На кого возложены обязанности госсопка

Обновлено: 02.07.2024

Защита информации на государственном уровне - это целый комплекс мероприятий и инструментов. Охраной государственной тайны занимаются специализированный государственный орган - Федеральная служба безопасности. Однако, не вся информация подлежащая защите может быть отнесена к ГТ. И вот в поддержку приказа №31 и как реакция на быстро меняющуюся ситуацию в мире президент Владимир Путин указом создает специализированную государственную систему ГосСОПКА. Рассмотрим более подробно организационные и технические аспекты новой государственной системы.

В январе 2013г. президент Владимир Путин подписал указ о создании в России Государственнной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак или ГосСОПКА

Ее ключевыми задачами, в соответствии с указом президента, должно стать прогнозирование ситуаций в области обеспечения Информационной безопасности, обеспечение взаимодействия владельцев ИТ-ресурсов при решении задач, связанных с обнаружением и ликвидацией компьютерных атак, с операторами связи и другими организациями, осуществляющими деятельность по защите информации. В список задач системы также входит оценка степени защищенности критической ИТ-инфраструктуры от компьютерных атак и установление причин таких инцидентов.

Следующим шагом стала в декабре 2014 года утвержденная президентом Владимиром Путиным концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ. А в марте 2015 года ФСБ опубликовала выписку из этого документа, содержащую данные о том, как будет устроена эта система.

Согласно документу, система представляет собой единый централизованный территориально-распределенный комплекс, включающий силы и средства обнаружения, предупреждения и ликвидации последствий компьютерных атак, федеральный орган власти, уполномоченный в области обеспечения безопасности критической инфраструктуры РФ и орган власти, уполномоченный в области создания и обеспечения функционирования системы.

В составе системы будет функционировать созданный в ФСБ Национальный координационный центр по компьютерным инцидентам

Основной организационно-технической составляющей системы являются центры обнаружения, предупреждения и ликвидации последствий компьютерных атак, которые будут подразделяться по территориальному и ведомственному признакам. В частности, будет организован главный центр, региональные, территориальные центры системы, а также центры госорганов и корпоративные центры. Функционирование последних будет обеспечиваться организациями, их создавшими.

Также рамках системы планируется организовать взаимодействие с правоохранительными и другими госорганами, владельцами информационных ресурсов РФ, операторами связи и интернет-провайдерами на национальном и международном уровнях. Оно будет включать обмен информацией о выявленных компьютерных атаках и обмен опытом в сфере в сфере выявления и устранения уязвимостей ПО и оборудования и реагирования на компьютерных инциденты.

выявление признаков проведения компьютерных атак формирование и поддержание в актуальном состоянии детализированной информации об информационных ресурсах, находящихся в зоне ответственности ведомственного центра

сбор и анализ информации о компьютерных атаках и вызванных ими компьютерных инцидентах

проведение мероприятий по оперативному реагированию на компьютерные атаки и вызванные ими компьютерные инциденты, а также по ликвидации последствий данных компьютерных инцидентов в информационных ресурсах

принятие управляющих решений по обеспечению информационной безопасности информационных ресурсов

выявление, сбор и анализ сведений об уязвимостях, а также проведение мероприятий по оценке защищённости от компьютерных атак и вирусных заражений информационных ресурсов

информирование заинтересованных лиц и субъектов ГосСОПКА по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак

обеспечение защиты данных, передаваемых между ведомственным центром и Главным центром по каналам, защищённым с использованием сертифицированных ФСБ России средств защиты информации

предоставление дополнительной информации о компьютерных инцидентах в информационно-телекоммуникационных сетях, находящихся в зоне ответственности ведомственного центра, по запросам Главного центра ГосСОПКА.

С системой не все так гадко, а именно есть ряд сложных технических проблем, к числу которых, например, относят:

отсутствие собственного ПО многих классов, как общесистемного (операционных систем, систем управления базами данных), так и прикладного (например, софта для моделирования месторождений), так, например, в системе ЦБ РФ используется 40% прикладного ПО зарубежного производства, зарубежных баз данных, ОС, аппаратно-программного обеспечения – 95%;
отсутствие собственной элементной базы;
практическое отсутствие отечественного телекоммуникационного оборудования на всей территории страны;
топология транспортной сети страны с точки зрения обеспечения её живучести требует улучшений.

И в заключение стоит упомянуть о связи FinCERT и ГосСОПКА. По словам Алексея Лукацкого, было сказано, что создаваемый Центробанком FinCERT войдёт в состав Системы – видимо, как ведомственный. Лукацкий отмечает: "Банкам стоит присмотреться к СОПКА. Тому есть две причины. Первая – с СОПКА будет плотно работать FinCERT, передавая туда информацию, получаемую от банков и переработанную FinCERTом. Вторая – все те, кто попадет под действие закона "О безопасности критической информационной инфраструктуры", обязаны будут подключиться к СОПКА".

Под выделенным помещением (ВП) понимается служебное помещение, в котором ведутся разговоры (переговоры) конфиденциального или секретного характера . Здесь речь идет о служебных помещениях, в которых отсутствуют какие-либо технические средства обработки (передачи) конфиденциальной информации. К таким помещениям относятся, прежде всего, комнаты для переговоров на фирмах, где ведутся деловые переговоры, содержащие конфиденциальную информацию.

Основная цель обеспечения безопасности конфиденциальной информации в переговорных комнатах - исключить доступ к ее содержанию при проведении переговоров (разговоров).Выделенное помещение выбирается так, чтобы оно, по возможности, не примыкало к границам контролируемой зоны, не находилось на первом и последнем этажах здания, учитывается его звукоизоляция, изолированность и возможности дистанционного перехвата информации по акустическим каналам (лазерные и направленные микрофоны и т.п.) – т.е. окон может не быть вообще или лучше, если они выходят во двор. Во время проведения переговоров форточки должны быть закрыты, желательно также закрыть шторы или жалюзи. Дверь в выделенное помещение должна быть оборудована звукоизоляционным тамбуром, следует также принять меры по защите вентиляционных отверстий – как по прямому, так и по виброакустическому каналу. В отдельных случаях на время проведения конфиденциального мероприятия контролируемая зона организационными и техническими мероприятиями временно может устанавливаться большей, чем обычно. При организации выделенного помещения все ВТСС, от которых можно отказаться (системы телевидения, часофикации, телефонная связь, бытовая техника и т.д.), должны демонтироваться, а несертифицированные технические средства должны отключаться от соединительных линий и источников электропитания при проведении конфиденциальных переговоров. Если требуется наличие телефонной линии, а также в сеть электропитания устанавливаются сертифицированные защитные устройства. Кроме того, обязательно проводится оценка защищенности речевой информации в выделенном помещении от утечки по акустическим каналам. Должно быть организовано управление и контроль доступа в выделенные помещения как сотрудников, так и вспомогательного персонала организации. В нерабочее время выделенные помещения опечатываются и ставятся на сигнализацию.

Защищаемые помещения

Руководителей компаний разных уровней постоянно беспокоят вопросы защиты конфиденциальной информации. Одним из вопросов является обеспечение конфиденциальности переговоров, о содержании которых посторонним лицам знать не обязательно. Перед тем как приступить ко всевозможным мерам защиты, было бы неплохо для себя обрисовать, как выглядит ваш злоумышленник. Потенциально это должен быть человек, который хорошо подготовлен. Он должен знать все пути, с помощью которых может произойти утечка информации во время переговоров. Злоумышленник при этом должен на профессиональном уровне уметь добывать сведения, обладая необходимыми знаниями и оборудованием. Исходя из всего вышесказанного, важно правильно разработать целый комплекс мероприятий, который позволит вам защитить свои переговоры. Самое главное:

Переговорная комната должна быть подобрана очень тщательно. Наиболее рациональным решением будет, если вы разместите ее на верхних этажах. Конечно, идеальный вариант — если в такой комнате окна будут выходить во двор или вообще отсутствовать.
В данной комнате ни в коем случае не должны находиться часы, телефоны, телевизоры и т.д.
Также позаботьтесь о том, чтобы вход был оборудован тамбуром, который предварительно нужно хорошо звукоизолировать.
Вентиляционные каналы обязательно должны иметь специальные решетки. Таким образом отверстие можно будет прикрывать во время переговоров и открывать, когда помещение не используется.
Все окна и форточки должны быть закрыты. Позаботьтесь о наличии штор или жалюзи, а также оборудуйте окна вибродатчиками.
Если в комнате для переговоров будут все-таки находиться телефоны, необходимо приобрести специальные приспособления — глушилки, которые способны подавлять сигнал на различных расстояниях, в зависимости от собственной мощности. Подобного же рода приспособления существуют и для подавления сигнала проводных микрофонов.

При работе с документами ограниченного доступа очень важно организовать соответствующий режим хранения этих документов, доступа к ним и их использования. Помещения, в которых ведутся работы с такими документами и где они хранятся в нерабочее время (в том числе и помещения архива), являются режимными. Наиболее целесообразно эти помещения располагать компактно в основном административном здании организации в зоне размещения кабинетов аппарата руководства. Архивохранилища, если таковые имеются, с учетом перспективы их возрастающей загрузки целесообразно располагать на первых этажах административных зданий. Они в обязательном порядке должны быть обеспечены вентиляцией (принудительной или, по крайней мере, естественной). Режимные помещения должны оборудоваться замками повышенной надежности (с секретом). Для контроля за входом, могут устанавливаться шифрованные и электронные замки, автоматические турникеты, камеры видеонаблюдения. Доступ в помещения, где хранятся документы ограниченного доступа, должен быть строго ограничен.

Рассмотрим этот аспект информационной безопасности подробнее. Вперёд!

Основные положения

Итак, объекты КИИ следует категорировать. Это выполняется постоянно действующей внутренней комиссией по категорированию субъекта КИИ, которая также производит и документально оформляет следующие действия:

ГосСОПКА

ведомственные Центры осуществляют лицензируемую деятельность по защите информационных ресурсов в интересах органов государственной власти;
корпоративные Центры осуществляют лицензируемую деятельность по защите информационных ресурсов в собственных интересах, а также имеют право предоставлять услуги по предупреждению, обнаружению и ликвидации последствий компьютерных атак.

Итак, субъект КИИ, относящийся к органу государственной власти, в соответствии с текущими законодательными нормами должен подключиться к соответствующему ведомственному Центру ГосСОПКА. У субъекта КИИ, не являющегося органом государственной власти, есть возможность либо осуществить самостоятельное подключение к системе ГосСОПКА, либо создать свой собственный корпоративный Центр ГосСОПКА, либо подключиться к уже созданному Центру, оказывающему услуги по подключению к системе ГосСОПКА.

