Госсопка что это кии
ГосСОПКА на связи: какие варианты подключения к системе существуют сегодня
Обмениваться с НКЦКИ информацией об инцидентах должны все субъекты КИИ (критическая информационная инфраструктура). Естественно, происходить это должно исключительно по защищённым каналам связи. Если раньше организовать безопасное взаимодействие с системой ГосСОПКА можно было только с помощью сети ViPNet, то сегодня перечень технических решений расширился. Мы расскажем о том, чем можно заменить ViPNet и какая альтернатива есть у собственной защищённой сети.
Введение
Основная задача системы ГосСОПКА — получение оперативной, объективной и достоверной информации о состоянии кибербезопасности ИТ-ресурсов РФ на основе данных о компьютерных инцидентах. Собранная информация анализируется Национальным координационным центром по компьютерным инцидентам (НКЦКИ) для формирования индикаторов компрометации и бюллетеней ИБ, которые затем адресно рассылаются участникам ГосСОПКА. Это помогает организациям быть в курсе актуальных киберугроз.
Кроме сбора сведений об угрозах и «переопыления» участников информацией об идущих атаках, участники ГосСОПКА могут запрашивать содействие со стороны НКЦКИ в реагировании на компьютерные инциденты. С момента запуска ГосСОПКА прошло несколько лет, в течение которых её техническая инфраструктура претерпела множество изменений. В частности, в конце 2020 года НКЦКИ обновил регламент, расширив спектр способов защищённого подключения к системе (регламент доступен по запросу у регулятора).
Как подключиться к ГосСОПКА?
Как известно, российский рынок VPN страдает от проприетарных технологий и несовместимости продуктов различных производителей. Как правило, у владельца ресурса (в нашем случае это — НКЦКИ), к которому необходимо организовать защищённое подключение, возникает дилемма: использовать для этой задачи решение одного производителя или нескольких. Во втором случае затраты, конечно же, больше, так как владельцу системы надо приобрести программно-аппаратные комплексы сразу нескольких вендоров.
Но для заказчика, который подключается к этому ресурсу, ситуация противоположна: ему требуется вариативность, ведь он уже может использовать продукты какого-то российского вендора, разводить «зоопарк» решений различных производителей ему невыгодно.
С этой проблемой столкнулись и субъекты КИИ. Изначально для подключения к технической инфраструктуре НКЦКИ организация могла использовать только оборудование ViPNet. Но такой ограниченный выбор был неудобен заказчикам, которые уже использовали несовместимые с продукцией «ИнфоТеКС» технические решения. Теперь есть несколько способов защищённого подключения: на основе оборудования компаний «ИнфоТеКС», «Код Безопасности» и «С-Терра».
Рисунок 1. Варианты подключения к ГосСОПКА
Во всех трёх случаях используются программно-аппаратные комплексы с классом защиты КС3. Рассмотрим подробнее каждый из вариантов.
ViPNet
Для подключения к технической инфраструктуре НКЦКИ организация может использовать уже действующую у неё сеть ViPNet. В этом случае потребуется просто организовать межсетевое взаимодействие с сетью НКЦКИ (№ 10976).
При этом если ранее была возможность использовать ViPNet Client для доступа к личному кабинету, то теперь такой возможности нет. Установка ViPNet Client хоть и была бюджетным решением для заказчика, но имела множество нюансов, таких как доступ с конкретной рабочей станции, на которую установлен клиент, а также необходимость установки на неё дополнительных средств защиты от несанкционированного доступа.
«Континент»
Второй вариант — организовать подключение с помощью линейки продуктов АПКШ «Континент» компании «Код Безопасности». Он реализуется также через межсетевое взаимодействие (наименование сети — НКЦКИ).
При выборе данного варианта нужно учесть ряд специфических ограничений:
Но эти требования, скорее всего, не принесут заказчикам серьёзных неудобств.
«С-Терра»
Подключиться к НКЦКИ теперь можно и с помощью ПАК «С-Терра Шлюз» версии 4.1 и выше. В очередной раз используется аналог межсети, то есть происходит обмен сертификатами между НКЦКИ и подключающимся заказчиком.
Услуги центра ГосСОПКА
Альтернативный вариант для заказчика — воспользоваться услугами центра мониторинга (центр ГосСОПКА), заключившего соглашение с НКЦКИ. Этот вариант подключения существовал с самого начала, однако не пользовался популярностью, так как подобные услуги предлагали единичные SOC. Сейчас же центров ГосСОПКА стало больше, и спрос на услугу вырос.
В этом случае центр мониторинга не только выполняет функции по обнаружению, предупреждению и ликвидации последствий компьютерных атак, но и осуществляет взаимодействие с НКЦКИ, передавая данные об инцидентах. Как правило, между центром ГосСОПКА и НКЦКИ уже реализовано защищённое соединение — а это значит, что заказчику не нужно самостоятельно организовывать межсеть и тратить свои ресурсы на её поддержку. Например, специалисты, занимающиеся администрированием, мониторингом и реагированием на инциденты, на рынке труда стоят очень дорого, к тому же найти квалифицированные кадры крайне сложно. В частности, сервис взаимодействия с ГосСОПКА есть у «Ростелеком-Солар».
Рисунок 2. Подключение к ГосСОПКА через Solar JSOC
Весь трафик с площадки клиента поступает на СКЗИ «Ростелекома», шифруется и по защищённому каналу передаётся в центр мониторинга и реагирования на кибератаки Solar JSOC, где он расшифровывается и обрабатывается специалистами. При необходимости информация об угрозах и инцидентах передаётся в ГосСОПКА также по защищённому каналу связи.
Выводы
Взаимодействие с ГосСОПКА — это требование законодательства, которое владельцы значимых объектов КИИ не могут игнорировать. Именно поэтому диверсификация производителей для подключения к инфраструктуре НКЦКИ была нужным и правильным шагом, благодаря которому многие организации смогут избежать дополнительных затрат на приобретение оборудования конкретного вендора и использовать ранее подключённую сеть.
С другой стороны, взаимодействие через центр ГосСОПКА, у которого подключение уже реализовано, в принципе освобождает компанию от необходимости закупать и обслуживать собственный программно-аппаратный комплекс, доверив обмен информацией с НКЦКИ внешним специалистам.
Возможно, наличие альтернативных решений сделает соблюдение закона о безопасности КИИ более массовым и стимулирует как можно большее количество организаций участвовать в пополнении базы знаний и обмене информацией об актуальных киберугрозах.
Авторы:
Павел Гончаров, менеджер по развитию бизнеса Solar JSOC компании «Ростелеком-Солар»
Александр Веселов, руководитель направления ГОСТ VPN компании «Ростелеком-Солар»
Как происходит обмен информацией об инцидентах и уязвимостях в системе ГосСОПКА
В системе ГосСОПКА скапливается огромное количество данных о произошедших в стране киберинцидентах. Эта информация способна стать для каждого безопасника полезнейшим инструментом, который поможет оперативно обнаружить злоумышленника внутри организации. Однако не все знают, как формируется эта база данных, в каком виде информация передаётся в НКЦКИ и как рассылается субъектам КИИ.
Введение
С самого появления системы ГосСОПКА многие субъекты критической информационной инфраструктуры воспринимали обязанность передавать сообщения о киберинцидентах как нечто навязанное регулятором. Даже сегодня, несмотря на всеобщее порицание «бумажной безопасности» и декларирование ориентации на реальную киберзащиту, большинство организаций в основном интересует вопрос формального выполнения требований, чтобы избежать штрафов или внезапных проверок.
К сентябрю 2019 года все субъекты КИИ уже должны были провести категорирование своих объектов, а к сентябрю 2020-го — выстроить систему защиты информации значимых объектов КИИ в соответствии с требованиями ФСТЭК России и подключиться к ГосСОПКА. Однако эта работа до сих пор не завершена, и многие организации только сейчас начинают задумываться об исполнении указанных выше требований.
Проблема в том, что, в представлении многих владельцев КИИ, если не передавать требуемые данные в ГосСОПКА, то за ними непременно приедет «чёрный воронок», а если передавать, то приедет ещё быстрее, причём с проверкой и вопросами: «Почему это вы так плохо информацию защищаете?». К тому же в Госдуме сейчас обсуждаются поправки в КоАП, которые вводят штраф до 500 тыс. рублей за отсутствие сообщений об инциденте в ГосСОПКА.
На самом деле НКЦКИ — это не карательный орган и не «телефон доверия» для жертв киберпреступников. ГосСОПКА — это огромное «озеро данных» (Data Lake), где скапливается информация о произошедших в стране инцидентах. Система даёт участникам информационного обмена необходимые сведения для защиты от компьютерных атак, направляя сообщения об уязвимостях в ПО и бюллетени по безопасности со сводкой актуальных угроз.
Таким образом, ГосСОПКА может стать для каждого безопасника полезнейшим инструментом, который помогает быстрее выявить присутствие злоумышленника внутри организации. Как именно происходит информационный обмен внутри системы ГосСОПКА, расскажем в статье ниже.
Какие данные о субъекте КИИ получает НКЦКИ
Когда центр ГосСОПКА (корпоративный или аутсорсинговый) принимает в свою зону ответственности информационные ресурсы, он передаёт в НКЦКИ следующие данные:
Эта информация помогает НКЦКИ актуализировать и персонализировать для потребителей передаваемые бюллетени по безопасности, чтобы, например, в организацию, где все процессы построены на Windows-стеке, не приходила сводка уязвимостей по Astra Linux.
Данные об операторах связи, доменных именах и открытых IP-адресах нужны НКЦКИ для выявления атак на критическую инфраструктуру на магистральных сетях связи и поиска информации об уязвимостях в даркнете.
В каком виде данные передаются в ГосСОПКА
При этом сотрудники НКЦКИ могут запросить дополнительную информацию по инциденту (например, часть трафика, где была зафиксирована кибератака, файлы вредоносной программы для последующего анализа и т. д.).
Эти полученные от участников ГосСОПКА карточки становятся основным источником для формирования бюллетеней по безопасности, которые рассылает НКЦКИ для предотвращения подобных инцидентов в схожих инфраструктурах других компаний.
Что происходит внутри НКЦКИ
Сбор данных и формирование IOC и бюллетеней по ИБ выглядят следующим образом (рис. 1).
Рисунок 1. Сбор данных внутри ТИ НКЦКИ
Примечание: КИ — компьютерный инцидент, УБИ — угроза безопасности информации, СИБ — события по информационной безопасности
Все данные об инцидентах от субъектов КИИ (через ГосСОПКА и другие каналы связи, например электронную почту) поступают во внутреннюю IRP-систему НКЦКИ, где под каждое сообщение заводится карточка. Для каждой из карточек прописывается свой регламент (playbook), назначается ответственный, происходят обогащение полученных данных и выдача рекомендаций по реагированию.
Источники атаки проверяются по внутренним репутационным базам НКЦКИ, а при выявлении угрозообразующих факторов для других субъектов ГосСОПКА, которые являются КИИ, этим субъектам отправляются уведомления о признаке компьютерного инцидента.
Кроме обеспечения информационного взаимодействия и координации участников ГосСОПКА НКЦКИ помогает в выявлении инцидентов путём анализа пользовательского DNS-трафика, а также анализирует подозрительные (потенциально вредоносные) почтовые сообщения или файлы.
Как SOC обрабатывает бюллетени по ИБ
Для подключения к инфраструктуре НКЦКИ субъект КИИ может использовать собственную сеть (ПАК ViPNet, «Континент», «С-Терра Шлюз») или воспользоваться услугами центра мониторинга (центр ГосСОПКА), заключившего соглашение с НКЦКИ.
Во втором случае вся информация о выявленных НКЦКИ уязвимостях стекается в службу специально выделенных аналитиков угроз, которая является частью центра мониторинга и реагирования на киберинциденты (SOC). Эти специалисты проверяют, насколько опасны для инфраструктуры заказчика указанные в бюллетене уязвимости, а также запускают на SIEM заказчика ретроспективный поиск индикаторов компрометации, если это необходимо.
Если актуальность выявленных угроз для одного или нескольких заказчиков подтверждается, то дежурные аналитики формируют уведомления о проверке на наличие угрозы. Сервис-менеджеры рассылают заказчикам эти уведомления, отслеживают факт их получения, проведения проверок и результаты. Если же дежурные смены заказчика не реагируют, то аналитики SOC эскалируют запросы по заранее опредёленным цепочкам: звонят CISO заказчика или будят ночью гендиректора и собственников.
Параллельно этому группы CERT (внутри SOC) начинают работу по эмуляции атаки для формирования правил детектирования SIEM-системами и сигнатур на блокировку для средств защиты информации. Процесс анализа включает в себя и реверс-инжиниринг экземпляров вредоносных программ, и их запуск в изолированных средах исполнения. Получив правила детектирования, специалисты по мониторингу и реагированию ставят их на отслеживание в SIEM-системе и проводят ретроспективную проверку инцидента.
В это же время специалисты OSINT ищут информацию о других фактах компрометации заказчиков в даркнете или обсуждение уязвимости на хакерских форумах.
В итоге данные об инциденте попадают в единую базу знаний и в будущем ИБ-специалисты смогут использовать сформированные правила детектирования для того, чтобы оперативно выявлять и пресекать попытки эксплуатации подобных уязвимостей.
Выводы
Особое внимание в системе отведено центрам ГосСОПКА, к которым предъявляются отдельные требования со стороны регулятора. В их зоне ответственности сконцентрировано множество информационных ресурсов критической инфраструктуры страны, а значит, от них требуется оперативно и качественно реагировать на возникающие угрозы. Для этого в центрах ГосСОПКА должно слаженно работать множество разнопрофильных специалистов (по мониторингу, по ликвидации последствий киберинцидента, а также пентестеры, технические эксперты, аналитики-архитекторы и т. д.). Подробнее о том, какой может быть оптимальная команда центра ГосСОПКА, можно прочитать здесь.
Субъектам КИИ, которые подключаются к ГосСОПКА через сервис-провайдера, не нужно решать сложный кадровый вопрос, но в то же время им необходимо тщательно подойти к выбору стороннего SOC. В частности, для реального соответствия званию центра ГосСОПКА центр мониторинга должен решать задачи не только анализа рисков, но и киберразведки (Threat Intelligence). Именно TI позволяет выделить наиболее актуальные для определённой организации угрозы и внести превентивные изменения в инфраструктуру (выделить новый сегмент сети, повысить частоту обновления антивирусных баз или степень значимости части хостов). Безусловно, «правильный» SOC должен обладать множеством других характеристик, но об этом мы тоже уже писали ранее.
Средства ГоcСОПКА. Переводим терминологию
Если вы работаете в компании, которая попадает под действие №187-ФЗ («О безопасности критической информационной инфраструктуры Российской Федерации»), то вам не нужно объяснять, что такое ГосСОПКА и зачем она нужна. Для остальных поясним: ГосСОПКА расшифровывается как Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. Архитектурно она представляет собой единый территориально распределенный комплекс центров различного масштаба, обменивающихся информацией о кибератаках. Такие центры обязаны создать все компании, которым принадлежат объекты критической информационной инфраструктуры (такие компании называют субъектами КИИ). Цель всей этой масштабной государственной инициативы – создать между важнейшими организациями страны систему обмена информацией о ведущихся кибератаках и тем самым обеспечить возможность превентивной защиты.
Иерархия взаимодействия центров ГосСОПКА
Известны попытки построения центров ГосСОПКА исключительно на IDS-системах. Встречаются на рынке и вендоры, позиционирующие IDS или СОА как универсальное решение проблемы. У субъектов КИИ было много вопросов было относительно функционала и требований к SIEM-системам, которые многие компкании считали чуть ли не единственным инструментом, необходимым для создания центра ГосСОПКА.
Сейчас, с появлением документа «Требования к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты» появляется первая ясность в отношении фактических требований регулятора к инструментам центра.
В документе обозначены пять основных подсистем центра ГосСОПКА:
Средства обнаружения, но не СОА. Четыре буквы
На наш взгляд, данный пункт является одним из наиболее важных с точки зрения урегулирования споров о средствах, которые можно использовать, поскольку дискуссии «а нужен ли SIEM, или достаточно просто подсистемы СОА» ведутся постоянно и не утихают.
Давайте же подробнее вчитаемся в документ:
В первую очередь речь идет о средстве, осуществляющем сбор событий информационной безопасности. Не инцидентов (итогов работы средств защиты), не сырого трафика или его копии, а именно событий. Это дает нам достаточно прозрачный намек на то, что необходим функционал обработки журналов.
В примечании к этому пункту еще и приведен достаточно детальный и широкий список потенциальных источников, которые должны эти события отдавать. В перечень попали не только классические средства защиты (межсетевые экраны, СОА, антивирусы), но и инфраструктурные источники (сетевое оборудование и операционные системы), а также прикладные системы управления сетевым оборудованиям, системами мониторинга качества обслуживания и т.д.
Все это, а также упоминаемые в функциональных требованиях слова «корреляция и аггрегация событий», на наш взгляд, достаточно точно определяет целевую технологию пункта как платформу SIEM.
Это достаточно полно следует вышедшим ранее методическим рекомендациям, ведь для того, чтобы в полной мере выявлять компьютерные инциденты категорий «несанкционированный доступ», «подбор пароля» и «ВПО», одного активного средства защиты будет недостаточно.
Любая ли платформа, позиционируемая на рынке как SIEM, будет одинаково подходящей? На наш взгляд, нет, так как в тексте обозначены еще, как минимум, два достаточно важных требования:
Предупреждай или инвентаризируй это
Следующий раздел — средства предупреждения — значительно ближе и понятнее для безопасника и формулировками, и подходами. На средства предупреждения возлагаются следующие функции:
Задача управления активами и уязвимостями, при всей кажущейся простоте, таит в себе огромное количество подводных камней. Но обсуждение этих деталей не является частью текущего материала и, возможно, появится в наших дальнейших статьях. Хочется лишь отметить, что практически все компании оснащены средствами, требуемыми для решения задачи, поскольку схожие требования уже фигурировали и в разных распоряжениях и приказах ФСТЭК, и даже в законе о персональных данных. Ключевая задача – «оживить» существующее средство и запустить процессы в реальности, а не на бумаге.
Ликвидация как совместная работа по устранению
Здесь и название средства, и требования к нему получили достаточно неожиданную интерпретацию. В качестве средства ликвидации мы решение, по функциональным задачам близкое к к платформе управления инцидентами, которая в ИТ-мире носит название service desk, а в ИБ горделиво именуется Incident Response Platform (правда у IRP есть и специализированный функционал). По сути, основные задачи подсистемы — это:
Выбор решений и технологий, созданных специально для задач ИБ, на рынке еще весьма ограничен. Но в документе нет прямых ограничений на использование для этих целей общей IT системы (в стандартном или индивидуальном исполнении) с некоторыми доработками под задачи ИБ. Обычно системы service desk представляют собой хорошо кастомизируемый конструктор, поэтому доработка не должна составить труда.
Прочие средства центра ГосСОПКА
Требования к подсистемам обмена и криптографической защите каналов связи также достаточно привычны и, наверное, не требуют дополнительных пояснений.
В качестве короткого резюме – выход данного документа расставил очень много точек над I в отношении инструментов и технологий, которыми необходимо оснащать центр ГосСОПКА. Теперь у каждого заказчика есть формальный список требований, который пригодится как для сравнения вендоров, так и для принятия решения об покупке/замене технологии. А появление ясности в таких вопросах всегда положительно влияет на эффективность и скорость шагов, предпринимаемых конкретными субъектами для подключения, равно как и на общую защищенность критических информационных инфраструктур.
Нормативные документы в области ГосСОПКА и безопасности КИИ
Содержание
Что такое КИИ
Согласно закону № 187-ФЗ, к объектам критической информационной инфраструктуры относятся информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры в одной из следующих сфер: здравоохранение, наука, транспорт, связь, энергетика, банки и иные организации финансового рынка, топливно-энергетический комплекс, атомная энергия, оборона, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленности.
Подмножеством всех объектов КИИ являются значимые объекты КИИ — те объекты, которым присвоена одна из категорий значимости в результате категорирования.
К субъектам КИИ относятся владельцы объектов КИИ, а также организации, которые обеспечивают их взаимодействие.
НПА в сфере защиты КИИ
Федеральные законы
Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
Определяет основные принципы обеспечения безопасности, полномочия госорганов, а также права, обязанности и ответственность субъектов КИИ. Предусмотрены категорирование объектов, ведение реестра значимых объектов, оценка состояния защищенности, госконтроль, создание специальных систем безопасности.
Федеральный закон от 26.07.2017 № 194-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»»
Дополняет Уголовный кодекс статьей 274.1, которая предусматривает наказания за неправомерное воздействие на КИИ РФ.
Федеральный закон от 26.07.2017 № 193-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»»
Вносит изменения в федеральные законы о государственной тайне, связи и защите прав юридических лиц и ИП при осуществлении государственного контроля (надзора).
Акты Президента РФ
Указ Президента Российской Федерации от 25.11.2017 № 569 «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю. »
Наделяет ФСТЭК России полномочиями в области обеспечения безопасности КИИ, в том числе функцией государственного контроля.
Указ Президента РФ от 02.03.2018 № 98 «О внесении изменения в перечень сведений, отнесенных к государственной тайне. »
Акты Правительства РФ
Постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры РФ и их значений»
Устанавливает порядок и сроки категорирования объектов КИИ.
Постановление Правительства РФ от 17.02.2018 № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
Определяет правила проведения плановых и внеплановых проверок в области обеспечения безопасности значимых объектов КИИ.
Постановление Правительства РФ от 8.06.2019 № 743 «Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры»
Устанавливает приоритетность категорий сетей электросвязи, которые могут использовать субъекты КИИ для обеспечения функционирования значимых объектов. Определяет обязанности оператора связи при подключении значимых объектов к сети связи общего пользования. Документ вступает в силу с 1 января 2020 года.
Ведомственные акты
Приказ ФСТЭК России от 06.12.2017 № 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации»
Определяет сведения о значимом объекте КИИ, необходимые для внесения в реестр. Решение о включении в реестр принимается в течение 30 дней со дня получения ФСТЭК России сведений от субъекта КИИ. Не реже чем один раз в месяц ФСТЭК России направляет сведения из реестра в ГосСОПКА.
Приказ ФСТЭК России от 11.12.2017 № 229 «Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
Определяет форму акта по итогам проверки значимого субъекта КИИ.
Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»
Устанавливает требования к силам обеспечения безопасности значимых объектов, программным и программно-аппаратным средствам, документам по безопасности значимых объектов, функционированию системы безопасности.
Приказ ФСТЭК России от 22.12.2017 № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»
Определяет набор сведений о результатах присвоения объекту КИИ категории значимости, который необходимо направить во ФСТЭК России. Сведения сгруппированы в девять разделов.
Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
Устанавливает требования к обеспечению безопасности значимых объектов КИИ в ходе создания, эксплуатации и вывода их из эксплуатации, к организационным и техническим мерам защиты информации и определяет состав мер для каждой категории значимости объекта.
Приказ ФСТЭК России от 26.04.2018 № 72 «О внесении изменений в Регламент Федеральной службы по техническому и экспортному контролю, утвержденный приказом ФСТЭК России от 12 мая 2005 г. № 167»
Относит обеспечение безопасности значимых объектов КИИ к нормативно-правовому регулированию вопросов ФСТЭК России. Слова «информации в ключевых системах» заменяет словом «критической».
Приказ ФСТЭК России от 09.08.2018 № 138 «О внесении изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах. »
Определяет список изменений в приказы № 31 и 239. Состав мер защиты информации и их базовые наборы по классу защищенности АСУ изложены в новой редакции.
Информационные сообщения
Информационное сообщение ФСТЭК России от 24.08.2018 № 240/25/3752 по вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий
Регулятор приводит рекомендуемую форму перечня объектов КИИ для ее подачи во ФСТЭК России. Рекомендуется прикладывать электронную копию перечня и сведений о результатах категорирования.
Что такое ГосСОПКА
ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, направленных на информационные ресурсы Российской Федерации.
Цель системы — объединить усилия для предотвращения и противодействия кибератакам на критически важные информационные инфраструктуры. Для этого создан Национальный координационный центр по компьютерным инцидентам (НКЦКИ), который организует сбор и обмен информацией об инцидентах между субъектами КИИ, координирует мероприятия по реагированию, предоставляет методические рекомендации по предупреждению компьютерных атак.
НПА в сфере ГосСОПКА
Акты Президента РФ
Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации (Утверждены Президентом РФ 3 февраля 2012 г., № 803)
Документ вводит понятие единой государственной системы обнаружения и предупреждения компьютерных атак на критически важную информационную инфраструктуру. Дает определение силам и средствам обнаружения и предупреждения атак, а также силам и средствам ликвидации последствий инцидентов.
Указ Президента РФ от 15.01.2013 № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»
Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, утвержденная Президентом РФ 12 декабря 2014 г. № К 1274
Определяет назначение, функции и принципы создания ГосСОПКА, а также виды обеспечения, необходимые для ее создания и функционирования.
План развертывания ведомственных сегментов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак, утвержденный Президентом РФ 21 августа 2015 г., № 9397 (документ ограниченного доступа)
Определяет перечень органов государственной власти, которым необходимо создать ведомственные сегменты ГосСОПКА, и указывает сроки.
Указ Президента РФ от 22.12.2017 № 620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»
Ведомственные акты
Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации от 27.12.2016 (документ ограниченного доступа) Документ детализирует порядок создания ведомственных и корпоративных центров ГосСОПКА, их функции, а также технические и организационные меры защиты информации.
«Временный порядок включения корпоративных центров в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак. » (документ ограниченного доступа) Определяет состав документов и уровень квалификации специалистов группы реагирования, необходимые для подключения к ГосСОПКА.
Инициирует создание Национального координационного центра по компьютерным инцидентам, определяет его задачи и права.
Устанавливает набор параметров инцидентов для передачи в НКЦКИ (не позднее 24 часов с момента их обнаружения) и способы передачи информации.
Определяет способы передачи информации об инциденте другим субъектам КИИ и получения сведений субъектами КИИ об атаках. Обмен информацией с иностранными организациями осуществляет НКЦКИ.
Обязывает субъекта КИИ согласовывать с НКЦКИ установку средств ГосСОПКА и уведомлять о приеме их в эксплуатацию. Определяет необходимые для согласования сведения. Срок согласования — до 45 календарных дней.
Определяет состав плана реагирования на инциденты и принятия мер по ликвидации последствий, разрабатываемого субъектом КИИ. Обязует информировать НКЦКИ о результатах реагирования и ликвидации последствий не позднее 48 часов после завершения мероприятий.
Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы Российской Федерации (документ ограниченного доступа)
Определяют порядок действий по обнаружению атак, классифицируют атаки и дают рекомендации по повышению уровня защищенности объектов атаки.
Методические рекомендации по установлению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации (документ ограниченного доступа)
Определяют порядок и основные задачи при реагировании на инциденты. Устанавливают классы инцидентов.
Методические рекомендации по проведению мероприятий по оценке степени защищенности от компьютерных атак
Определяют основные задачи, порядок и этапы проведения мероприятий по оценке степени защищенности. Устанавливают порядок оценки возможностей злоумышленника при атаках
Требования к подразделениям и должностным лицам субъектов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (документ ограниченного доступа)
Документ определяет основные задачи подразделений и должностных лиц субъекта ГосСОПКА, требования к кадровому обеспечению и деятельности центров ГосСОПКА. Распределяет роли сотрудников центра ГосСОПКА по трем линиям реагирования. Выделяет три класса центров ГосСОПКА в зависимости от объема функций, выполняемых центром самостоятельно.
Регламент взаимодействия подразделений Федеральной службы безопасности Российской Федерации и организации при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак
Определяет требования к функциональным возможностям и характеристикам технических средств, необходимых для решения задач центров ГосСОПКА.
Проект приказа Минкомсвязи России «Об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры»
Определяет единый подход к установке и эксплуатации средств, предназначенных для поиска признаков атак в сетях электросвязи. Описывает порядок установки и эксплуатации средства поиска атак. Информация о необходимости установки средства поиска атак направляется в уполномоченный орган в области связи.