Как и кому необходимо подключаться к ГосСОПКА
Для эффективного реагирования на угрозы была создана государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА). Ее основное назначение — обеспечить защиту информационных ресурсов страны от атак и штатное функционирование таких ресурсов в условиях возникновения компьютерных инцидентов.
Рисунок 1: Эволюция нормативной базы по ГосСОПКА.
Упомянутые выше центры создаются для развития ГосСОПКА и реализации задач по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в том числе на объекты КИИ. Для их выполнения центры применяют технические, программные, программно-аппаратные и иные средства ГосСОПКА, которые должны соответствовать требованиям нормативно-правовых актов ФСБ России.
Рисунок 2: Три линии реагирования в структуре центра ГосСОПКА.
Положение о центре ГосСОПКА должно отражать:
Рисунок 3: Пример сценария реагирования на ВПО.
Для сбора информации о технических параметрах инцидента и для выполнения задач по реагированию необходимо использовать средства ГосСОПКА. К ним относятся средства обнаружения, предупреждения, ликвидации последствий атак и реагирования на инциденты.
Средства обнаружения должны обеспечивать:
Сергей Куц, руководитель направления по ГосСОПКА и безопасности КИИ, Positive Technologies.
Нормативное регулирование деятельности центров ГосСОПКА
Президент Российской Федерации 15 января 2013 года подписал Указ № 31с о создании ГосСОПКА. В нем определены основные задачи ГосСОПКА и полномочия Федеральной службы безопасности Российской Федерации (далее — ФСБ России), которая организует и проводит работы по созданию ГосСОПКА. В рамках исполнения Указа, ФСБ России разрабатывает методики обнаружения атак, рекомендации по организации защиты, определяет порядок обмена информацией об инцидентах. В декабре 2017 года Президент подписал Указ № 620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». На ФСБ России в соответствии с законом № 187-ФЗ возложены функции федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования ГосСОПКА. В соответствии с принятым в 2017 году Федеральным законом № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» одной из задач обеспечения безопасности критических информационных инфраструктур (далее – КИИ) является взаимодействие с ГосСОПКА. Для того, чтобы обеспечить это взаимодействие, создаются центры, где будут сосредоточены силы и средства для обнаружения, предупреждения атак, ликвидации их последствий и реагирования на инциденты. В ГосСОПКА функционируют центры с определенным набором функций. Координирует деятельность центров ГосСОПКА Национальный координационный центр по компьютерным инцидентам (НКЦКИ), созданный ФСБ России. В приказе № 366, утвержденном ФСБ России, прописаны следующие задачи НКЦКИ:
- сбор, хранение и анализ информации об инцидентах;
- определение состава технических параметров инцидента для ГосСОПКА и доведение его до субъектов КИИ;
- доведение до субъектов КИИ информации об атаках;
- участие в реагировании;
- методическое сопровождение деятельности субъектов КИИ;
- организация и обмен информацией об инцидентах между субъектами КИИ;
- организация получения информации, представляемой в ГосСОПКА;
- определение форматов представления информации об инцидентах в ГосСОПКА и доведение их до субъектов КИИ.
- направляет уведомления и запросы субъектам КИИ (и не только);
- заключает соглашения о сотрудничестве;
- привлекает к реагированию на инциденты организации и экспертов;
- участвует в различных мероприятиях, связанных с ГосСОПКА;
- создает рабочие группы из представителей субъектов КИИ для решения вопросов, относящихся к компетенции НКЦКИ.
Роль центров ГосСОПКА в обеспечении безопасности КИИ
Для обеспечения безопасности необходимо выполнять меры защиты, выбираемые в соответствии с категорией значимости объектов КИИ, а также применять средства предупреждения и ликвидации последствий атак, в том числе, используя возможности взаимодействия центров ГосСОПКА. Также для решения указанных задач в центрах ГосСОПКА сконцентрированы функции, позволяющие выстроить процессы противодействия атакам. Перечислим эти функции:- прогнозирование возможных угроз безопасности;
- повышение устойчивости функционирования КИИ, подвергшейся атаке;
- информирование об угрозах;
- формирование предложений по повышению уровня защищенности информационных ресурсов;
- анализ событий, выявление инцидентов и реагирование на компьютерные атаки;
- разработка документации, регламентирующей рабочие процессы центра;
- взаимодействие с НКЦКИ.