При самостоятельном подключении к Центру ГосСОПКА субъекту КИИ предстоит решить следующие задачи:

создание собственного Центра мониторинга информационной безопасности с учетом требований нормативных документов ФСБ РФ, ФСТЭК России, иных нормативно-правовых актов;
внедрение и поддержка технических средств и решений, соответствующих методическим рекомендациям ФСБ РФ по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
внедрение и поддержка технических средств и решений, соответствующих требованиям к лицензиату ФСТЭК России для осуществления деятельности по мониторингу информационной безопасности средств и систем мониторинга;
получение лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации (ТЗКИ) в части перечня работ и услуг по мониторингу информационной безопасности средств и систем мониторинга (в случае предоставления коммерческих услуг другим организациям или при работе в составе холдинговой структуры);
получение лицензии ФСБ РФ на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (в случае предоставления коммерческих услуг другим организациям или при работе в составе холдинговой структуры);
осуществление взаимодействия с НКЦКИ в соответствии с регламентом взаимодействия подразделений ФСБ РФ и субъектов ГосСОПКА при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак;
привлечение, обучение, удержание сотрудников Центра мониторинга информационной безопасности;
разработка и непрерывная актуализация сценариев атак и мониторинга;
аналитика событий и инцидентов, построение отчетности.

АСУТП

В соответствии с Приказом №31 объектами защиты в АСУТП являются информация о параметрах или состоянии управляемого объекта или процесса, а также все сопутствующие технические средства (рабочие станции, серверы, каналы связи, контроллеры), ПО и средства защиты. Данный документ указывает, что предпринимаемые организационные и технические меры по защите АСУТП должны, в первую очередь, обеспечивать доступность и целостность обрабатываемой в АСУТП информации, а обеспечение конфиденциальности логично ставится на второе место. Кроме этого, указывается, что принимаемые меры должны быть гармонизированы с мерами по обеспечению других видов безопасности, например, промышленной, пожарной, экологической, и не должны оказывать отрицательного влияния на штатный режим функционирования АСУТП. Предъявляются требования и к СЗИ в АСУТП — они должны пройти оценку соответствия.

В документе описаны организационные шаги по защите информации (далее — ЗИ) в АСУТП: формирование требований к ЗИ, разработка и внедрение системы защиты АСУТП, обеспечение ЗИ в ходе эксплуатации АСУТП и при выводе её из эксплуатации. Именно на этапе формирования требований проводится важная работа по классификации АСУТП: системе устанавливается один из трех классов защищенности (где самый низкий класс — третий, самый высокий — первый), при этом класс защищенности определяется в зависимости от уровня значимости обрабатываемой информации, т.е. степени возможного ущерба от нарушения её свойств безопасности (целостность, доступность и, если применимо, конфиденциальность). Степень ущерба же может быть высокой (ЧП федерального или межрегионального масштаба), средней (ЧП регионального или межмуниципального масштаба) или низкой (происшествие носит локальный характер).

Кроме классификации АСУТП, на этапе формирования требований определяются угрозы безопасности АСУТП путем составления модели угроз: выявляются источники угроз, оцениваются возможности нарушителей (т.е. создается модель нарушителя), анализируются уязвимости используемых систем, определяются возможные способы реализации угроз и последствия этого, при этом следует использовать БДУ ФСТЭК России. Важность создания модели нарушителя на данном этапе заключается еще и в том, что применяемые меры защиты в АСУТП 1-го класса защищенности должны обеспечивать нейтрализацию действий нарушителя с высоким потенциалом, в АСУТП 2-го класса защищенности — нарушителя с потенциалом не ниже среднего, в АСУТП 3-го класса защищенности — нарушителя с низким потенциалом (потенциалу нарушителей даётся определение на странице БДУ).

Далее, Приказ №31 предлагает алгоритм выбора и применения мер для обеспечения безопасности, уже знакомый нам по Приказам ФСТЭК России №21 (ПДн) и №17 (ГИС): сначала осуществляется выбор базового набора мер на основании предложенного списка, далее производится адаптация выбранного базового набора мер, предполагающая исключение нерелевантных базовых мер в зависимости от особенностей информационных систем и использующихся технологий, затем адаптированный базовый набор мер уточняется для нейтрализации актуальных угроз не выбранными ранее мерами, и наконец осуществляется дополнение уточненного адаптированного базового набора мерами, установленными иными применимыми нормативными правовыми документами. При этом в Приказе №31 подчеркивается важность непрерывности технологических процессов: можно применять компенсирующие защитные меры в случае прогнозируемого негативного влияния на штатный режим функционирования АСУТП.

В Приказе №31 указаны следующие группы мер по обеспечению безопасности АСУТП, которые должны быть применены в зависимости от требуемого класса защищенности АСУТП:

идентификация и аутентификация;
управление доступом;
ограничение программной среды;
защита машинных носителей информации;
аудит безопасности;
антивирусная защита;
предотвращение вторжений (компьютерных атак);
обеспечение целостности;
обеспечение доступности;
защита технических средств и систем;
защита информационной (автоматизированной) системы и ее компонентов;
реагирование на компьютерные инциденты;
управление конфигурацией;
управление обновлениями программного обеспечения;
планирование мероприятий по обеспечению безопасности;
обеспечение действий в нештатных ситуациях;
информирование и обучение персонала.

Безопасность значимых объектов КИИ

Требования, изложенные в Приказе ФСТЭК России №239, предъявляются к информационным системам, автоматизированным системам управления и информационно-телекоммуникационным сетям значимых объектов КИИ. Критерии отнесения объектов КИИ к значимым описаны в Постановлении Правительства №127, о котором написано выше. Выполнение требований рассматриваемого приказа предполагает, что категорирование объектов КИИ уже было предварительно проведено, опять же в соответствии с нормами ПП-127. Кроме значимых объектов, по решению субъекта КИИ нормы рассматриваемого документа могут применяться и к незначимым объектам, равно как и требования Приказа №31. В Приказе №239 отдельно указано, что объекты КИИ, обрабатывающие ПДн, подпадают также и под нормы защиты ПДн, а в случае, если объект КИИ является ГосИС, то применяются нормы Приказа ФСТЭК России №17 по защите ГИС и проводится аттестация значимого объекта КИИ.

Приказ №239 указывает, что разработка мер ЗИ значимого объекта КИИ должна включать в себя анализ угроз безопасности и разработку модели угроз, а внедряемые меры защиты не должны оказывать негативного влияния на функционирование самого объекта. Как и в Приказе №31, анализ угроз должен включать выявление источников угроз, оценку возможностей нарушителей (т.е. создание модели нарушителя), анализ уязвимостей используемых систем (в том числе и тестирование на проникновение — пентест), определение возможных способов реализации угроз и их последствий, при этом следует использовать БДУ ФСТЭК России.

В Приказе №239 особо оговорено, что в случае разработки нового ПО как части подсистемы безопасности значимого объекта КИИ следует применять стандарты безопасной разработки программного обеспечения. При использовании СЗИ приоритет отдается штатному защитному функционалу, а при реагировании на компьютерные инциденты требуется отправлять информацию о них в систему ГосСОПКА.

В списке организационных и технических мер, предусмотренных положениями данного приказа в зависимости от категории значимости объекта КИИ и угроз безопасности информации, указаны пункты, аналогичные таковым в Приказе №31:

идентификация и аутентификация;
управление доступом;
ограничение программной среды;
защита машинных носителей информации;
аудит безопасности;
антивирусная защита;
предотвращение вторжений (компьютерных атак);
обеспечение целостности;
обеспечение доступности;
защита технических средств и систем;
защита информационной (автоматизированной) системы и ее компонентов;
планирование мероприятий по обеспечению безопасности;
управление конфигурацией;
управление обновлениями программного обеспечения;
реагирование на инциденты информационной безопасности;
обеспечение действий в нештатных ситуациях;
информирование и обучение персонала.

Требования предъявляются также и к самим СЗИ: можно применять средства, прошедшие оценку на соответствие требованиям по безопасности в форме испытаний, приемки или обязательной сертификации. Испытания и приемка проводятся субъектами КИИ самостоятельно либо с помощью лицензиатов ФСТЭК России. При использовании сертифицированных СЗИ требования к ним следующие: на объектах 1-й категории значимости следует применять СЗИ не ниже 4-го класса защиты, на объектах 2-й категории — СЗИ не ниже 5-го класса, а на объектах 3-й категории — СЗИ не ниже 6-го класса; при этом на значимых объектах всех категорий требуется применять СВТ не ниже 5-го класса.

Интересно также и то, что в Приказе №239 приведены требования и к уровням доверия СЗИ. Уровни доверия (далее — УД) определяются в соответствии с Приказом ФСТЭК России №131 от 30 июля 2018 г., в котором установлены шесть УД (самый низкий – 6-ой, самый высокий – 1-ый). Так, на объектах 1-й категории значимости следует применять СЗИ, соответствующие 4-му или более высокому УД, на объектах 2-й категории — СЗИ, соответствующие 5-му или более высокому УД, а на объектах 3-й категории — СЗИ, соответствующие 6-му или более высокому УД. Заметим, что пункты про уровни доверия применяемых СЗИ были введены в марте 2019 г. уже после выпуска первоначальной версии Приказа: ранее требования предъявлялись к уровню контроля отсутствия недекларированных возможностей (на объектах 1-й и 2-й категорий следовало применять СЗИ, прошедшие проверку по 4-му уровню НДВ), но с выходом упомянутого выше Приказа №131, вступившего в силу с июня 2019 г., требования руководящего документа по НДВ фактически прекратили действие.

Кроме того, в Приказе №239 подчеркивается, что на объектах 1-й категории значимости в качестве граничных маршрутизаторов следует использовать устройства, сертифицированные на соответствие требованиям по безопасности информации, а в случае невозможности их использования следует оценивать функции безопасности обычных граничных маршрутизаторов на этапах приемки или испытаний значимых объектов КИИ.

В дополнение к ранее указанному, в Приказе указывается на важность использования СЗИ, которые обеспечиваются гарантийной и/или технической поддержкой, а также на возможные ограничения по использованию программного/аппаратного обеспечения или СЗИ (видимо, имеются ввиду санкционные риски). Также указано, что на значимом объекте КИИ требуется запретить удаленный и локальный бесконтрольный доступ для обновления или управления лицами, не являющимися работниками субъекта КИИ, а также запретить бесконтрольную передачу информации из объекта КИИ производителю или иным лицам. Кроме этого, все программные и аппаратные средства объекта КИИ 1-й категории значимости должны располагаться на территории РФ (за исключением оговоренных законодательством случаев).

Как мы видим, Приказ №239, несмотря на схожую с другими приказами ФСТЭК России структуру, имеет целый ряд новаций: это и требования по соответствию СЗИ уровням доверия, и упоминание санкционных рисков, и повышенное внимание обеспечению безопасности сетевого взаимодействия. Следует отметить, что данный приказ является ключевым при выполнении требований по защите объектов КИИ, так что субъектам КИИ следует изучить его положения с особым вниманием.

Ответственность

Ответственность за неправомерное воздействие на КИИ РФ предусмотрена статьей 274.1 Уголовного Кодекса. Данная статья была введена Федеральным Законом № 194 от 26.07.2017 г. и действует с 01.01.2018 г. В соответствии с данной статьей уголовно наказуемы:

создание, распространение и использование программ для неправомерного воздействия на КИИ;
неправомерный доступ к информации в КИИ с последовавшим причинением вреда КИИ;
нарушение правил эксплуатации средств хранения, обработки, передачи информации в КИИ или правил доступа к информации в КИИ с последовавшим причинением вреда КИИ;
указанные выше действия, совершенные группой лиц по предварительному сговору, или в составе организованной группы, или с использованием служебного положения;
указанные выше действия, если они повлекли тяжкие последствия (т.е. причинен ущерб на сумму более 1 миллиона рублей); при этом наступает ответственность в виде лишения свободы на срок до десяти лет, что автоматически переводит данное деяние в разряд тяжких преступлений со сроком давности до 10 лет.

Кроме вышеуказанной уголовной ответственности, субъектов КИИ и должностных лиц ожидают также и возможные административные взыскания: в настоящий момент рассматриваются изменения в КоАП РФ, предполагающие введение двух новых статей и существенных денежных штрафов за их нарушение:

Список документов

Кроме рассмотренных выше нормативных актов (187-ФЗ, ПП-127, Приказы ФСТЭК России №31 и №239), в настоящий момент вопросы защиты КИИ законодательно регулируют следующие документы:

В процессе цифровизации экономики и государственных институтов общество сталкивается с новыми вызовами и угрозами в области информационной безопасности. По данным аналитиков, средний прирост числа инцидентов в России за 2018 год составил 34%, а жертвой целевых атак стала каждая вторая организация. Всплеск компьютерных атак объясняется тем, что растет число высококвалифицированных кибергруппировок, появляются новые технологии взлома, в том числе, основанные на применении искусственного интеллекта. В основном атакам подвергаются системы промышленных предприятий и государственных учреждений.

Для эффективного реагирования на угрозы была создана государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА). Ее основное назначение — обеспечить защиту информационных ресурсов страны от атак и штатное функционирование таких ресурсов в условиях возникновения компьютерных инцидентов.

Содержание:

Нормативное регулирование деятельности центров ГосСОПКА

Президент Российской Федерации 15 января 2013 года подписал Указ № 31с о создании ГосСОПКА. В нем определены основные задачи ГосСОПКА и полномочия Федеральной службы безопасности Российской Федерации (далее — ФСБ России), которая организует и проводит работы по созданию ГосСОПКА. В рамках исполнения Указа, ФСБ России разрабатывает методики обнаружения атак, рекомендации по организации защиты, определяет порядок обмена информацией об инцидентах.

В ГосСОПКА функционируют центры с определенным набором функций. Координирует деятельность центров ГосСОПКА Национальный координационный центр по компьютерным инцидентам (НКЦКИ), созданный ФСБ России. В приказе № 366, утвержденном ФСБ России, прописаны следующие задачи НКЦКИ:

сбор, хранение и анализ информации об инцидентах;
определение состава технических параметров инцидента для ГосСОПКА и доведение его до субъектов КИИ;
доведение до субъектов КИИ информации об атаках;
участие в реагировании;
методическое сопровождение деятельности субъектов КИИ;
организация и обмен информацией об инцидентах между субъектами КИИ;
организация получения информации, представляемой в ГосСОПКА;
определение форматов представления информации об инцидентах в ГосСОПКА и доведение их до субъектов КИИ.

Также в приказе изложены полномочия НКЦКИ:

направляет уведомления и запросы субъектам КИИ (и не только);
заключает соглашения о сотрудничестве;
привлекает к реагированию на инциденты организации и экспертов;
участвует в различных мероприятиях, связанных с ГосСОПКА;
создает рабочие группы из представителей субъектов КИИ для решения вопросов, относящихся к компетенции НКЦКИ.

Во исполнение закона № 187-ФЗ утверждены и уже вступили в силу приказы ФСБ России № 367 и № 368. Приказ № 367 определяет состав информации, которую необходимо передавать в ГосСОПКА, и порядок ее передачи. Приказ № 368 определяет порядок получения и обмена информацией о компьютерных инцидентах между субъектами КИИ.

Рисунок 1: Эволюция нормативной базы по ГосСОПКА.

Упомянутые выше центры создаются для развития ГосСОПКА и реализации задач по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в том числе на объекты КИИ. Для их выполнения центры применяют технические, программные, программно-аппаратные и иные средства ГосСОПКА, которые должны соответствовать требованиям нормативно-правовых актов ФСБ России.

Роль центров ГосСОПКА в обеспечении безопасности КИИ

Для обеспечения безопасности необходимо выполнять меры защиты, выбираемые в соответствии с категорией значимости объектов КИИ, а также применять средства предупреждения и ликвидации последствий атак, в том числе, используя возможности взаимодействия центров ГосСОПКА. Также для решения указанных задач в центрах ГосСОПКА сконцентрированы функции, позволяющие выстроить процессы противодействия атакам. Перечислим эти функции:

прогнозирование возможных угроз безопасности;
повышение устойчивости функционирования КИИ, подвергшейся атаке;
информирование об угрозах;
формирование предложений по повышению уровня защищенности информационных ресурсов;
анализ событий, выявление инцидентов и реагирование на компьютерные атаки;
разработка документации, регламентирующей рабочие процессы центра;
взаимодействие с НКЦКИ.

Кому необходимо подключаться к ГосСОПКА

В соответствии со статьей 9 закона № 187-ФЗ, у субъектов КИИ есть определенные права и обязанности. Например, субъекты КИИ обязаны незамедлительно информировать об инцидентах ФСБ России, а также Центральный банк Российской Федерации (в случае, если субъект КИИ функционирует в банковской сфере или в иных сферах финансового рынка). Кроме того, субъекты КИИ, которым на правах собственности, аренды или ином законном основании, принадлежат значимые объекты КИИ, обязаны реагировать на инциденты в установленном ФСБ России порядке, принимать меры по ликвидации последствий атак на значимые объекты КИИ. Таким образом, субъектам КИИ необходимо взаимодействовать с ФСБ России.

В требованиях к подразделениям и должностным лицам субъектов ГосСОПКА (методический документ НКЦКИ) субъекты ГосСОПКА определяются как: государственные органы Российской Федерации, российские юридические лица и индивидуальные предприниматели в силу закона или на основании заключенных с ФСБ России соглашений осуществляющие обнаружение, предупреждение и ликвидацию последствий компьютерных атак, и реагирование на компьютерные инциденты. Можно сделать вывод, что к ГосСОПКА может подключиться любая организация или орган государственной власти, осуществляющие обнаружение, предупреждение, ликвидацию последствий атак и реагирование на инциденты. Это могут быть как организации-лицензиаты, создающие центры для оказания услуг сторонним компаниям, так и организации, строящие центр для собственных нужд.

Таким образом, к ГосСОПКА могут подключиться:

субъекты КИИ;
организации, которые создают центр ГосСОПКА для оказания услуг (субъекты ГосСОПКА);
иные организации – для собственных нужд.

Как подключиться к ГосСОПКА

Способ подключения к ГосСОПКА зависит от того, является организация субъектом КИИ или нет.

В соответствии с приказом ФСБ России № 367 взаимодействие осуществляется через НКЦКИ с помощью технической инфраструктуры НКЦКИ или по альтернативным каналам: почта (в том числе электронная), факс, телефон.

Для обмена информацией об инцидентах через техническую инфраструктуру необходимо организовать канал защищенного межсетевого взаимодействия, решить организационные вопросы по определению зоны ответственности, и подключить организацию к технической инфраструктуре НКЦКИ под определенной учетной записью. Если организация не является субъектом КИИ, но планирует подключиться к ГосСОПКА для выполнения задач по обнаружению, предупреждению и ликвидации последствий компьютерных атак, то ей необходимо стать субъектом ГосСОПКА и создать центр ГосСОПКА.

При создании центра необходимо руководствоваться документами ФСБ России, которые определяют требования к организациям и методическую основу деятельности таких центров. Перечислим эти документы:

Требования к подразделениям и должностным лицам субъектов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы Российской Федерации;
Методические рекомендации по установлению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации;
Методические рекомендации по проведению мероприятий по оценке степени защищенности от компьютерных атак;
Регламент взаимодействия подразделений Федеральной службы безопасности Российской Федерации и организации при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Чтобы стать субъектом ГосСОПКА и построить центр ГосСОПКА необходимо:

осуществления работ, связанных с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну;
деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств.

положение о центре ГосСОПКА;
регламент деятельности центра ГосСОПКА;
штатное расписание центра ГосСОПКА и должностные инструкции сотрудников центра.

При составлении штатного расписания и должностных инструкций центра ГосСОПКА необходимо распределить следующие роли специалистов:

специалист по взаимодействию с персоналом и пользователями;
специалист по обнаружению компьютерных атак и инцидентов;
специалист по обслуживанию средств центра ГосСОПКА;
специалист по оценке защищенности;
специалист по ликвидации последствий компьютерных инцидентов;
специалист по установлению причин компьютерных инцидентов;
аналитик;
технический эксперт в соответствии со специализацией;
специалист по нормативно-правовому и методическому сопровождению;
руководитель.

В зависимости от выполняемых ролей специалисты центра ГосСОПКА должны удовлетворять определенным требованиям по образованию и стажу работы.

Организационная структура центра ГосСОПКА состоит из трех линий. Всю структуру возглавляет руководитель центра ГосСОПКА.

Рисунок 2: Три линии реагирования в структуре центра ГосСОПКА.

Положение о центре ГосСОПКА должно отражать:

сведения о реализации субъектом ГосСОПКА требований законодательства в отношении центров ГосСОПКА;
сведения о специалистах субъекта ГосСОПКА, которые будут обеспечивать деятельность центра и их функции;
сведения о программных и программно-аппаратных средствах, используемых для противодействия компьютерным атакам (сведения о средствах ГосСОПКА);
права, обязанности и ответственность руководителя центра ГосСОПКА;
порядок взаимодействия центра ГосСОПКА с внешними организациями.

В регламент деятельности центра ГосСОПКА необходимо включить требования по выполнению задач и ответственность за ненадлежащее исполнение указанных в регламенте требований.

Что делать при возникновении инцидента

Если инцидент произошел на объекте КИИ, в соответствии с приказом ФСБ России № 367 субъект КИИ предоставляет в ГосСОПКА информацию о: дате, времени, месте нахождения или географическом местоположении объекта КИИ, на котором произошел инцидент;

наличии причинно-следственной связи между инцидентом и атакой;
связи с другими инцидентами (при наличии);
составе технических параметров инцидента;
последствиях компьютерного инцидента.

НКЦКИ формирует состав технических параметров инцидента и их формат, и доводит эту информацию до субъектов КИИ. Сообщить в НКЦКИ об инциденте необходимо не позднее 24 часов с момента выявления инцидента.

Параллельно с информированием необходимо организовать реагирование на инцидент и обеспечить ликвидацию последствий атак, если было нарушено функционирование объекта КИИ. В определенных случаях, предусмотренных регламентом взаимодействия, за помощью в реагировании и ликвидации последствий атак можно обратиться в ФСБ России.

Для подготовки к реагированию на инциденты и принятию мер по ликвидации последствий атак субъект КИИ, у которого есть значимые объекты КИИ, разрабатывает план. План включает в себя:

технические характеристики и состав значимых объектов КИИ;
перечень событий (условий), при наступлении которых осуществляется ввод в действие плана;
мероприятия, проводимые в ходе реагирования на компьютерные инциденты, действия по ликвидации последствий компьютерных атак, а также время, отводимое на их реализацию;
список лиц, ответственных за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий компьютерных атак.

Эффективно реагировать на компьютерные атаки субъекту ГосСОПКА помогут регулярные тренировки и киберучения, повышение квалификации ответственных сотрудников на специализированных курсах, участие специалистов центра ГосСОПКА в различных соревнованиях по информационной безопасности (формата CTF), а также составление сценариев реагирования и инструкций под различные типы инцидентов. Сценарии реагирования помогут специалистам последовательно выстроить процесс реагирования под определенные типовые ситуации.

Рисунок 3: Пример сценария реагирования на ВПО.

Для сбора информации о технических параметрах инцидента и для выполнения задач по реагированию необходимо использовать средства ГосСОПКА. К ним относятся средства обнаружения, предупреждения, ликвидации последствий атак и реагирования на инциденты.

Средства обнаружения должны обеспечивать:

сбор и первичную обработку событий информационной безопасности;
автоматический анализ событий ИБ и выявление инцидентов;
ретроспективный анализ событий ИБ.

Средства предупреждения должны обеспечивать:

сбор и обработку сведений об инфраструктуре;
сбор и обработку сведений об уязвимостях информационных ресурсов;
учет угроз безопасности информации.

Средства ликвидации последствий должны обеспечивать:

учет и обработку инцидентов;
управление процессами реагирования на инциденты;
взаимодействие с НКЦКИ.

Если инцидент произошел в организации, которая является субъектом ГосСОПКА, то необходимо применять лучшие практики реагирования на инциденты, использовать индикаторы атак и учитывать методические рекомендации НКЦКИ. Информация об инцидентах направляется в ГосСОПКА в сроки, достаточные для своевременного проведения мероприятий по обнаружению, предупреждению и ликвидации последствий атак, и реагированию на инциденты.

Заключение

Создание центра ГосСОПКА — комплексная сложная задача: необходимо выстроить процессы ИБ, собрать команду квалифицированных специалистов, внедрить систему безопасности. Как только все значимые для государства субъекты начнут эффективно взаимодействовать с НКЦКИ, своевременно реагировать на инциденты, проводить мероприятия для превентивной защиты, а также организуют оперативный обмен данными — информационная безопасность важных объектов и в целом нашей страны серьезно повысится, а критическая инфраструктура станет устойчивее перед атаками.

Автор:
Сергей Куц, руководитель направления по ГосСОПКА и безопасности КИИ, Positive Technologies.

Мы начинаем серию постов, посвященных созданию Центров ГосСОПКА и Центров мониторинга инцидентов информационной безопасности. В этой вводной части мы расскажем о том, кому зачем и почему необходимо заниматься созданием Центров мониторинга, ответим на наиболее часто задаваемые вопросы тех, кто только знакомится с данной тематикой.

Что такое мониторинг инцидентов информационной безопасности (ИБ) и для чего он нужен?

Мониторингом инцидентов информационной безопасности (ИБ) принято считать систему, включающую в себя людей, технологии и процессы их взаимодействия, позволяющую обнаруживать, предупреждать и ликвидировать отклонения от нормы или нарушения информационной безопасности от заданных политик и требований стандартов. Примерами отклонений и нарушений могут быть компьютерные атаки, несоблюдения работниками требований политик безопасности, несанкционированные действия пользователей, несоответствие организации принятым стандартам в области информационной безопасности.

Поэтому предприятия, которые стремятся избежать финансовых, репутационных и других видов потерь, вызванных сбоями и инцидентами ИБ в защищаемых системах, с готовностью принимают решение в пользу создания Центра мониторинга инцидентов информационной безопасности.

Проект по созданию такой центра будет не самым простым (зависит от сложности вашей ИТ-инфраструктуры), не самым дешевым (зависит от того, создаете ли вы систему внутри компании или подключаетесь к внешнему провайдеру услуг в области ИБ) и не быстрым (среднее время реализации таких проектов от одного года до нескольких лет). Достаточно много переменных и условий, влияющих на достижение успешного результата в срок.

Важно осознавать, что данный проект внесет огромные изменения в методы и процессы работы сотрудников подразделений ИБ и ИТ. А как известно, изменения всегда встречают препятствия со стороны персонала (только если им не повышают зарплату), поэтому важно подобрать такую команду людей, которая будет понимать важность данного проекта и всячески способствовать его реализации в вашей компании. Отсутствие такой команды приведет к тому, что вы потеряете много денег и времени.

Однако, мы уверены, что тщательное и внимательное выполнение рекомендуемых стадий и этапов работы по построению эффективной системы мониторинга ИБ, изложенных в следующем посте (Часть 2) , позволит успешно завершить ваш проект. Это сильно трансформирует и преобразит работу подразделений ИБ и ИТ. Создание центра мониторинга ИБ улучшит их взаимодействие и эффективность, переведет на более высокий уровень зрелости.

В рамках Системы ГосСОПКА предусмотрено создание органами государственной власти ведомственных центров ГосСОПКА, а государственными корпорациями, операторами связи и другими организациями, осуществляющими лицензируемую деятельность в области защиты информации, корпоративных центров ГосСОПКА.

Ведомственные Центры мониторинга инцидентов информационной безопасности создаются органами государственной власти, а также организациями, действующими в интересах органов государственной власти. Как правило, данные Центры создаются по инициативе, исходящей от ФСБ России и получают официальное приглашение о создании Центра ГосСОПКА и подключении его к Системе ГосСОПКА.

Если в Вашем предприятии планируется создание или уже функционирует Центр мониторинга инцидентов информационной безопасности и у Вас есть вопросы по необходимости его подключения к Системе ГосСОПКА, наши аналитики окажут Вам консультацию, проинформируют о положительных возможностях и рисках данного решения, опишут порядок подключения, расскажут, как выглядит обмен информацией между Центрами ГосСОПКА после подключения.

Где и в каких случаях создавать Центры мониторинга инцидентов ИБ?

Во-первых, необходимость возникает там, где администраторы и подразделения ИБ не справляются с объемом работы и уже не могут контролировать все защищаемые активы. Инциденты ИБ возникают все чаще, а время их решения и обработки все возрастает (а иногда и не хватает квалификации специалистов для их решения), потери и простои защищаемых систем увеличиваются до недопустимых значений. Когда чувство потери контроля над вашей ИТ-инфраструктурой увеличивается с каждым днем.

В малых и средних предприятиях, как правило, смысла в построении таких Центров обычно нет (хотя применение систем по мониторингу имеет смысл, но сами процессы мониторинга отладить скорей всего не получится в силу отсутствия свободного персонала), а вот уже в компаниях среднего размера и крупных организациях – Центр мониторинга инцидентов ИБ либо обязательно должен быть, либо данную задачу должна выполнять подрядная организация, оказывающая данный вид услуг.

Большинство организаций, являющихся крупными заказчиками в области ИТ/ИБ-услуг в России уже либо построили у себя Центры мониторинга инцидентов ИБ, либо заключили контракты на оказание услуг мониторинга с внешними организациями.

Во-вторых, почти во всех обязательных и рекомендательных нормативных актах, стандартах России в области информационной безопасности, есть пункты о необходимости и важности выполнения мониторинга событий и инцидентов информационной безопасности:

«4.1 В качестве основы общей стратегии ИБ организации необходимо использовать структурный подход к менеджменту инцидентов ИБ. Целями такого подхода является обеспечение следующих условий:

– события ИБ должны быть обнаружены и эффективно обработаны, в частности, определены как относящиеся или не относящиеся к инцидентам ИБ;

Статья 16, пункт 4: «Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

Что должно измениться после создания Центра мониторинга инцидентов ИБ для предприятия?

При успешной реализации проекта по созданию Центра мониторинга инцидентов информационной безопасности на вашем предприятии должен появиться выстроенный, контролируемый процесс мониторинга инцидентов информационной безопасности. Операционная эффективность взаимодействия сотрудников, входящих в команду Центра, повысится и перейдет на следующий уровень зрелости.

Своевременно обнаруживать и предупреждать возникновение инцидентов ИБ
Ликвидировать последствия инцидентов ИБ
Постоянно вырабатывать меры по исключению повторения инцидентов ИБ и улучшению защитных мер

Прозрачность работы подразделения ИБ для руководства предприятия
Оперативное получение статистики и отчетов по инцидентам ИБ
Понятная и простая визуализация сложных проблем и текущего состояния ваших систем
Руководство подразделения ИБ/ИТ получит инструмент для быстрого выявления причин инцидентов

В следующем посте (Часть 2) мы расскажем об основных этапах и стадиях создания Центров ГосСОПКА и Центров мониторинга инцидентов информационной безопасности.

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Читайте также: