Взаимодействие с ГосСОПКА
Для обеспечения безопасности критической информационной инфраструктуры России, Федеральный закон № 187 предусматривает создание специального территориально распределенного комплекса — государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). В данной публикации подробно рассматриваются вопросы отправки инцидентов в ГосСОПКА и обмена информацией о компьютерных инцидентах, связанных с объектами критической информационной инфраструктуры (ОКИИ).
ГосСОПКА представляет собой централизованную систему для сбора, анализа и реагирования на информацию о компьютерных инцидентах и угрозах безопасности информационных активов субъектов критической информационной инфраструктуры (КИИ). Основная цель ГосСОПКА – обеспечить проактивное реагирование на киберугрозы и минимизировать ущерб, связанный с функционированием объектов критической информационной инфраструктуры (ОКИИ) в Российской Федерации.
ГосСОПКА выполняет несколько ключевых функций:
1. Сбор информации: ГосСОПКА агрегирует данные о компьютерных инцидентах и киберугрозах от различных субъектов КИИ. Это включает в себя информацию об атаках, уязвимостях и других инцидентах, связанных с безопасностью информационных систем.
2. Анализ информации: Собранные данные анализируются для выявления общих тенденций, паттернов и потенциальных угроз. Это помогает понять природу и масштаб киберугроз, а также выявить наиболее уязвимые точки в информационных системах.
3. Предупреждение и ликвидация последствий: На основе анализа данных ГосСОПКА разрабатывает и внедряет меры по предупреждению и ликвидации последствий компьютерных атак. Это включает в себя создание рекомендаций для субъектов КИИ, а также координацию действий по устранению последствий инцидентов.
4. Координация взаимодействия: Для эффективного взаимодействия между субъектами КИИ, Приказом ФСБ России №366 от 24 июля 2018 года был создан Национальный координационный центр по компьютерным инцидентам (НКЦКИ). НКЦКИ является подразделением ФСБ России и частью ГосСОПКА, выполняя роль координатора в вопросах кибербезопасности.
Национальный координационный центр по компьютерным инцидентам (НКЦКИ)
НКЦКИ был создан для обеспечения координации и эффективного взаимодействия между различными субъектами КИИ. Основные задачи НКЦКИ включают:
Таким образом, НКЦКИ играет ключевую роль в системе ГосСОПКА, обеспечивая координацию, поддержку и непосредственное участие в вопросах кибербезопасности субъектов критической информационной инфраструктуры России.
Далее рассмотрим приказ ФСБ России №367 описывает перечень данных, порядок их предоставления и взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Этот приказ определяет требования к субъектам критической информационной инфраструктуры (КИИ) и иным организациям, касающиеся обмена информацией о компьютерных инцидентах и взаимодействия с ГосСОПКА.
Перечень данных, которые необходимо предоставлять в ГосСОПКА:
Обязанности субъектов КИИ:
Субъекты КИИ обязаны предоставлять информацию о компьютерных инцидентах, которая включает следующие данные:
Эти данные должны быть направлены субъектом КИИ в ГосСОПКА:
Дополнительные обязанности субъектов КИИ:
Способы передачи информации:
Варианты организации соединения с НКЦКИ:
Таким образом, приказ ФСБ №367 регулирует порядок и требования по предоставлению информации в ГосСОПКА, обеспечивая координацию и эффективное взаимодействие субъектов КИИ и других организаций в вопросах кибербезопасности.
Подробный состав технических параметров компьютерного инцидента, указываемых при отправке инцидента в ГосСОПКА, и форматы представления информации о компьютерных инцидентах был опубликован НКЦКИ 9 декабря 2019 года. Ознакомиться с этой информацией можно по ссылке: https://safe-surf.ru/specialists/article/5252/638030/.
Особое внимание субъектам КИИ следует обратить на необходимость включения в сообщение общих сведений о контролируемом информационном ресурсе (ОКИИ), на котором выявлен компьютерный инцидент (признак инцидента), направлена компьютерная атака или выявлена уязвимость (признак уязвимости), а также информации о владельце данного информационного ресурса (субъекте КИИ).
