Вначале было слово…

C 1 января 2018 года вступил в силу 187-ФЗ «О безопасности КИИ РФ», согласно статьи 9 которого все без исключения субъекты КИИ обязаны информировать о компьютерных инцидентах федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак. Таким органом, в соответствии с приказом ФСБ №366 назначен НКЦКИ (Национальный координационном центре по компьютерным инцидентам).

Владельцам же значимых объектов КИИ, в соответствии со статьей 10, вменена задача обеспечения непрерывного взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

Приказы ФСБ надо читать до конца

6-го сентября, помимо приказа о создании НКЦКИ, регистрацию в Минюсте прошли еще два приказа ФСБ №367 и 368, в которых утверждены перечни информации и порядок обмена информацией с ГосСОПКА.  

При беглом прочтении, взгляд может зацепиться за то, что в приказах сказано, что субъект может работать с ФСБ напрямую и направлять в НКЦКИ уведомления и запросы посредством почтовой, телефонной или факсимильной связи. Но этот пункт нельзя воспринимать в отрыве от всего текста документа. При внимательном прочтении документа имеет смысл обратить внимание на то, что в  тексте используется два понятия: «уведомление» и «информирование».

Уведомление – как направление уведомлений и запросов в рамках реагирования на инцидент между субъектами КИИ – действительно допускается и по телефону, тогда как информирование, которое подразумевает, в числе прочего, и сообщение технических подробностей об инциденте – уже осуществляется с использованием технической инфраструктуры НКЦКИ.

В итоге – без подключения к ГосСОПКЕ субъектам КИИ не обойтись. А кроме того, еще необходимо помнить о соблюдении предписанных форматов обмена информацией с НКЦКИ.  

Что предстоит сделать

В рамках создания центра ГосСОПКА, субъекты КИИ должны выполнить задачи по:

  • обнаружению компьютерных атак и инцидентов;
  • предупреждению компьютерных атак и инцидентов;
  • реагированию на компьютерные атаки и инциденты
  • ликвидации последствий компьютерных атак;
  • поиску признаков компьютерных атак в сетях;
  • обмену информацией с ГосСОПКА;
  • обеспечению защиты информации.

А в рамках выполнения перечисленных задач, субъектом должны быть обеспечены следующие функции:

  • взаимодействие с НКЦКИ при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы и реагирования на компьютерные инциденты;
  • разработка документов, регламентирующих процессы обнаружения, предупреждения и ликвидации последствий компьютерных инцидентов и реагирования на компьютерные инциденты;
  • эксплуатация средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, выявление ошибок в работе  средств и направление производителю средств информации о выявленных ошибках, а также актуализация средств, используемых для обеспечения защиты информационных ресурсов, направление в НКЦКИ предложений по совершенствованию средств;
  • прием сообщений об инцидентах от персонала и пользователей информационных ресурсов;
  • регистрация компьютерных атак и компьютерных инцидентов;
  • анализ событий информационной безопасности;
  • инвентаризация информационных ресурсов;
  • анализ угроз информационной безопасности, прогнозирование их развития и направление в НКЦКИ результатов;
  • составление и актуализация перечня угроз информационной безопасности для информационных ресурсов;
  • выявление уязвимостей информационных ресурсов;
  • формирование предложений по повышению уровня защищенности информационных ресурсов;
  • составление перечня компьютерных инцидентов;
  • ликвидация последствий компьютерных инцидентов;
  • анализ результатов ликвидации последствий инцидентов;
  • установление причин компьютерных инцидентов.

Этапность создания центра ГосСОПКА

Поставленные цели и задачи должны быть реализованы с помощью организационных и технических мер. Для оптимизации процесса и построения дорожной карты развития необходимое разделить процесс подключения, поддержки и развития на этапы, включающие в себя выполнение следующих задач:

  • разработка концепции построения центра ГосСОПКА;
  • разработка операционной и организационной модели (в т.ч. организационно-штатной структуры) центра ГосСОПКА с учетом требований, предъявляемых в рамках исполнения Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ;
  • разработка архитектуры центра ГосСОПКА;
  • разработка процессов центра ГосСОПКА с привязкой к бизнес-процессам и ИТ-инфраструктуре субъекта;
  • разработка ключевых показателей эффективности (метрик) для оценки эффективности процессов (части процесса или группы процессов) центра ГосСОПКА;
  • выбор и внедрение технических средств для обеспечения процессов центра ГосСОПКА;
  • внедрение разработанных процессов;
  • контроль эффективности внедренных процессов в соответствии с разработанными метриками;
  • разработка системы визуализации отчетности по событиям и метрикам процессов центра ГосСОПКА для уровней руководства компании, руководства подразделений ИБ и операционного персонала;
  • разработка необходимой нормативной документации;
  • подготовка персонала.

Как «Информзащита» может помочь в истории с ГосСОПКА

Компания «Информзащита» готова помочь провести весь комплекс работ по созданию в субъекте КИИ центра ГосСОПКА и подключению созданного центра к инфраструктуре НКЦКИ.

ФСБ России и компания «Информзащита» в декабре 2018 года подписали соглашение о взаимодействии в области обнаружения, предупреждения и ликвидации компьютерных атак в рамках ГосСОПКА.

Соглашение даёт Центру обнаружения (Security Operation Center), предупреждения и ликвидации последствий компьютерных атак компании «Информзащита», работающему под брендом IZ:SOС, право исполнять функции центра ГосСОПКА для государственных органов Российской Федерации, российских юридических лиц и индивидуальных предпринимателей. В рамках функций центра ГосСОПКА «Информзащита» будет выполнять задачи по обнаружению, реагированию и ликвидации последствий компьютерных атак, а также по оценке защищённости инфраструктуры и обеспечению взаимодействия Субъектов ГосСОПКА с Национальным координационным центром по компьютерным инцидентам.

Свяжитесь с экспертами «Информзащиты».

Мы готовы ответить на ваши вопросы и подобрать оптимальное решение!