Закон №187-ФЗ от 26 июля 2017 года «О безопасности критической инфраструктуры Российской Федерации» налагает на всех субъектов КИИ следующие обязанности:
- незамедлительно информировать о компьютерных инцидентах НКЦКИ, а для организаций, работающих в банковской сфере и иных сферах финансового рынка и Центральный банк Российской Федерации;
- в случае установки на объекты КИИ средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, обеспечивать выполнение порядка, технических условий установки и эксплуатации таких средств, их сохранность;
- реагировать на компьютерные инциденты в порядке, утвержденном НКЦКИ, принимать меры по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры.
Для выполнения указанных требований необходимо:
- создать собственный центр ГосСОПКА, заключить соглашение и организовать обмен информацией о компьютерных атаках на объекты критической инфраструктуры с НКЦКИ;
- либо привлечь для исполнения ряда функций в рамках ГосСОПКА внешней организации, имеющей соответствующее соглашение с НКЦКИ.
В обязанности собственного или стороннего центра будет входить выполнение следующих функций:
- инвентаризация информационных ресурсов;
- выявление уязвимостей информационных ресурсов;
- анализ угроз информационной безопасности;
- повышение квалификации персонала информационных ресурсов;
- прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов;
- обеспечение процесса обнаружения компьютерных атак;
- анализ данных о событиях безопасности;
- регистрация инцидентов;
- реагирование на инциденты и ликвидация их последствий;
- установление причин инцидентов;
- анализ результатов устранения последствий инцидентов.
В зависимости от выбранного пути вам придется выполнить следующие действия:
Самостоятельное подключение
Подключение к ГосСОПКА включает в себя следующие этапы:
- построение оперативного центра мониторинга (SOC), включая:
- проектирование структуры SOC;
- создание необходимых нормативных документов, регламентирующих деятельность SOC;
- проектирование и описание процессов SOC с учетом требований документа «Методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА», в том числе процессы, реализующие основные функции центров ГосСОПКА;
- создание и настройка и документирование алгоритмов выявления компьютерных инцидентов;
- описание схем реагирования на различные типы инциденты.
- включение в архитектуру SOC технических решений, необходимых для выполнения требований к лицензиату на деятельность по технической защите конфиденциальной информации в части вида деятельности по мониторингу информационной безопасности средств и систем мониторинга;
- получение лицензию на мониторинг информационной безопасности средств и систем автоматизации;
- включение в архитектуру SOC технических решений, необходимых для исполнения функций сегмента ГосСОПКА в соответствии с «Методическими рекомендациями по созданию ведомственных и корпоративных центров ГосСОПКА»;
- найм и обучение сотрудников 1-й, 2-й и 3-й линий SOC;
- разработка механизмов обмена данными между техническими средствами SOC и инфраструктурой ГосСОПКА;
- согласование параметров функций центра в части форматов и протоколов взаимодействия с НКЦКИ ФСБ России в ходе взаимодействия в рамках системы ГосСОПКА;
- обеспечение визуализации сведений и построение отчетов.
Внешний центр ГосСОПКА
- обратиться в сторонний центр ГосСОПКА;
- назначить ответственного куратора проекта со стороны заказчика;
- передать информацию о cетевой инфраструктуре, информационных активах и степени их критичности для категорирования событий ИБ;
- подключить источники событий к центру ГосСОПКА;
- согласовать регламенты взаимодействия с центром ГосСОПКА в части реализации основных функций;
- не забывать уведомлять центр ГосСОПКА об изменениях инфраструктуры.
В декабре 2018 года подписано соглашение о взаимодействии в области обнаружения, предупреждения и ликвидации компьютерных атак в рамках ГосСОПКА.
Соглашение даёт Центру обнаружения (Security Operation Center), предупреждения и ликвидации последствий компьютерных атак компании «Информзащита», работающему под брендом IZ:SOС, право исполнять функции центра ГосСОПКА для государственных органов Российской Федерации, российских юридических лиц и индивидуальных предпринимателей. В рамках функций центра ГосСОПКА «Информзащита» будет выполнять задачи по обнаружению, реагированию и ликвидации последствий компьютерных атак, а также по оценке защищённости инфраструктуры и обеспечению взаимодействия Субъектов ГосСОПКА с Национальным координационным центром по компьютерным инцидентам.
Методические документы НКЦКИ
- Требования к подразделениям и должностным лицам субъекта ГосСОПКА
- Методические рекомендации по созданию ведомственного и корпоративных центров ГосСОПКА
- Типовой Регламент информационного взаимодействия
- Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы
- Методические рекомендации по установлению причин и ликвидации последствий компьютерных инцидентов
- Методические рекомендации по проведению мероприятий по оценке степени защищенности от компьютерных атак
Предоставляются по письменному обращению в НКЦКИ по адресу: 107031, г. Москва, ул. Большая Лубянка, д.1/3.