По согласованию с ФСБ России, субъекты КИИ имеют возможность организовать взаимодействие с НКЦКИ не только напрямую, но и через различные отраслевые и корпоративные центры ГосСОПКА. При этом все участники обязаны соблюдать установленный унифицированный формат предоставления данных.
Приказ ФСБ №368 регламентирует порядок обмена информацией между субъектами критической информационной инфраструктуры (КИИ) и правила обмена информацией с уполномоченными органами иностранных государств, международными и иностранными организациями. Этот приказ устанавливает строгие правила, чтобы обеспечить безопасность и целостность информации, особенно когда речь идет о данных, которые могут представлять государственную тайну.
1. Обмен информацией между субъектами КИИ:
2. Обмен информацией с уполномоченными органами иностранных государств и международными организациями:
3. Обмен информацией, содержащей государственную тайну:
Дополнительные аспекты обмена информацией:
Приказ ФСБ №368 устанавливает четкие правила и процедуры для обмена информацией между субъектами КИИ и с международными организациями. Основной акцент делается на согласование действий с НКЦКИ и соблюдение законодательства РФ, особенно в части защиты государственной тайны. Это обеспечивает безопасность и целостность информации, а также координацию действий в области кибербезопасности на национальном и международном уровнях.
Приказ ФСБ №282 устанавливает детализированные требования по информированию Национального координационного центра по компьютерным инцидентам (НКЦКИ) и, в случае субъектов критической информационной инфраструктуры (КИИ), работающих в финансовой сфере, Банка России о компьютерных инцидентах, связанных с защитой объектов критической информационной инфраструктуры (ЗОКИИ). Этот приказ предписывает создание планов реагирования на инциденты и принятие мер по ликвидации последствий атак. Ниже представлено подробное описание ключевых аспектов Приказа ФСБ №282.
1. Информирование НКЦКИ и Банка России:
2. Разработка планов реагирования на инциденты:
3. Принятие мер по ликвидации последствий атак:
4. Взаимодействие с НКЦКИ и Банк России:
Приказ ФСБ №282 устанавливает строгие требования по информированию НКЦКИ и Банка России о компьютерных инцидентах, связанных с ЗОКИИ, а также требует разработки и регулярного обновления планов реагирования и принятия мер по ликвидации последствий атак. Эти меры предназначены на повышение уровня безопасности объектов критической информационной инфраструктуры и улучшение координации действий в случае киберинцидентов. Поскольку данные объекты являются значимыми, документ предписывает разработку планов реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак.
Данный план должен содержать:
- технические характеристики и состав ЗОКИИ;
- события (условия), при наступлении которых начинается реализация предусмотренных планом мероприятий;
- мероприятия, проводимые в ходе реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, а также время, отводимое на их реализацию;
- описание состава подразделений и должностных лиц субъекта КИИ, ответственных за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий.
Далее разработанный план необходимо согласовать с ФСБ России или Банком России (в случае если субъект КИИ осуществляет деятельность в финансовой сфере). С целью отработки мероприятий плана документ предписывает субъекту КИИ проводить не реже одного раза в год тренировки. По результатам тренировок в план могут вноситься изменения, при необходимости.
ГосСОПКА представляет собой централизованную систему для сбора, анализа и реагирования на информацию о компьютерных инцидентах и угрозах безопасности информационных активов субъектов критической информационной инфраструктуры (КИИ). Основная цель ГосСОПКА – обеспечить проактивное реагирование на киберугрозы и минимизировать ущерб, связанный с функционированием объектов критической информационной инфраструктуры (ОКИИ) в Российской Федерации.
ГосСОПКА выполняет несколько ключевых функций:
1. Сбор информации: ГосСОПКА агрегирует данные о компьютерных инцидентах и киберугрозах от различных субъектов КИИ. Это включает в себя информацию об атаках, уязвимостях и других инцидентах, связанных с безопасностью информационных систем.
2. Анализ информации: Собранные данные анализируются для выявления общих тенденций, паттернов и потенциальных угроз. Это помогает понять природу и масштаб киберугроз, а также выявить наиболее уязвимые точки в информационных системах.
3. Предупреждение и ликвидация последствий: На основе анализа данных ГосСОПКА разрабатывает и внедряет меры по предупреждению и ликвидации последствий компьютерных атак. Это включает в себя создание рекомендаций для субъектов КИИ, а также координацию действий по устранению последствий инцидентов.
4. Координация взаимодействия: Для эффективного взаимодействия между субъектами КИИ, Приказом ФСБ России №366 от 24 июля 2018 года был создан Национальный координационный центр по компьютерным инцидентам (НКЦКИ). НКЦКИ является подразделением ФСБ России и частью ГосСОПКА, выполняя роль координатора в вопросах кибербезопасности.
Национальный координационный центр по компьютерным инцидентам (НКЦКИ)
НКЦКИ был создан для обеспечения координации и эффективного взаимодействия между различными субъектами КИИ. Основные задачи НКЦКИ включают:
- Координация мероприятий по реагированию на инциденты: НКЦКИ обеспечивает скоординированное реагирование на компьютерные инциденты, что позволяет более оперативно и эффективно устранять угрозы и минимизировать их последствия.
- Организация обмена информацией: НКЦКИ организует и осуществляет обмен информацией о компьютерных инцидентах между субъектами КИИ. Это способствует быстрому распространению информации о новых угрозах и методах защиты.
- Методическая поддержка: НКЦКИ обеспечивает методическую поддержку субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак. Это включает разработку и распространение рекомендаций, инструкций и других методических материалов.
- Прямое участие в реагировании: НКЦКИ непосредственно участвует в процессах обнаружения, предупреждения и ликвидации последствий компьютерных атак. Это включает как аналитическую работу, так и оперативное реагирование на инциденты.
- Информирование о угрозах: НКЦКИ обеспечивает своевременное информирование субъектов КИИ об актуальных угрозах и методах их обнаружения и предупреждения. Это позволяет субъектам КИИ быть в курсе текущих угроз и предпринимать превентивные меры.
- Сбор и анализ данных: НКЦКИ осуществляет сбор, хранение и анализ информации о компьютерных инцидентах и атаках. Это помогает выявлять новые угрозы и разрабатывать соответствующие меры защиты.
- Развитие технической инфраструктуры: НКЦКИ обеспечивает функционирование, эксплуатацию и развитие собственной технической инфраструктуры, необходимой для выполнения поставленных задач.
Таким образом, НКЦКИ играет ключевую роль в системе ГосСОПКА, обеспечивая координацию, поддержку и непосредственное участие в вопросах кибербезопасности субъектов критической информационной инфраструктуры России.
Далее рассмотрим приказ ФСБ России №367 описывает перечень данных, порядок их предоставления и взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Этот приказ определяет требования к субъектам критической информационной инфраструктуры (КИИ) и иным организациям, касающиеся обмена информацией о компьютерных инцидентах и взаимодействия с ГосСОПКА.
Перечень данных, которые необходимо предоставлять в ГосСОПКА:
- Сведения из реестра ЗОКИИ (защищаемые объекты критической информационной инфраструктуры):
- Предоставляет: ФСТЭК России.
- Описание: Информация о зарегистрированных объектах критической информационной инфраструктуры.
- Информация об отсутствии необходимости присвоения ОКИИ категории значимости:
- Предоставляет: ФСТЭК России.
- Описание: Данные о случаях, когда объекту КИИ не присваивается категория значимости.
- Информация об исключении ОКИИ из реестра ЗОКИИ или об изменении категории значимости:
- Предоставляет: ФСТЭК России.
- Описание: Данные о случаях исключения объектов из реестра ЗОКИИ или изменении их категории значимости.
- Информация по итогам проведения государственного контроля в области обеспечения безопасности ЗОКИИ:
- Предоставляет: ФСТЭК России.
- Описание: Результаты проверок и контроля в области обеспечения безопасности объектов КИИ.
- Информация о компьютерных инцидентах, связанных с функционированием ОКИИ:
- Предоставляет: Субъекты КИИ.
- Описание: Данные о компьютерных инцидентах, которые могут повлиять на функционирование объектов критической информационной инфраструктуры.
- Иная информация в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты:
- Предоставляют: Субъекты КИИ и иные организации.
- Описание: Любая другая информация, касающаяся кибербезопасности и реагирования на компьютерные инциденты.
Обязанности субъектов КИИ:
Субъекты КИИ обязаны предоставлять информацию о компьютерных инцидентах, которая включает следующие данные:
- Дата, время и место нахождения ОКИИ: Основные временные и пространственные характеристики инцидента.
- Причинно-следственная связь между компьютерным инцидентом и атакой: Описание связи между инцидентом и совершенной кибератакой.
- Связь с другими компьютерными инцидентами (при наличии): Информация о том, связан ли данный инцидент с другими инцидентами.
- Состав технических параметров компьютерного инцидента: Технические детали и параметры инцидента.
- Последствия компьютерного инцидента: Описание последствий, вызванных инцидентом.
Эти данные должны быть направлены субъектом КИИ в ГосСОПКА:
- Не позднее 24-х часов с момента обнаружения компьютерного инцидента, связанного с ОКИИ.
- Не позднее 3-х часов с момента обнаружения инцидента, связанного с ЗОКИИ (согласно Приказу ФСБ России №282).
Дополнительные обязанности субъектов КИИ:
- Информирование НКЦКИ и Банка России (для субъектов КИИ в финансовой сфере): О результатах мероприятий по реагированию и мерах по ликвидации последствий компьютерных атак на ЗОКИИ в срок не позднее 48 часов после завершения таких мероприятий.
Способы передачи информации:
- Почта, e-mail, факс или телефон: Контакты указаны на официальном сайте (http://cert.gov.ru).
- Интеграция с технической инфраструктурой НКЦКИ: Передача информации в определенном формате и с использованием защищенных каналов связи.
Варианты организации соединения с НКЦКИ:
- Использование ПО ViPNet Client:
- Необходимо иметь лицензию на ПО ViPNet Client с классом защиты КС3 в существующей сети ViPNet с номером 10976.
- Установить ПО ViPNet Client и направить запрос на электронный почтовый ящик gov-cert@gov-cert.ru с информацией для подготовки файла с настройками.
- Использование ПО или ПАК ViPNet Coordinator:
- Необходимо иметь лицензию на ПО или ПАК ViPNet Coordinator с классом защиты КС3 в существующей сети ViPNet с номером 10976.
- Установить ViPNet Coordinator и направить запрос на электронные почтовые ящики gov-cert@gov-cert.ru и rea@gov-cert.ru с информацией для подготовки файла с настройками для ViPNet Coordinator.
- Этот вариант подключения позволяет использовать средства автоматизации (API).
- Использование существующей сети ViPNet:
- Направить запрос на электронные почтовые ящики gov-cert@gov-cert.ru и rea@gov-cert.ru с информацией для подготовки файла с межсетевой информацией.
Таким образом, приказ ФСБ №367 регулирует порядок и требования по предоставлению информации в ГосСОПКА, обеспечивая координацию и эффективное взаимодействие субъектов КИИ и других организаций в вопросах кибербезопасности.
Подробный состав технических параметров компьютерного инцидента, указываемых при отправке инцидента в ГосСОПКА, и форматы представления информации о компьютерных инцидентах был опубликован НКЦКИ 9 декабря 2019 года. Ознакомиться с этой информацией можно по ссылке: https://safe-surf.ru/specialists/article/5252/638030/.
Особое внимание субъектам КИИ следует обратить на необходимость включения в сообщение общих сведений о контролируемом информационном ресурсе (ОКИИ), на котором выявлен компьютерный инцидент (признак инцидента), направлена компьютерная атака или выявлена уязвимость (признак уязвимости), а также информации о владельце данного информационного ресурса (субъекте КИИ).
По согласованию с ФСБ России, субъекты КИИ имеют возможность организовать взаимодействие с НКЦКИ не только напрямую, но и через различные отраслевые и корпоративные центры ГосСОПКА. При этом все участники обязаны соблюдать установленный унифицированный формат предоставления данных.
Приказ ФСБ №368 регламентирует порядок обмена информацией между субъектами критической информационной инфраструктуры (КИИ) и правила обмена информацией с уполномоченными органами иностранных государств, международными и иностранными организациями. Этот приказ устанавливает строгие правила, чтобы обеспечить безопасность и целостность информации, особенно когда речь идет о данных, которые могут представлять государственную тайну.
1. Обмен информацией между субъектами КИИ:
- Цель: Обмен информацией между субъектами КИИ направлен на обеспечение своевременного и эффективного реагирования на компьютерные инциденты, а также на предупреждение и ликвидацию последствий компьютерных атак.
- Процедуры: Регламентируются внутренними процедурами субъектов КИИ, согласованными с НКЦКИ. Все участники обмена обязаны соблюдать унифицированные форматы предоставления данных, чтобы обеспечить совместимость и удобство обработки информации.
2. Обмен информацией с уполномоченными органами иностранных государств и международными организациями:
- Согласование с НКЦКИ: При осуществлении обмена информацией с иностранной (международной) организацией субъект КИИ обязан предварительно согласовать эти действия с НКЦКИ. Это необходимо для того, чтобы гарантировать, что передаваемая информация не содержит сведений, которые могут угрожать национальной безопасности.
- Процедура согласования:
- Субъект КИИ направляет запрос в НКЦКИ с указанием целей и объема предполагаемой информации для обмена.
- НКЦКИ анализирует запрос и принимает решение о возможности обмена информацией.
- В случае одобрения НКЦКИ субъект КИИ может осуществить обмен информации в соответствии с согласованными условиями.
3. Обмен информацией, содержащей государственную тайну:
- Соблюдение законодательства: Если информация, подлежащая обмену, содержит государственную тайну, обмен осуществляется в строгом соответствии с законодательством РФ в области защиты государственной тайны.
- Процедуры защиты:
- Информация должна быть защищена в соответствии с требованиями к защите государственной тайны, включая шифрование и контроль доступа.
- Передача такой информации возможна только через каналы связи, сертифицированные для передачи сведений, составляющих государственную тайну.
Дополнительные аспекты обмена информацией:
- Форматы и стандарты обмена:
- Информация должна быть передана в стандартизированных форматах, определенных НКЦКИ, чтобы обеспечить совместимость и удобство обработки данных.
- Вся передаваемая информация должна содержать необходимые метаданные для идентификации инцидента и его контекста.
- Отчетность и аудит:
- Субъекты КИИ обязаны вести учет всех переданных и полученных данных о компьютерных инцидентах.
- НКЦКИ может проводить аудиты и проверки для контроля соблюдения регламентов обмена информацией.
- Безопасность передачи данных:
- Все каналы передачи данных должны быть защищены в соответствии с современными требованиями информационной безопасности.
- Для передачи особо чувствительной информации могут использоваться специальные защищенные каналы связи, например, виртуальные частные сети (VPN) или выделенные линии связи.
Приказ ФСБ №368 устанавливает четкие правила и процедуры для обмена информацией между субъектами КИИ и с международными организациями. Основной акцент делается на согласование действий с НКЦКИ и соблюдение законодательства РФ, особенно в части защиты государственной тайны. Это обеспечивает безопасность и целостность информации, а также координацию действий в области кибербезопасности на национальном и международном уровнях.
Приказ ФСБ №282 устанавливает детализированные требования по информированию Национального координационного центра по компьютерным инцидентам (НКЦКИ) и, в случае субъектов критической информационной инфраструктуры (КИИ), работающих в финансовой сфере, Банка России о компьютерных инцидентах, связанных с защитой объектов критической информационной инфраструктуры (ЗОКИИ). Этот приказ предписывает создание планов реагирования на инциденты и принятие мер по ликвидации последствий атак. Ниже представлено подробное описание ключевых аспектов Приказа ФСБ №282.
1. Информирование НКЦКИ и Банка России:
- Сроки информирования:
- ЗОКИИ: Субъекты КИИ обязаны информировать НКЦКИ о компьютерных инцидентах, связанных с ЗОКИИ, в течение не более 3 часов с момента их обнаружения.
- Финансовая сфера: Если субъект КИИ относится к финансовой сфере, информация также должна быть направлена в Банк России в установленные сроки.
- Содержание информации:
- Общие сведения: Дата, время, место обнаружения инцидента, а также информация о затронутом объекте (ЗОКИИ).
- Технические детали: Описание природы инцидента, потенциальных уязвимостей, тип атаки, использованные методы и средства.
- Последствия: Оценка ущерба, воздействия на операции и функциональность ЗОКИИ.
- Меры реагирования: Перечень предпринятых действий для устранения инцидента и предотвращения его повторения.
2. Разработка планов реагирования на инциденты:
- Цель: План реагирования направлен на обеспечение оперативного и эффективного реагирования на компьютерные инциденты и минимизацию их последствий.
- Содержание плана:
- Процедуры реагирования: Четкие инструкции по действиям в случае обнаружения инцидента, включая уведомление ответственных лиц, активацию необходимых ресурсов и технологий.
- Команды реагирования: Определение состава команд, ответственных за реагирование на инциденты, их роли и обязанности.
- Коммуникационные протоколы: Процедуры уведомления НКЦКИ, других заинтересованных органов и, в случае необходимости, общественности.
- Оценка инцидента: Методы оценки масштаба и воздействия инцидента, а также критерии для принятия решений о дальнейших действиях.
- Документирование и отчеты: Правила для ведения записей о ходе реагирования, а также требования по составлению отчетов.
- Обновление и тестирование:
- Регулярное обновление: Планы реагирования должны регулярно пересматриваться и обновляться в соответствии с изменяющимися угрозами и уязвимостями.
- Тестирование: Периодическое проведение учений и тестирований для проверки эффективности плана реагирования и подготовки персонала.
3. Принятие мер по ликвидации последствий атак:
- Меры ликвидации:
- Устранение угроз: Принятие мер по устранению выявленных уязвимостей и восстановлению работоспособности затронутых систем.
- Восстановление работы: Восстановление нормального функционирования объектов КИИ, пострадавших от инцидента.
- Мониторинг: Установление контроля за системами для предотвращения повторных атак и дальнейших инцидентов.
- Документирование мер:
- Отчеты о мерах: Составление отчетов о предпринятых мерах по ликвидации последствий инцидента и их результатах.
- Анализ эффективности: Оценка эффективности предпринятых мер и внесение предложений по улучшению процедур реагирования.
4. Взаимодействие с НКЦКИ и Банк России:
- Обмен информацией:
- Форматы и каналы: Использование утвержденных форматов и каналов связи для передачи информации о инцидентах.
- Координация действий: Согласование действий с НКЦКИ и Банком России для обеспечения координации и поддержки в процессе реагирования на инцидент.
- Анализ и рекомендации:
- Получение рекомендаций: Получение рекомендаций от НКЦКИ по улучшению мер реагирования и предотвращению будущих инцидентов.
- Интеграция лучших практик: Внедрение лучших практик и рекомендаций в процедуры и планы реагирования.
Приказ ФСБ №282 устанавливает строгие требования по информированию НКЦКИ и Банка России о компьютерных инцидентах, связанных с ЗОКИИ, а также требует разработки и регулярного обновления планов реагирования и принятия мер по ликвидации последствий атак. Эти меры предназначены на повышение уровня безопасности объектов критической информационной инфраструктуры и улучшение координации действий в случае киберинцидентов. Поскольку данные объекты являются значимыми, документ предписывает разработку планов реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак.
Данный план должен содержать:
- технические характеристики и состав ЗОКИИ;
- события (условия), при наступлении которых начинается реализация предусмотренных планом мероприятий;
- мероприятия, проводимые в ходе реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, а также время, отводимое на их реализацию;
- описание состава подразделений и должностных лиц субъекта КИИ, ответственных за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий.
Далее разработанный план необходимо согласовать с ФСБ России или Банком России (в случае если субъект КИИ осуществляет деятельность в финансовой сфере). С целью отработки мероприятий плана документ предписывает субъекту КИИ проводить не реже одного раза в год тренировки. По результатам тренировок в план могут вноситься изменения, при необходимости.