ГосСОПКА

C 1 января 2018 года вступил в силу 187-ФЗ «О безопасности КИИ РФ», согласно статьи 9 которого все без исключения субъекты КИИ обязаны информировать о компьютерных инцидентах федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак. Таким органом, в соответствии с приказом ФСБ №366 назначен НКЦКИ (Национальный координационном центре по компьютерным инцидентам).

Владельцам же значимых объектов КИИ, в соответствии со статьей 10, вменена задача обеспечения непрерывного взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

Приказы ФСБ надо читать до конца

6-го сентября, помимо приказа о создании НКЦКИ, регистрацию в Минюсте прошли еще два приказа ФСБ №367 и 368, в которых утверждены перечни информации и порядок обмена информацией с ГосСОПКА.

При беглом прочтении, взгляд может зацепиться за то, что в приказах сказано, что субъект может работать с ФСБ напрямую и направлять в НКЦКИ уведомления и запросы посредством почтовой, телефонной или факсимильной связи. Но этот пункт нельзя воспринимать в отрыве от всего текста документа. При внимательном прочтении документа имеет смысл обратить внимание на то, что в тексте используется два понятия: «уведомление» и «информирование».

Уведомление – как направление уведомлений и запросов в рамках реагирования на инцидент между субъектами КИИ – действительно допускается и по телефону, тогда как информирование, которое подразумевает, в числе прочего, и сообщение технических подробностей об инциденте – уже осуществляется с использованием технической инфраструктуры НКЦКИ.

В итоге – без подключения к ГосСОПКЕ субъектам КИИ не обойтись. А кроме того, еще необходимо помнить о соблюдении предписанных форматов обмена информацией с НКЦКИ.

Что предстоит сделать

В рамках создания центра ГосСОПКА, субъекты КИИ должны выполнить задачи по:

• обнаружению компьютерных атак и инцидентов;
• предупреждению компьютерных атак и инцидентов;
• реагированию на компьютерные атаки и инциденты
• ликвидации последствий компьютерных атак;
• поиску признаков компьютерных атак в сетях;
• обмену информацией с ГосСОПКА;
• обеспечению защиты информации.

А в рамках выполнения перечисленных задач, субъектом должны быть обеспечены следующие функции:

• взаимодействие с НКЦКИ при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы и реагирования на компьютерные инциденты;
• разработка документов, регламентирующих процессы обнаружения, предупреждения и ликвидации последствий компьютерных инцидентов и реагирования на компьютерные инциденты;
• эксплуатация средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, выявление ошибок в работе  средств и направление производителю средств информации о выявленных ошибках, а также актуализация средств, используемых для обеспечения защиты информационных ресурсов, направление в НКЦКИ предложений по совершенствованию средств;
• прием сообщений об инцидентах от персонала и пользователей информационных ресурсов;
• регистрация компьютерных атак и компьютерных инцидентов;
• анализ событий информационной безопасности;
• инвентаризация информационных ресурсов;
• анализ угроз информационной безопасности, прогнозирование их развития и направление в НКЦКИ результатов;
• составление и актуализация перечня угроз информационной безопасности для информационных ресурсов;
• выявление уязвимостей информационных ресурсов;
• формирование предложений по повышению уровня защищенности информационных ресурсов;
• составление перечня компьютерных инцидентов;
• ликвидация последствий компьютерных инцидентов;
• анализ результатов ликвидации последствий инцидентов;
• установление причин компьютерных инцидентов.

Этапность создания центра ГосСОПКА

Поставленные цели и задачи должны быть реализованы с помощью организационных и технических мер. Для оптимизации процесса и построения дорожной карты развития необходимое разделить процесс подключения, поддержки и развития на этапы, включающие в себя выполнение следующих задач:

• разработка концепции построения центра ГосСОПКА;
• разработка операционной и организационной модели (в т.ч. организационно-штатной структуры) центра ГосСОПКА с учетом требований, предъявляемых в рамках исполнения Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ;
• разработка архитектуры центра ГосСОПКА;
• разработка процессов центра ГосСОПКА с привязкой к бизнес-процессам и ИТ-инфраструктуре субъекта;
• разработка ключевых показателей эффективности (метрик) для оценки эффективности процессов (части процесса или группы процессов) центра ГосСОПКА;
• выбор и внедрение технических средств для обеспечения процессов центра ГосСОПКА;
• внедрение разработанных процессов;
• контроль эффективности внедренных процессов в соответствии с разработанными метриками;
• разработка системы визуализации отчетности по событиям и метрикам процессов центра ГосСОПКА для уровней руководства компании, руководства подразделений ИБ и операционного персонала;
• разработка необходимой нормативной документации;
• подготовка персонала.

Как «Информзащита» может помочь в истории с ГосСОПКА

Компания «Информзащита» готова помочь провести весь комплекс работ по созданию в субъекте КИИ центра ГосСОПКА и подключению созданного центра к инфраструктуре НКЦКИ.

ФСБ России и компания «Информзащита» в декабре 2018 года подписали соглашение о взаимодействии в области обнаружения, предупреждения и ликвидации компьютерных атак в рамках ГосСОПКА.

Соглашение даёт Центру обнаружения (Security Operation Center), предупреждения и ликвидации последствий компьютерных атак компании «Информзащита», работающему под брендом IZ:SOС, право исполнять функции центра ГосСОПКА для государственных органов Российской Федерации, российских юридических лиц и индивидуальных предпринимателей. В рамках функций центра ГосСОПКА «Информзащита» будет выполнять задачи по обнаружению, реагированию и ликвидации последствий компьютерных атак, а также по оценке защищённости инфраструктуры и обеспечению взаимодействия Субъектов ГосСОПКА с Национальным координационным центром по компьютерным инцидентам.