Кому необходимо подключаться к ГосСОПКА
В соответствии со статьей 9 закона № 187-ФЗ, у субъектов КИИ есть определенные права и обязанности. Например, субъекты КИИ обязаны незамедлительно информировать об инцидентах ФСБ России, а также Центральный банк Российской Федерации (в случае, если субъект КИИ функционирует в банковской сфере или в иных сферах финансового рынка). Кроме того, субъекты КИИ, которым на правах собственности, аренды или ином законном основании, принадлежат значимые объекты КИИ, обязаны реагировать на инциденты в установленном ФСБ России порядке, принимать меры по ликвидации последствий атак на значимые объекты КИИ. Таким образом, субъектам КИИ необходимо взаимодействовать с ФСБ России. В требованиях к подразделениям и должностным лицам субъектов ГосСОПКА (методический документ НКЦКИ) субъекты ГосСОПКА определяются как: государственные органы Российской Федерации, российские юридические лица и индивидуальные предприниматели в силу закона или на основании заключенных с ФСБ России соглашений осуществляющие обнаружение, предупреждение и ликвидацию последствий компьютерных атак, и реагирование на компьютерные инциденты. Можно сделать вывод, что к ГосСОПКА может подключиться любая организация или орган государственной власти, осуществляющие обнаружение, предупреждение, ликвидацию последствий атак и реагирование на инциденты. Это могут быть как организации-лицензиаты, создающие центры для оказания услуг сторонним компаниям, так и организации, строящие центр для собственных нужд. Таким образом, к ГосСОПКА могут подключиться:- субъекты КИИ;
- организации, которые создают центр ГосСОПКА для оказания услуг (субъекты ГосСОПКА);
- иные организации – для собственных нужд.
Как подключиться к ГосСОПКА
Способ подключения к ГосСОПКА зависит от того, является организация субъектом КИИ или нет. Для подключения субъекта КИИ к ГосСОПКА необходимо направить письменный запрос в ФСБ России по адресу: 107031, г. Москва, ул. Большая Лубянка д. 1/3. В запросе необходимо изложить сферы деятельности субъекта КИИ, перечень информационных ресурсов, включенных в зону ответственности субъекта, контактные данные руководителя и лиц, ответственных за взаимодействие. В соответствии с приказом ФСБ России № 367 взаимодействие осуществляется через НКЦКИ с помощью технической инфраструктуры НКЦКИ или по альтернативным каналам: почта (в том числе электронная), факс, телефон. Для обмена информацией об инцидентах через техническую инфраструктуру необходимо организовать канал защищенного межсетевого взаимодействия, решить организационные вопросы по определению зоны ответственности, и подключить организацию к технической инфраструктуре НКЦКИ под определенной учетной записью. Если организация не является субъектом КИИ, но планирует подключиться к ГосСОПКА для выполнения задач по обнаружению, предупреждению и ликвидации последствий компьютерных атак, то ей необходимо стать субъектом ГосСОПКА и создать центр ГосСОПКА. При создании центра необходимо руководствоваться документами ФСБ России, которые определяют требования к организациям и методическую основу деятельности таких центров. Перечислим эти документы:- Требования к подразделениям и должностным лицам субъектов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
- Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы Российской Федерации;
- Методические рекомендации по установлению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации;
- Методические рекомендации по проведению мероприятий по оценке степени защищенности от компьютерных атак;
- Регламент взаимодействия подразделений Федеральной службы безопасности Российской Федерации и организации при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак.
- Иметь лицензию ФСБ России на право осуществления работ, связанных с использованием сведений, составляющих государственную тайну, в случае если им обрабатывается соответствующая информация, либо осуществляется деятельность по мониторингу информационных систем, обрабатывающих сведения, составляющие государственную тайну. Лицензирование работ, связанных с использованием сведений, составляющих государственную тайну (только для юридических лиц) осуществляется в соответствии с законом № 5485-I «О государственной тайне». Порядок лицензирования определен постановлением Правительства Российской Федерации от 15 апреля 1995 г. № 333.
- Иметь лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации по услугам мониторинга информационной безопасности средств и систем информатизации. Порядок лицензирования определен постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79.
- Иметь одну из следующих лицензий ФСБ России на право:
- осуществления работ, связанных с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну;
- деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств.
- Составить документацию:
- положение о центре ГосСОПКА;
- регламент деятельности центра ГосСОПКА;
- штатное расписание центра ГосСОПКА и должностные инструкции сотрудников центра.
- Направить в НКЦКИ копии документов, указанных выше.
- Подписать соглашение о взаимодействии с ФСБ России в области обнаружения, предупреждения и ликвидации последствий компьютерных атак.
- специалист по взаимодействию с персоналом и пользователями;
- специалист по обнаружению компьютерных атак и инцидентов;
- специалист по обслуживанию средств центра ГосСОПКА;
- специалист по оценке защищенности;
- специалист по ликвидации последствий компьютерных инцидентов;
- специалист по установлению причин компьютерных инцидентов;
- аналитик;
- технический эксперт в соответствии со специализацией;
- специалист по нормативно-правовому и методическому сопровождению;
- руководитель.
- сведения о реализации субъектом ГосСОПКА требований законодательства в отношении центров ГосСОПКА;
- сведения о специалистах субъекта ГосСОПКА, которые будут обеспечивать деятельность центра и их функции;
- сведения о программных и программно-аппаратных средствах, используемых для противодействия компьютерным атакам (сведения о средствах ГосСОПКА);
- права, обязанности и ответственность руководителя центра ГосСОПКА;
- порядок взаимодействия центра ГосСОПКА с внешними организациями.
Что делать при возникновении инцидента
Если инцидент произошел на объекте КИИ, в соответствии с приказом ФСБ России № 367 субъект КИИ предоставляет в ГосСОПКА информацию о: дате, времени, месте нахождения или географическом местоположении объекта КИИ, на котором произошел инцидент;- наличии причинно-следственной связи между инцидентом и атакой;
- связи с другими инцидентами (при наличии);
- составе технических параметров инцидента;
- последствиях компьютерного инцидента.
- технические характеристики и состав значимых объектов КИИ;
- перечень событий (условий), при наступлении которых осуществляется ввод в действие плана;
- мероприятия, проводимые в ходе реагирования на компьютерные инциденты, действия по ликвидации последствий компьютерных атак, а также время, отводимое на их реализацию;
- список лиц, ответственных за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий компьютерных атак.
- сбор и первичную обработку событий информационной безопасности;
- автоматический анализ событий ИБ и выявление инцидентов;
- ретроспективный анализ событий ИБ.
- сбор и обработку сведений об инфраструктуре;
- сбор и обработку сведений об уязвимостях информационных ресурсов;
- учет угроз безопасности информации.
- учет и обработку инцидентов;
- управление процессами реагирования на инциденты;
- взаимодействие с НКЦКИ.
Заключение
Создание центра ГосСОПКА — комплексная сложная задача: необходимо выстроить процессы ИБ, собрать команду квалифицированных специалистов, внедрить систему безопасности. Как только все значимые для государства субъекты начнут эффективно взаимодействовать с НКЦКИ, своевременно реагировать на инциденты, проводить мероприятия для превентивной защиты, а также организуют оперативный обмен данными — информационная безопасность важных объектов и в целом нашей страны серьезно повысится, а критическая инфраструктура станет устойчивее перед атаками.Автор:
Сергей Куц, руководитель направления по ГосСОПКА и безопасности КИИ, Positive Technologies.
Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru