В Д
Ну тогда коротко.
1. Аутсорса сок не бывает. Бывает передача части функций или компетенций. Скомбинированных с работой и экспертизой клиента. Границы бывают разные, но всегда совместная работа
2. Данные могут передаваться или нет. Размещение siem на стороне заказчика с удалённым доступом. Или частичный аутстаф. Но относить логи к критичным данным - это очень редко видел.
3. Регуляторы деятельность поддерживают. Фстэк лицензирует, ФСБ явно говорит о возможности передачи функций в метод рекомендациях. А ещё можно конференции посещать, например SOC форум, там они про это говорят. И можно в презентациях на сайте посмотреть. Не реклама :)
4. PCI тоже проблем не имеет. Исключить данные карт из логов, при этом выполняя требования по контролям - не совсем просто, но и не rocket science. Да даже если и не исключить, нудно просто сертификат получать. Мы (JSOC) каждый год аудит проходим
На вопрос про компенции отвечать не буду, имхо нет тут вопроса. А про первую линию можно долго рубиться с несколькими метрами, часть из них даже в этом канале. Но лучше останемся каждый при своём мнении.
Поделитесь, пожалуйста, опытом - вас (JSOC) часто проверяют Заказчики, например, заказав тестирование на проникновение у сторонней организации?
ПС Надеюсь, что не оффтоп и не забанят)
