{"id":1052,"date":"2025-04-19T22:00:00","date_gmt":"2025-04-19T22:00:00","guid":{"rendered":"https:\/\/soccloud.io\/?p=1052"},"modified":"2025-04-24T16:55:41","modified_gmt":"2025-04-24T16:55:41","slug":"test-8umowa-sla-na-uslugi-soc","status":"publish","type":"post","link":"https:\/\/soccloud.io\/en\/test-8umowa-sla-na-uslugi-soc\/","title":{"rendered":"Umowa SLA na Us\u0142ugi SOC: Co Musisz Wiedzie\u0107 Zanim Podpiszesz?"},"content":{"rendered":"

Umowa SLA SOC<\/strong>: Co Musisz Wiedzie\u0107 Zanim Podpiszesz?<\/h1>\n

Rozwa\u017casz outsourcing Security Operations Center i w\u0142a\u015bnie analizujesz propozycj\u0119 umowy? Dobrze skonstruowana umowa SOC<\/strong> \u2013 a w szczeg\u00f3lno\u015bci zapisane w niej parametry Service Level Agreement<\/em> \u2013 to cz\u0119sto ostatnia linia obrony Twojej firmy przed niejasnymi kosztami, d\u0142ugimi przerwami w dzia\u0142aniu lub zbyt woln\u0105 reakcj\u0105 na incydent. W tym artykule wyja\u015bniamy, co powinno by\u0107 w SLA bezpiecze\u0144stwo<\/strong>, na jakie liczby zwr\u00f3ci\u0107 uwag\u0119 oraz jak \u015bwiadomie por\u00f3wna\u0107 oferty r\u00f3\u017cnych dostawc\u00f3w SOC, aby finalna decyzja by\u0142a bezpieczna zar\u00f3wno dla dzia\u0142u IT, jak i zarz\u0105du.<\/p>\n

1. SLA w kontek\u015bcie us\u0142ug SOC \u2013 szybkie przypomnienie<\/h2>\n

SLA (Service Level Agreement) to formalny dokument definiuj\u0105cy mierzalne parametry us\u0142ugi. W przypadku SOC<\/strong> kluczowe s\u0105:<\/p>\n

    \n
  • Nieprzerwana dost\u0119pno\u015b\u0107 monitoringu 24\/7\/365.<\/li>\n
  • Czas reakcji SOC<\/strong> na alert (ang. Time to Respond \u2013 TTR<\/em>).<\/li>\n
  • Time to Contain<\/em> i Time to Remediate<\/em> \u2013 czyli ile czasu mija od wykrycia do opanowania zagro\u017cenia oraz pe\u0142nego przywr\u00f3cenia \u015brodowiska.<\/li>\n
  • Jasno opisane procedury eskalacji i komunikacji.<\/li>\n<\/ul>\n

    W odr\u00f3\u017cnieniu od SLA na us\u0142ugi help-desk lub NOC, tutaj m\u00f3wimy o krytycznej ochronie danych, reputacji i ci\u0105g\u0142o\u015bci biznesu. Dla polskich M\u015aP to cz\u0119sto \u201eby\u0107 albo nie by\u0107\u201d w relacjach z partnerami czy ubezpieczycielem cyber.<\/p>\n

    2. Dlaczego precyzyjna umowa SOC<\/strong> jest kluczowa dla M\u015aP?<\/h2>\n

    Wi\u0119ksze korporacje posiadaj\u0105 dzia\u0142y prawne i w\u0142asne CERT-y, kt\u00f3re potrafi\u0105 obroni\u0107 interesy firmy podczas incydentu. M\u015aP rzadko ma takie zasoby, dlatego to, co znajdzie si\u0119 (lub czego zabraknie) w SLA SOC<\/strong>, mo\u017ce zadecydowa\u0107 o:<\/p>\n

      \n
    • minimalizacji przestoj\u00f3w produkcji, sklepu online lub systemu ERP,<\/li>\n
    • wysoko\u015bci ewentualnych kar umownych i odszkodowa\u0144,<\/li>\n
    • \u0142atwo\u015bci uzyskania odszkodowania z polisy cyber,<\/li>\n
    • bezproblemowej wsp\u00f3\u0142pracy z organami regulacyjnymi (np. KNF, UODO).<\/li>\n<\/ul>\n

      3. Kluczowe elementy, kt\u00f3re musz\u0105<\/u> znale\u017a\u0107 si\u0119 w SLA bezpiecze\u0144stwa<\/h2>\n

      3.1 Zakres i granice odpowiedzialno\u015bci<\/h3>\n

      Koniecznie zdefiniuj, co jest monitorowane (stacje robocze, serwery, Office 365, aplikacje chmurowe, OT) oraz w jakim stopniu SOC odpowiada za reakcj\u0119. Czy tylko dostarcza alert i rekomendacj\u0119, czy te\u017c wykonuje zdalnie dzia\u0142ania naprawcze?<\/p>\n

      3.2 Dost\u0119pno\u015b\u0107 us\u0142ugi 24\/7<\/h3>\n

      Minimalna dost\u0119pno\u015b\u0107 podawana jest zwykle w procentach (np. 99,9%). Sprawd\u017a, jak przeliczana jest ka\u017cda minuta niedost\u0119pno\u015bci na ewentualne kary. W praktyce r\u00f3\u017cnica mi\u0119dzy 99,5% a 99,9% to ponad 21 godzin rocznie<\/em>.<\/p>\n

      3.3 Czas reakcji SOC<\/strong><\/h3>\n

      Najcz\u0119\u015bciej definiowany w poziomach priorytetu:<\/p>\n

        \n
      • P1 (krytyczny):<\/strong> \u2264 15 minut<\/li>\n
      • P2 (wysoki):<\/strong> \u2264 30 minut<\/li>\n
      • P3 (\u015bredni):<\/strong> \u2264 4 godzin<\/li>\n<\/ul>\n

        Zwr\u00f3\u0107 uwag\u0119, od kt\u00f3rego momentu liczony jest czas \u2013 od wygenerowania alertu przez SIEM, od wej\u015bcia do systemu ticketowego SOC, czy od chwili, gdy Ty potwierdzisz zdarzenie? R\u00f3\u017cnice bywaj\u0105 kluczowe.<\/p>\n

        3.4 Poziomy eskalacji i komunikacji<\/h3>\n

        Dla M\u015aP liczy si\u0119 prostota. Dobry SLA definiuje:<\/p>\n

          \n
        1. numery i e-maile do on-call<\/em> analityk\u00f3w,<\/li>\n
        2. czas oczekiwania na feedback od klienta do dalszych dzia\u0142a\u0144,<\/li>\n
        3. kiedy i na jakim poziomie anga\u017cowany jest zarz\u0105d.<\/li>\n<\/ol>\n

          3.5 KPI i raportowanie<\/h3>\n

          Nawet najlepsze SOC<\/strong> bez sensownych wska\u017anik\u00f3w w SLA trudno realnie rozliczy\u0107. Standardem s\u0105:<\/p>\n