Новости

Итоги конференции SOC-форум 2018

10.12.2018
Итоги конференции SOC-форум 2018
27 и 28 ноября 2018 года в Москве профессиональное объединение «SOC России» и медиа-группа «Авангард» провели конференцию SOC-Forum 2018, посвященную практическим вопросам противодействия компьютерным атакам и построения центров мониторинга информационной безопасности (Security Operation Center, SOC).

В рамках мероприятия с докладами выступили представители государственных регулирующих органов (ФСБ России, ФСТЭК России, Банка России), крупных корпораций, банков, образовательных учреждений, компаний−поставщиков решений, экспертного сообщества.

Тематика мероприятия:

  • Практика реализации положений ФЗ-187 и его подзаконных актов.
  • Опыт эксплуатации SOC.
  • Технологии обнаружения и реагирования на инциденты.
  • SOC: люди и процессы.
  • SOC в финансовой сфере. Взаимодействие с ФинЦЕРТ.
  • Практический опыт защиты АСУ ТП.
  • Практические аспекты расследования инцидентов.

Дискуссия пленарного заседания развивалась вокруг вопросов нормативно-правового и методического обеспечения информационной безопасности.

Заместитель директора ФСТЭК России рассказал о реализации требований Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры». В настоящее время активно ведётся инвентаризация и категорирование объектов, подпадающих под действие указанного закона. По данным ФСТЭК России, процедуру категорирования прошли 500 объектов, а на 25 тысячах объектов идут соответствующие работы. По словам представителя ведомства, в 2018 году на первом месте по выполнению требований закона находятся компании топливно-энергетического комплекса. За ними следуют учреждения сферы здравоохранения и предприятия оборонно-промышленного комплекса. Представитель ведомства порекомендовал компаниям не откладывать введение практических мер по обеспечению информационной безопасности. В 2019 году планируется завершить категорирование и перейти к следующему этапу — построению системы безопасности в соответствии с приказами ФСТЭК России № 236 и № 239.

Представитель Банка России рассказал о нормативном регулировании в кредитно-финансовой сфере и выделил две актуальные тенденции в области безопасности данной сферы. Первая тенденция — рост количества компьютерных атак в отношении учреждений финансового сектора. Вторая тенденция связана со снижением финансовых потерь от таких атак. Наибольшую опасность по-прежнему представляют такие угрозы, как фишинг и социальная инженерия. В настоящее время Банк России реализует подход к формированию нормативной правовой базы в виде стандартов. Представитель ФСБ России рассказал о роли Государственной системы обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) в современной системе информационной безопасности государства. По словам представителя ведомства, возложенные на ГосСОПКА задачи должны решаться во всем информационном пространстве. Было отмечено, что ГосСОПКА строится не только для владельцев объектов критической информационной инфраструктуры (КИИ), и участвовать во взаимодействии в рамках ГосСОПКА могут владельцы любых информационных ресурсов. Чем шире будет круг участников, тем эффективнее будет общая система противодействия вредоносной активности. Взаимодействие может осуществляться как путем обмена информацией об инцидентах и новых угрозах, так и путем сотрудничества по решению задач обнаружения, реагирования и ликвидации последствий компьютерных инцидентов.

Представитель ПАО «Сбербанк» рассказал о роли и месте информационной безопасности в национальной программе «Цифровая экономика Российской Федерации». Подготовлен проект плана федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика Российской Федерации». Одним из пунктов плана является создание корпоративных центров ГосСОПКА, обеспечивающих оказание услуг в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты для физических лиц, индивидуальных предпринимателей и малого бизнеса, в том числе не относящихся к субъектам КИИ.

Отдельная секция форума с участием представителей ФСБ России и ФСТЭК России была посвящена практическим вопросам реализации положений Федерального закона № 187-ФЗ и его подзаконных актов.

Представителем ФСТЭК России были разъяснены правила категорирования объектов КИИ, а также порядок взаимодействия с ведомством. Докладчик рассказал о типичных ошибках при представлении сведений о результатах категорирования во ФСТЭК России. Так, зачастую отсутствуют сведения о возможных последствиях возникновения компьютерных инцидентов, реквизиты сертификатов СЗИ и сведения об ответственном структурном подразделении, не указываются критические процессы и конкретные значения показателей для категорируемого объекта КИИ.

Представители ФСБ России рассказали о задачах и функциях субъекта ГосСОПКА, порядке взаимодействия в рамках ГосСОПКА, методическом обеспечении деятельности центра ГосСОПКА, технических аспектах взаимодействия с Национальным координационным центром по компьютерным инцидентам (НКЦКИ).

На секции «Диалог с регулятором» представители ФСБ России, ФСТЭК России, Центрального Банка отвечали на актуальные вопросы, связанные с порядком взаимодействия субъектов ГосСОПКА с НКЦКИ, кадровым обеспечением SOC-центров, требованиями к лицензированию и сертификации. Были разобраны спорные случаи определения владельцев субъектов КИИ на примере владельцев филиалов объекта КИИ или отдельных сегментов КИИ.

Представители ФСБ России отметили, что модель взаимодействия субъектов ГосСОПКА предусматривает возможность обмена информацией друг с другом. Основной целью информационного взаимодействия в рамках ГосСОПКА является получение новых знаний об угрозах, что позволит НКЦКИ оперативно предупреждать о потенциальных угрозах других субъектов КИИ. Вместе с тем, ФСБ России выступает против бесконтрольного обмена информацией о компьютерных инцидентах на объектах КИИ с иностранными и международными организациями. Взаимодействие с такими организациями осуществляется только через НКЦКИ.

Представители ведомства разъяснили вопросы реагирования на компьютерные инцидента на уровне корпоративного центра. В случае если ресурсов и возможностей такого центра не хватает, то ГосСОПКА выступает в качестве источника помощи.

Взаимодействие субъектов КИИ с НКЦКИ может осуществляться двумя способами: напрямую или через корпоративный центр ГосСОПКА. В последнем случае необходимо направить уведомление в НКЦКИ о том, что взаимодействие будет вестись через центр ГоСОПКА.

Дальнейшее развитие ГосСОПКА связано с расширением государственно-частного партнерства.

Представитель ФСТЭК России рассказал о готовящихся изменениях в законодательство. Так, планируется установить административную ответственность за невыполнение требований по категорированию объектов КИИ.

В рамках дискуссии были названы следующие проблемы отрасли:

  • существуют субъекты КИИ, которые не знают, что попадают под действие закона 187-ФЗ;
  • на многих субъектах КИИ не проведена инвентаризация ресурсов, следовательно, их владельны не знают свои ресурсы и не могут приступить к выполнению требований законодательства по защите объекта КИИ;
  • руководители организаций не уделяют достаточное внимание информационной безопасности и подготовке квалифицированных кадров в этой области, отсутствует вовлеченность руководителей в процессы информационной безопасности;

Материалы конференции:

Скачать все материалы одним архивом