Новости

Итоги конференции SOC-Forum v.2.0

21.11.2016
Итоги конференции SOC-Forum v.2.0
16 ноября 2016 года в г. Москве общественное объединение «SOC России» и медиа-группа «Авангард» провели конференцию SOC-Forum v.2.0: «Практика противодействия кибератакам и построения центров мониторинга информационной безопасности (Security Operation Center, SOC)».

В рамках мероприятия с докладами выступили представители государственных регулирующих органов: ФСБ России, ФСТЭК России, крупных корпораций, банков, компаний−поставщиков решений, экспертного сообщества.

Тематика форума:

  1. Практика построения центров мониторинга и управления инцидентами информационной безопасности.
  2. Типичные сценарии применения SOC.
  3. Взаимодействие с FinCERT в рамках нового Положения Банка России «О защите информации в платежной системе Банка России».
  4. Технологические особенности создания и функционирования SOC.
  5. Борьба с APT-атаками и расследование инцидентов.
  6. Измерение эффективности функционирования центров мониторинга.

На пленарном заседании, посвященном обсуждению вопроса «Зачем нужен SOC?», представители ФСБ России, ФСТЭК России, Газпромбанка, а также руководители компаний в области информационной безопасности высказали единое мнение: появление ситуационных центров мониторинга и выявления инцидентов информационной безопасности (SOC) связано с актуальностью и ростом числа угроз, развитием информационных технологий и усложнением средств нападения, необходимостью сокращения времени на принятие решений (реагирование на инцидент). При достижении определенного уровня зрелости информационной безопасности организации требуется наличие SOC, который позволяет организовать процессы обнаружения, предотвращения компьютерных атак, реагирования и расследования инцидентов, а также оценивать возможные риски.

Основное внимание на пленарном заседании было уделено теме создания Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), а также требованиям ФСТЭК России по лицензированию деятельности SOC.

Представитель ФСБ России рассказал о структуре, целях и задачах ГосСОПКА, создаваемой в соответствии с указом Президента Российской Федерации от 15.01.2013 г. № 31с. В настоящее время ведомством разрабатывается Положение о ГосСОПКА.

В рамках ГосСОПКА планируется создание двух видов центров обнаружения, предупреждения и ликвидации последствий компьютерных атак: ведомственных и корпоративных. В зону ответственности первых входят информационные ресурсы соответствующего ведомства, вторых — информационные ресурсы коммерческих организаций. Корпоративные и ведомственные центры будут включаться в состав ГосСОПКА на основании соглашений с ФСБ России. Проект методических рекомендаций по созданию ведомственных центров ГосСОПКА уже разработан в ФСБ России.

В настоящее время к информационному обмену в рамках ГосСОПКА подключено около 10 абонентов из числа государственных органов.

К задачам ГосСОПКА относятся: обнаружение, предотвращение и ликвидация последствий компьютерных атак, создание платформы для обмена информацией об угрозах между участниками системы. Информационный обмен будет осуществляться на безвозмездной основе для участников системы. Для произвольного участника рынка получение доступа к информации ГосСОПКА возможно через корпоративные центры. Формат обмена информацией о компьютерных инцидентах будет определен специальным регламентом.

Представитель ведомства сообщил, что в рамках ГосСОПКА функционирует Центр реагирования на компьютерные инциденты в информационно-телекоммуникационных сетях органов государственной власти Российской Федерации (GOV-CERT), осуществляющий взаимодействие с национальными CERTs других государств и международными организациями.

Участники дискуссии подчеркнули важность и ценность инициативы ФСБ России по организации обмена сведениями о компьютерных инцидентах.

Отвечая на главный вопрос пленарного заседания («Зачем нужен SOC?»), представитель ФСТЭК России отметил, что без информации о компьютерных инцидентах невозможно строить эффективную защиту и совершенствовать средства защиты, принимать своевременные меры по устранению уязвимостей. В этой связи ФСТЭК России продолжает вести работу по расширению банка данных угроз безопасности информации, в котором на сегодняшний день насчитывается 192 угрозы и порядка 15 тысяч уязвимостей.

Представитель ФСТЭК России рассказал о готовящихся поправках в Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», согласно которым на операторов информационных систем возлагаются обязанности по информированию ФСТЭК России и ФСБ России о компьютерных инцидентах. Получение информации об инцидентах также позволит ведомствам совершенствовать нормативную базу, пополнять базы данных угроз и уязвимостей.

Представитель ФСТЭК России упомянул о Постановлении Правительства Российской Федерации от 15.06.2016 г.№ 541 «О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности» (вступает в силу с 17.06.2017 г.), которое устанавливает требования об обязательном лицензировании деятельности по технической защите конфиденциальной информации, в частности:

  • требования к квалификации специалистов;
  • документации;
  • используемому оборудованию;
  • помещениям.

Перечень соответствующей документации и оборудования будет подготовлен ФСТЭК России. Под эти требования попадает деятельность SOC.

По мнению участников дискуссии, представляющих коммерческие компании, обязательное лицензирование поможет отсеять некомпетентных участников рынка, но в то же время может «затормозить развитие рынка».

В вопросе о возможности использования аутсорсинговых SOC в организациях участники дискуссии были едины во мнении: отдавать во внешнюю компанию можно только рутинные (узкоспециализированные) задачи, а функции, связанные с аналитикой, принятием решения необходимо выполнять самостоятельно.

В завершение дискуссии все участники пленарного заседания рассказали о наличии собственных SOC, кроме представителя ФСТЭК России. Позднее сотрудник ФСТЭК России заявил, что в ведомстве центра мониторинга угроз нет, и его построение не планируется.

Отдельная сессия форума была посвящена ГосСОПКА. Представители ФСБ России подробнее рассказали о функциях и целях системы, был сделан обзор основополагающих документов ГосСОПКА.

Субъектами ГосСОПКА являются владельцы объектов КИИ, операторы связи для объектов КИИ и организации-лицензиаты в области защиты информации. При этом для владельцев объектов КИИ подключение к ГосСОПКА является обязательным и будет регламентироваться готовящимся к выходу Федеральным законом «О безопасности критической информационной инфраструктуры Российской Федерации». Для коммерческих компаний создание корпоративных центров ГосСОПКА позволит повысить эффективность защиты собственных систем.

В рамках ГосСОПКА осуществляется сбор информации об источниках угроз, состоянии защищенности систем, уязвимостях в программном обеспечении, признаках компрометации и другие оперативные и значимые сведения. В настоящее время данная информация поступает из 40 источников, расположенных как в России, так и за рубежом.

Сотрудник компании Positive Technologies отметил, что ГосСОПКА может рассматриваться как сеть профессиональных SOC, регулируемых ведомством. При этом требования ФСБ России соответствуют лучшим мировым практикам.

О взаимодействии с FinCERT, который позиционируется как часть ГосСОПКА, рассказал представитель Банка России. В соответствии с разрабатываемым Положением Банка России «О требованиях к защите информации в платежных системах Банка России» финансовые организации должны информировать Банк России о выявленных инцидентах, в том числе о подозрениях или о возможности возникновения инцидентов не позднее трёх часов после выявления инцидента. Таким образом, время рассматривается как ключевой фактор успешного реагирования.

Как отметил представитель Банка России, в настоящее время информирование происходит в произвольной форме, в дальнейшем планируется принять соответствующий регламент.

Представитель Московского технологического университета рассказал о подготовке специалистов для ГосСОПКА. Одними из наиболее приоритетных специальностей ВУЗа являются: компьютерная защищенность, анализ защищенности компьютерных систем. Кроме того, на базе университета развернут учебный центр «Киберполигон».

Практическая часть конференции содержала примеры построения, практики и опыт использования SOC, возможности измерения эффективности SOC.

Материалы конференции:

Скачать все материалы одним архивом.

Сессия 1 «Свой SOC, с чего начать?»:

Сессия 2 «Информирование об инцидентах»:

Сессия 3 «Сценарии применения SOC. Эксплуатация центров мониторинга ИБ»:

Сессия 4 «Технологии SOC»:

Сессия 5 «Измерение эффективности SOC»:

Сессия 6 «Опыт эксплуатации SOC»: