Расширенный

Расширенный поиск

Автор

Статьи

Как и кому необходимо подключаться к ГосСОПКА

26.02.2019
В процессе цифровизации экономики и государственных институтов общество сталкивается с новыми вызовами и угрозами в области информационной безопасности. По данным аналитиков, средний прирост числа инцидентов в России за 2018 год составил 34%, а жертвой целевых атак стала каждая вторая организация. Всплеск компьютерных атак объясняется тем, что растет число высококвалифицированных кибергруппировок, появляются новые технологии взлома, в том числе, основанные на применении искусственного интеллекта. В основном атакам подвергаются системы промышленных предприятий и государственных учреждений.

Для эффективного реагирования на угрозы была создана государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА). Ее основное назначение — обеспечить защиту информационных ресурсов страны от атак и штатное функционирование таких ресурсов в условиях возникновения компьютерных инцидентов.

Содержание:

Нормативное регулирование деятельности центров ГосСОПКА

Президент Российской Федерации 15 января 2013 года подписал Указ № 31с о создании ГосСОПКА. В нем определены основные задачи ГосСОПКА и полномочия Федеральной службы безопасности Российской Федерации (далее — ФСБ России), которая организует и проводит работы по созданию ГосСОПКА. В рамках исполнения Указа, ФСБ России разрабатывает методики обнаружения атак, рекомендации по организации защиты, определяет порядок обмена информацией об инцидентах.

В декабре 2017 года Президент подписал Указ № 620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». На ФСБ России в соответствии с законом № 187-ФЗ возложены функции федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования ГосСОПКА.

В соответствии с принятым в 2017 году Федеральным законом № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» одной из задач обеспечения безопасности критических информационных инфраструктур (далее – КИИ) является взаимодействие с ГосСОПКА. Для того, чтобы обеспечить это взаимодействие, создаются центры, где будут сосредоточены силы и средства для обнаружения, предупреждения атак, ликвидации их последствий и реагирования на инциденты.

В ГосСОПКА функционируют центры с определенным набором функций. Координирует деятельность центров ГосСОПКА Национальный координационный центр по компьютерным инцидентам (НКЦКИ), созданный ФСБ России. В приказе № 366, утвержденном ФСБ России, прописаны следующие задачи НКЦКИ:

  • сбор, хранение и анализ информации об инцидентах;
  • определение состава технических параметров инцидента для ГосСОПКА и доведение его до субъектов КИИ;
  • доведение до субъектов КИИ информации об атаках;
  • участие в реагировании;
  • методическое сопровождение деятельности субъектов КИИ;
  • организация и обмен информацией об инцидентах между субъектами КИИ;
  • организация получения информации, представляемой в ГосСОПКА;
  • определение форматов представления информации об инцидентах в ГосСОПКА и доведение их до субъектов КИИ.

Также в приказе изложены полномочия НКЦКИ:

  • направляет уведомления и запросы субъектам КИИ (и не только);
  • заключает соглашения о сотрудничестве;
  • привлекает к реагированию на инциденты организации и экспертов;
  • участвует в различных мероприятиях, связанных с ГосСОПКА;
  • создает рабочие группы из представителей субъектов КИИ для решения вопросов, относящихся к компетенции НКЦКИ.

Во исполнение закона № 187-ФЗ утверждены и уже вступили в силу приказы ФСБ России № 367 и № 368. Приказ № 367 определяет состав информации, которую необходимо передавать в ГосСОПКА, и порядок ее передачи. Приказ № 368 определяет порядок получения и обмена информацией о компьютерных инцидентах между субъектами КИИ.


Рисунок 1: Эволюция нормативной базы по ГосСОПКА.

Упомянутые выше центры создаются для развития ГосСОПКА и реализации задач по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в том числе на объекты КИИ. Для их выполнения центры применяют технические, программные, программно-аппаратные и иные средства ГосСОПКА, которые должны соответствовать требованиям нормативно-правовых актов ФСБ России.

Роль центров ГосСОПКА в обеспечении безопасности КИИ

Для обеспечения безопасности необходимо выполнять меры защиты, выбираемые в соответствии с категорией значимости объектов КИИ, а также применять средства предупреждения и ликвидации последствий атак, в том числе, используя возможности взаимодействия центров ГосСОПКА. Также для решения указанных задач в центрах ГосСОПКА сконцентрированы функции, позволяющие выстроить процессы противодействия атакам. Перечислим эти функции:

  • прогнозирование возможных угроз безопасности;
  • повышение устойчивости функционирования КИИ, подвергшейся атаке;
  • информирование об угрозах;
  • формирование предложений по повышению уровня защищенности информационных ресурсов;
  • анализ событий, выявление инцидентов и реагирование на компьютерные атаки;
  • разработка документации, регламентирующей рабочие процессы центра;
  • взаимодействие с НКЦКИ.

