Расширенный

Расширенный поиск

Автор

Статьи

Итоги конференции SOC-форум 2017

24.11.2017
Итоги конференции SOC-форум 2017
22 ноября 2017 года в Москве профессиональное объединение «SOC России» и медиа-группа «Авангард» провели конференцию SOC-Forum 2017, посвященную практическим вопросам противодействия компьютерным атакам и построения центров мониторинга информационной безопасности (Security Operation Center, SOC).

В рамках мероприятия с докладами выступили представители государственных регулирующих органов (ФСБ России, ФСТЭК России, Банка России), крупных корпораций, банков, образовательных учреждений, компаний−поставщиков решений, экспертного сообщества.

Тематика мероприятия:

  • Функционирование и взаимодействие центров ГосСОПКА. Вопросы регулирования деятельности SOC.
  • Сценарии применения SOC. Опыт эксплуатации центров мониторинга ИБ.
  • SOC: технологии.
  • SOC в финансовой сфере. Взаимодействие с ФинЦЕРТ.
  • Дискуссия Сбербанка «Лицом к лицу: заказчики и вендоры о развитии SOC».
  • Практика выявления и предотвращения инцидентов инструментарием SOC.
  • SOC: процессы, люди.
  • Свой SOC, шаг за шагом.
  • Дискуссия «FUTURE SOC в реалиях аналоговой экономики».

Дискуссия пленарного заседания развивалась вокруг следующих вопросов:

  • Оценка готовности коммерческих структур к защите от внешних компьютерных атак.
  • Государственное регулирование отрасли.
  • Что такое Государственная система обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).
  • Порядок подключения к ГосСОПКА.
  • Ответственность владельцев объектов КИИ и регуляторов.

Представитель ФСБ России отметил, что новая нормативная база (вступающий в силу с 1 января 2018 года Федеральный закон №187-ФЗ «О безопасности критической информационной инфраструктуры» и разрабатываемые подзаконные акты) придаст динамику отрасли информационной безопасности и защиты критической информационной инфраструктур (КИИ).

По словам других участников дискуссии, в настоящее время существующие требования законодательства в целом выполняются, но для успешного противодействия угрозам необходимо сконцентрироваться на потенциально возможных атаках. т. е. применять проактивный подход к защите.

По мнению представителя Сбербанка России, случаи масштабных компьютерных атак (WannaCry, Petya) продемонстрировали, что для оперативного реагирования на подобные угрозы необходимо наличие единого руководящего органа, способного взять на себя координирующие функции и предложить меры защиты.

Представитель Банка России отметил, что взаимодействие с ГосСОПКА позволяет ускорить процесс реагирования. Как показывает практика, оперативное уведомление об угрозах позволяет подготовиться или минимизировать последствия компьютерных инцидентов. В настоящее время среднее время реагирования на компьютерные инциденты, подготовки и рассылки уведомлений о них в Банке России составляет 40-90 минут.

Регуляторы выступили с единым мнением о том, что необходима обратная связь от атакуемых компаний. Чем полнее будут сведения, получаемые из разных источников, тем быстрее будет осуществлен выпуск инструкций и мер по предупреждению угроз для всех участников информационного обмена.

В этой связи представитель ФСБ России отметил, что вопросы информационной безопасности должны стать общими вопросами всего ИТ-сообщества, отдельным компаниям недостаточно выстроить защиту только вокруг себя. Необходимо делиться информацией об инцидентах, чтобы научиться её анализировать, обобщать и вырабатывать меры защиты. Особо было отмечено, что ГосСОПКА представляет собой не средство, а процессы, которые необходимо выстроить в организации: анализ угроз, контроль защищенности, управление конфигурацией средств защиты, регистрация и анализ событий безопасности, обнаружение и реагирование на компьютерные инциденты, информирование персонала.

Говоря об ответственности субъектов КИИ, представитель ФСБ России подчеркнул, что они обязаны информировать о компьютерных инцидентах ФСБ России (в соответствии с Федеральным законом №187-ФЗ «О безопасности критической информационной инфраструктуры»). Вместе с тем регулятор выразил пожелание, что и другие компании, не являющиеся КИИ, осознают потребность в обмене информацией и пользу от подобного обмена. В любой момент различные компании могут стать мишенями компьютерных атак и векторами распространения угроз, в том числе в отношении КИИ.

При этом было отмечено, что речь идет не о передаче сведений о защищенности информационных ресурсов компании. Для ведомства важно получать сведения об атаках, индикаторы компрометации, чтобы оперативно выпускать оповещения. Предоставление из ГосСОПКА сведений, составляющих государственную либо иную охраняемую законом тайну, осуществляется в соответствии с законодательством Российской Федерации через Национальный координационный центр по компьютерным инцидентам (НКЦКИ).

Отдельная сессия была посвящена функционированию и взаимодействию центров ГосСОПКА. Представители ФСБ России рассказали о нормативном регулировании деятельности, роли указанных центров в обеспечении безопасности КИИ.

До 1 января 2018 года планируется выпуск шести нормативных документов, в числе которых:

  1. Положение о Национальном координационном центре по компьютерным инцидентам.
  2. Перечень информации, предоставляемой в ГосСОПКА.
  3. Порядок обмена информацией о компьютерных инцидентах.
  4. Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер ликвидации последствий.
  5. Требования к средствам ГосСОПКА.
  6. Порядок, технические условия установки и эксплуатации средств ГосСОПКА.

В докладе о роли центров ГосСОПКА были выделены основные функции, которые данные центры должны реализовывать:

  • методическое сопровождение и внедрение успешного практического опыта («лучших практик»);
  • формирование и поддержание в актуальном состоянии сведений о зоне ответственности центра ГосСОПКА (перечни информационных ресурсов, используемых средств защиты, ресурсов в сети Интернет, доменных имен и др.), а также передача указанной информации в НКЦКИ;
  • сбор и анализ информации об актуальных угрозах, уязвимостях;
  • мониторинг событий информационной безопасности;
  • выявление уязвимостей информационных систем, их устранение;
  • моделирование и анализ угроз информационной безопасности;
  • прием, обработка, учет и хранение информации о компьютерных инцидентах;
  • реагирование на компьютерные инциденты, установление причин их возникновения и анализ последствий (установление масштаба причиненного ущерба);
  • ликвидация последствий компьютерного инцидента;
  • профилирование защищаемых систем и средств по результатам анализа инцидентов;
  • взаимодействие с НКЦКИ;
  • подготовка отчетных материалов;
  • повышение осведомленности и квалификации персонала и пользователей информационных систем.

Материалы конференции:

Скачать все материалы одним архивом.

Сессия 1 «Функционирование и взаимодействие центров ГосСОПКА. Вопросы регулирования деятельности SOC»:

Сессия 2 «Сценарии применения SOC. Опыт эксплуатации центров мониторинга ИБ»:

Сессия 3 «SOС: Технологии»:

Сессия 4 «SOC в финансовой сфере. Взаимодействие с ФинЦЕРТ»:

Сессия 5 «Дискуссия Сбербанка «Лицом к лицу: заказчики и вендоры о развитии SOC»

Сессия 6 «Практика выявления и предотвращения инцидентов инструментарием SOC»:

Сессия 7 «Процессы и люди»:

Сессия 8 «Свой SOC, шаг за шагом»:

Сессия 9 «Дискуссия «FUTURE SOC в реалиях аналоговой экономики»: