Подключение к ГосСОПКА

Закон №187-ФЗ от 26 июля 2017 года «О безопасности критической инфраструктуры Российской Федерации» налагает на всех субъектов КИИ следующие обязанности:

• незамедлительно информировать о компьютерных инцидентах НКЦКИ, а для организаций, работающих в банковской сфере и иных сферах финансового рынка и Центральный банк Российской Федерации;
• в случае установки на объекты КИИ средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, обеспечивать выполнение порядка, технических условий установки и эксплуатации таких средств, их сохранность;
• реагировать на компьютерные инциденты в порядке, утвержденном НКЦКИ, принимать меры по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры.

Для выполнения указанных требований необходимо:

• создать собственный центр ГосСОПКА, заключить соглашение и организовать обмен информацией о компьютерных атаках на объекты критической инфраструктуры с НКЦКИ;
• либо привлечь для исполнения ряда функций в рамках ГосСОПКА внешней организации, имеющей соответствующее соглашение с НКЦКИ.

В обязанности собственного или стороннего центра будет входить выполнение следующих функций:

• инвентаризация информационных ресурсов;
• выявление уязвимостей информационных ресурсов;
• анализ угроз информационной безопасности;
• повышение квалификации персонала информационных ресурсов;
• прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов;
• обеспечение процесса обнаружения компьютерных атак;
• анализ данных о событиях безопасности;
• регистрация инцидентов;
• реагирование на инциденты и ликвидация их последствий;
• установление причин инцидентов;
• анализ результатов устранения последствий инцидентов.

В зависимости от выбранного пути вам придется выполнить следующие действия:

Самостоятельное подключение

Подключение к ГосСОПКА включает в себя следующие этапы:

• построение оперативного центра мониторинга (SOC), включая:
  • проектирование структуры SOC;
  • создание необходимых нормативных документов, регламентирующих деятельность SOC;
  • проектирование и описание процессов SOC с учетом требований документа «Методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА», в том числе процессы, реализующие основные функции центров ГосСОПКА;
  • создание и настройка и документирование алгоритмов выявления компьютерных инцидентов;
  • описание схем реагирования на различные типы инциденты.
• включение в архитектуру SOC технических решений, необходимых для выполнения требований к лицензиату на деятельность по технической защите конфиденциальной информации в части вида деятельности по мониторингу информационной безопасности средств и систем мониторинга;
• получение лицензию на мониторинг информационной безопасности средств и систем автоматизации;
• включение в архитектуру SOC технических решений, необходимых для исполнения функций сегмента ГосСОПКА в соответствии с «Методическими рекомендациями по созданию ведомственных и корпоративных центров ГосСОПКА»;
• найм и обучение сотрудников 1-й, 2-й и 3-й линий SOC;
• разработка механизмов обмена данными между техническими средствами SOC и инфраструктурой ГосСОПКА;
• согласование параметров функций центра в части форматов и протоколов взаимодействия с НКЦКИ ФСБ России в ходе взаимодействия в рамках системы ГосСОПКА;
• обеспечение визуализации сведений и построение отчетов.

Внешний центр ГосСОПКА

• обратиться в сторонний центр ГосСОПКА;
• назначить ответственного куратора проекта со стороны заказчика;
• передать информацию о cетевой инфраструктуре, информационных активах и степени их критичности для категорирования событий ИБ;
• подключить источники событий к центру ГосСОПКА;
• согласовать регламенты взаимодействия с центром ГосСОПКА в части реализации основных функций;
• не забывать уведомлять центр ГосСОПКА об изменениях инфраструктуры.

В декабре 2018 года подписано соглашение о взаимодействии в области обнаружения, предупреждения и ликвидации компьютерных атак в рамках ГосСОПКА.

Соглашение даёт Центру обнаружения (Security Operation Center), предупреждения и ликвидации последствий компьютерных атак компании «Информзащита», работающему под брендом IZ:SOС, право исполнять функции центра ГосСОПКА для государственных органов Российской Федерации, российских юридических лиц и индивидуальных предпринимателей.

В рамках функций центра ГосСОПКА «Информзащита» будет выполнять задачи по обнаружению, реагированию и ликвидации последствий компьютерных атак, а также по оценке защищённости инфраструктуры и обеспечению взаимодействия Субъектов ГосСОПКА с Национальным координационным центром по компьютерным инцидентам.

Методические документы НКЦКИ

• Требования к подразделениям и должностным лицам субъекта ГосСОПКА
• Методические рекомендации по созданию ведомственного и корпоративных центров ГосСОПКА
• Типовой Регламент информационного взаимодействия
• Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы
• Методические рекомендации по установлению причин и ликвидации последствий компьютерных инцидентов
• Методические рекомендации по проведению мероприятий по оценке степени защищенности от компьютерных атак

Предоставляются по письменному обращению в НКЦКИ по адресу: 107031, г. Москва, ул. Большая Лубянка, д.1/3.