Кому необходимо подключаться к ГосСОПКА

В соответствии со статьей 9 закона № 187-ФЗ, у субъектов КИИ есть определенные права и обязанности. Например, субъекты КИИ обязаны незамедлительно информировать об инцидентах ФСБ России, а также Центральный банк Российской Федерации (в случае, если субъект КИИ функционирует в банковской сфере или в иных сферах финансового рынка). Кроме того, субъекты КИИ, которым на правах собственности, аренды или ином законном основании, принадлежат значимые объекты КИИ, обязаны реагировать на инциденты в установленном ФСБ России порядке, принимать меры по ликвидации последствий атак на значимые объекты КИИ. Таким образом, субъектам КИИ необходимо взаимодействовать с ФСБ России.

В требованиях к подразделениям и должностным лицам субъектов ГосСОПКА (методический документ НКЦКИ) субъекты ГосСОПКА определяются как: государственные органы Российской Федерации, российские юридические лица и индивидуальные предприниматели в силу закона или на основании заключенных с ФСБ России соглашений осуществляющие обнаружение, предупреждение и ликвидацию последствий компьютерных атак, и реагирование на компьютерные инциденты. Можно сделать вывод, что к ГосСОПКА может подключиться любая организация или орган государственной власти, осуществляющие обнаружение, предупреждение, ликвидацию последствий атак и реагирование на инциденты. Это могут быть как организации-лицензиаты, создающие центры для оказания услуг сторонним компаниям, так и организации, строящие центр для собственных нужд.

Таким образом, к ГосСОПКА могут подключиться:

  • субъекты КИИ;
  • организации, которые создают центр ГосСОПКА для оказания услуг (субъекты ГосСОПКА);
  • иные организации – для собственных нужд.

Как подключиться к ГосСОПКА

Способ подключения к ГосСОПКА зависит от того, является организация субъектом КИИ или нет.

Для подключения субъекта КИИ к ГосСОПКА необходимо направить письменный запрос в ФСБ России по адресу: 107031, г. Москва, ул. Большая Лубянка д. 1/3. В запросе необходимо изложить сферы деятельности субъекта КИИ, перечень информационных ресурсов, включенных в зону ответственности субъекта, контактные данные руководителя и лиц, ответственных за взаимодействие.

В соответствии с приказом ФСБ России № 367 взаимодействие осуществляется через НКЦКИ с помощью технической инфраструктуры НКЦКИ или по альтернативным каналам: почта (в том числе электронная), факс, телефон.

Для обмена информацией об инцидентах через техническую инфраструктуру необходимо организовать канал защищенного межсетевого взаимодействия, решить организационные вопросы по определению зоны ответственности, и подключить организацию к технической инфраструктуре НКЦКИ под определенной учетной записью. Если организация не является субъектом КИИ, но планирует подключиться к ГосСОПКА для выполнения задач по обнаружению, предупреждению и ликвидации последствий компьютерных атак, то ей необходимо стать субъектом ГосСОПКА и создать центр ГосСОПКА.

При создании центра необходимо руководствоваться документами ФСБ России, которые определяют требования к организациям и методическую основу деятельности таких центров. Перечислим эти документы:

  • Требования к подразделениям и должностным лицам субъектов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
  • Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы Российской Федерации;
  • Методические рекомендации по установлению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации;
  • Методические рекомендации по проведению мероприятий по оценке степени защищенности от компьютерных атак;
  • Регламент взаимодействия подразделений Федеральной службы безопасности Российской Федерации и организации при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Чтобы стать субъектом ГосСОПКА и построить центр ГосСОПКА необходимо:

  1. Иметь лицензию ФСБ России на право осуществления работ, связанных с использованием сведений, составляющих государственную тайну, в случае если им обрабатывается соответствующая информация, либо осуществляется деятельность по мониторингу информационных систем, обрабатывающих сведения, составляющие государственную тайну.

    Лицензирование работ, связанных с использованием сведений, составляющих государственную тайну (только для юридических лиц) осуществляется в соответствии с законом № 5485-I «О государственной тайне». Порядок лицензирования определен постановлением Правительства Российской Федерации от 15 апреля 1995 г. № 333.
  2. Иметь лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации по услугам мониторинга информационной безопасности средств и систем информатизации. Порядок лицензирования определен постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79.
  3. Иметь одну из следующих лицензий ФСБ России на право:

    • осуществления работ, связанных с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну;
    • деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств.
  4. Составить документацию:

    • положение о центре ГосСОПКА;
    • регламент деятельности центра ГосСОПКА;
    • штатное расписание центра ГосСОПКА и должностные инструкции сотрудников центра.
  5. Направить в НКЦКИ копии документов, указанных выше.
  6. Подписать соглашение о взаимодействии с ФСБ России в области обнаружения, предупреждения и ликвидации последствий компьютерных атак.

При составлении штатного расписания и должностных инструкций центра ГосСОПКА необходимо распределить следующие роли специалистов:

  • специалист по взаимодействию с персоналом и пользователями;
  • специалист по обнаружению компьютерных атак и инцидентов;
  • специалист по обслуживанию средств центра ГосСОПКА;
  • специалист по оценке защищенности;
  • специалист по ликвидации последствий компьютерных инцидентов;
  • специалист по установлению причин компьютерных инцидентов;
  • аналитик;
  • технический эксперт в соответствии со специализацией;
  • специалист по нормативно-правовому и методическому сопровождению;
  • руководитель.

В зависимости от выполняемых ролей специалисты центра ГосСОПКА должны удовлетворять определенным требованиям по образованию и стажу работы.

Организационная структура центра ГосСОПКА состоит из трех линий. Всю структуру возглавляет руководитель центра ГосСОПКА.


Рисунок 2: Три линии реагирования в структуре центра ГосСОПКА.

Положение о центре ГосСОПКА должно отражать:

  • сведения о реализации субъектом ГосСОПКА требований законодательства в отношении центров ГосСОПКА;
  • сведения о специалистах субъекта ГосСОПКА, которые будут обеспечивать деятельность центра и их функции;
  • сведения о программных и программно-аппаратных средствах, используемых для противодействия компьютерным атакам (сведения о средствах ГосСОПКА);
  • права, обязанности и ответственность руководителя центра ГосСОПКА;
  • порядок взаимодействия центра ГосСОПКА с внешними организациями.

В регламент деятельности центра ГосСОПКА необходимо включить требования по выполнению задач и ответственность за ненадлежащее исполнение указанных в регламенте требований.

Что делать при возникновении инцидента

Если инцидент произошел на объекте КИИ, в соответствии с приказом ФСБ России № 367 субъект КИИ предоставляет в ГосСОПКА информацию о: дате, времени, месте нахождения или географическом местоположении объекта КИИ, на котором произошел инцидент;

  • наличии причинно-следственной связи между инцидентом и атакой;
  • связи с другими инцидентами (при наличии);
  • составе технических параметров инцидента;
  • последствиях компьютерного инцидента.

НКЦКИ формирует состав технических параметров инцидента и их формат, и доводит эту информацию до субъектов КИИ. Сообщить в НКЦКИ об инциденте необходимо не позднее 24 часов с момента выявления инцидента.

Параллельно с информированием необходимо организовать реагирование на инцидент и обеспечить ликвидацию последствий атак, если было нарушено функционирование объекта КИИ. В определенных случаях, предусмотренных регламентом взаимодействия, за помощью в реагировании и ликвидации последствий атак можно обратиться в ФСБ России.

Для подготовки к реагированию на инциденты и принятию мер по ликвидации последствий атак субъект КИИ, у которого есть значимые объекты КИИ, разрабатывает план. План включает в себя:

  • технические характеристики и состав значимых объектов КИИ;
  • перечень событий (условий), при наступлении которых осуществляется ввод в действие плана;
  • мероприятия, проводимые в ходе реагирования на компьютерные инциденты, действия по ликвидации последствий компьютерных атак, а также время, отводимое на их реализацию;
  • список лиц, ответственных за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий компьютерных атак.

Эффективно реагировать на компьютерные атаки субъекту ГосСОПКА помогут регулярные тренировки и киберучения, повышение квалификации ответственных сотрудников на специализированных курсах, участие специалистов центра ГосСОПКА в различных соревнованиях по информационной безопасности (формата CTF), а также составление сценариев реагирования и инструкций под различные типы инцидентов. Сценарии реагирования помогут специалистам последовательно выстроить процесс реагирования под определенные типовые ситуации.

Рисунок 3: Пример сценария реагирования на ВПО.

Для сбора информации о технических параметрах инцидента и для выполнения задач по реагированию необходимо использовать средства ГосСОПКА. К ним относятся средства обнаружения, предупреждения, ликвидации последствий атак и реагирования на инциденты.

Средства обнаружения должны обеспечивать:

  • сбор и первичную обработку событий информационной безопасности;
  • автоматический анализ событий ИБ и выявление инцидентов;
  • ретроспективный анализ событий ИБ.

Средства предупреждения должны обеспечивать:

  • сбор и обработку сведений об инфраструктуре;
  • сбор и обработку сведений об уязвимостях информационных ресурсов;
  • учет угроз безопасности информации.

Средства ликвидации последствий должны обеспечивать:

  • учет и обработку инцидентов;
  • управление процессами реагирования на инциденты;
  • взаимодействие с НКЦКИ.

Если инцидент произошел в организации, которая является субъектом ГосСОПКА, то необходимо применять лучшие практики реагирования на инциденты, использовать индикаторы атак и учитывать методические рекомендации НКЦКИ. Информация об инцидентах направляется в ГосСОПКА в сроки, достаточные для своевременного проведения мероприятий по обнаружению, предупреждению и ликвидации последствий атак, и реагированию на инциденты.

Заключение

Создание центра ГосСОПКА — комплексная сложная задача: необходимо выстроить процессы ИБ, собрать команду квалифицированных специалистов, внедрить систему безопасности. Как только все значимые для государства субъекты начнут эффективно взаимодействовать с НКЦКИ, своевременно реагировать на инциденты, проводить мероприятия для превентивной защиты, а также организуют оперативный обмен данными — информационная безопасность важных объектов и в целом нашей страны серьезно повысится, а критическая инфраструктура станет устойчивее перед атаками.

Автор:
Сергей Куц, руководитель направления по ГосСОПКА и безопасности КИИ, Positive Technologies.