две причины:
1. Есть функция (условно - ежегодный пентнст), которую вы не умеете делать вообще никак. Возможно, SOC сам умеет её плохо - но даже это "плохо" может быть гораздо лучше того, что самостоятельно умеете вы.
2. Есть функция (условно, реверсинг подозрительной бяки, которую ваши пользователи периодически получают поипочте и открывают), которой вы никак не загрузите человека на полный день. Если вы этого человека будете в дополнение к любимой работе грузить рутиной - он от вас уйдет в тот самый SOC. А держать его на полную ставку ради эпизодической работы - больно дорого.
Во всех других случаях собственными силами, безусловно, лучше - по крайней мере, уверенности больше
