Поток статей

Взаимодействие с ГосСОПКА

2024-08-28 16:40 Информационная безопасность

Взаимодействие с ГосСОПКА

Для обеспечения безопасности критической информационной инфраструктуры России, Федеральный закон № 187 предусматривает создание специального территориально распределенного комплекса — государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). В данной публикации подробно рассматриваются вопросы отправки инцидентов в ГосСОПКА и обмена информацией о компьютерных инцидентах, связанных с объектами критической информационной инфраструктуры (ОКИИ).

ГосСОПКА представляет собой централизованную систему для сбора, анализа и реагирования на информацию о компьютерных инцидентах и угрозах безопасности информационных активов субъектов критической информационной инфраструктуры (КИИ). Основная цель ГосСОПКА – обеспечить проактивное реагирование на киберугрозы и минимизировать ущерб, связанный с функционированием объектов критической информационной инфраструктуры (ОКИИ) в Российской Федерации.

ГосСОПКА выполняет несколько ключевых функций:

1. Сбор информации: ГосСОПКА агрегирует данные о компьютерных инцидентах и киберугрозах от различных субъектов КИИ. Это включает в себя информацию об атаках, уязвимостях и других инцидентах, связанных с безопасностью информационных систем.

2. Анализ информации: Собранные данные анализируются для выявления общих тенденций, паттернов и потенциальных угроз. Это помогает понять природу и масштаб киберугроз, а также выявить наиболее уязвимые точки в информационных системах.

3. Предупреждение и ликвидация последствий: На основе анализа данных ГосСОПКА разрабатывает и внедряет меры по предупреждению и ликвидации последствий компьютерных атак. Это включает в себя создание рекомендаций для субъектов КИИ, а также координацию действий по устранению последствий инцидентов.

4. Координация взаимодействия: Для эффективного взаимодействия между субъектами КИИ, Приказом ФСБ России №366 от 24 июля 2018 года был создан Национальный координационный центр по компьютерным инцидентам (НКЦКИ). НКЦКИ является подразделением ФСБ России и частью ГосСОПКА, выполняя роль координатора в вопросах кибербезопасности.

Национальный координационный центр по компьютерным инцидентам (НКЦКИ)

НКЦКИ был создан для обеспечения координации и эффективного взаимодействия между различными субъектами КИИ. Основные задачи НКЦКИ включают:

  1. Координация мероприятий по реагированию на инциденты: НКЦКИ обеспечивает скоординированное реагирование на компьютерные инциденты, что позволяет более оперативно и эффективно устранять угрозы и минимизировать их последствия.
  2. Организация обмена информацией: НКЦКИ организует и осуществляет обмен информацией о компьютерных инцидентах между субъектами КИИ. Это способствует быстрому распространению информации о новых угрозах и методах защиты.
  3. Методическая поддержка: НКЦКИ обеспечивает методическую поддержку субъектов КИИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак. Это включает разработку и распространение рекомендаций, инструкций и других методических материалов.
  4. Прямое участие в реагировании: НКЦКИ непосредственно участвует в процессах обнаружения, предупреждения и ликвидации последствий компьютерных атак. Это включает как аналитическую работу, так и оперативное реагирование на инциденты.
  5. Информирование о угрозах: НКЦКИ обеспечивает своевременное информирование субъектов КИИ об актуальных угрозах и методах их обнаружения и предупреждения. Это позволяет субъектам КИИ быть в курсе текущих угроз и предпринимать превентивные меры.
  6. Сбор и анализ данных: НКЦКИ осуществляет сбор, хранение и анализ информации о компьютерных инцидентах и атаках. Это помогает выявлять новые угрозы и разрабатывать соответствующие меры защиты.
  7. Развитие технической инфраструктуры: НКЦКИ обеспечивает функционирование, эксплуатацию и развитие собственной технической инфраструктуры, необходимой для выполнения поставленных задач.

Таким образом, НКЦКИ играет ключевую роль в системе ГосСОПКА, обеспечивая координацию, поддержку и непосредственное участие в вопросах кибербезопасности субъектов критической информационной инфраструктуры России.

Далее рассмотрим приказ ФСБ России №367 описывает перечень данных, порядок их предоставления и взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Этот приказ определяет требования к субъектам критической информационной инфраструктуры (КИИ) и иным организациям, касающиеся обмена информацией о компьютерных инцидентах и взаимодействия с ГосСОПКА.

Перечень данных, которые необходимо предоставлять в ГосСОПКА:

  1. Сведения из реестра ЗОКИИ (защищаемые объекты критической информационной инфраструктуры):

  • Предоставляет: ФСТЭК России.
  • Описание: Информация о зарегистрированных объектах критической информационной инфраструктуры.

  1. Информация об отсутствии необходимости присвоения ОКИИ категории значимости:

  • Предоставляет: ФСТЭК России.
  • Описание: Данные о случаях, когда объекту КИИ не присваивается категория значимости.

  1. Информация об исключении ОКИИ из реестра ЗОКИИ или об изменении категории значимости:

  • Предоставляет: ФСТЭК России.
  • Описание: Данные о случаях исключения объектов из реестра ЗОКИИ или изменении их категории значимости.

  1. Информация по итогам проведения государственного контроля в области обеспечения безопасности ЗОКИИ:

  • Предоставляет: ФСТЭК России.
  • Описание: Результаты проверок и контроля в области обеспечения безопасности объектов КИИ.

  1. Информация о компьютерных инцидентах, связанных с функционированием ОКИИ:

  • Предоставляет: Субъекты КИИ.
  • Описание: Данные о компьютерных инцидентах, которые могут повлиять на функционирование объектов критической информационной инфраструктуры.

  1. Иная информация в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты:

  • Предоставляют: Субъекты КИИ и иные организации.
  • Описание: Любая другая информация, касающаяся кибербезопасности и реагирования на компьютерные инциденты.

Обязанности субъектов КИИ:

Субъекты КИИ обязаны предоставлять информацию о компьютерных инцидентах, которая включает следующие данные:

  • Дата, время и место нахождения ОКИИ: Основные временные и пространственные характеристики инцидента.
  • Причинно-следственная связь между компьютерным инцидентом и атакой: Описание связи между инцидентом и совершенной кибератакой.
  • Связь с другими компьютерными инцидентами (при наличии): Информация о том, связан ли данный инцидент с другими инцидентами.
  • Состав технических параметров компьютерного инцидента: Технические детали и параметры инцидента.
  • Последствия компьютерного инцидента: Описание последствий, вызванных инцидентом.

Эти данные должны быть направлены субъектом КИИ в ГосСОПКА:

  • Не позднее 24-х часов с момента обнаружения компьютерного инцидента, связанного с ОКИИ.
  • Не позднее 3-х часов с момента обнаружения инцидента, связанного с ЗОКИИ (согласно Приказу ФСБ России №282).

Дополнительные обязанности субъектов КИИ:

  • Информирование НКЦКИ и Банка России (для субъектов КИИ в финансовой сфере): О результатах мероприятий по реагированию и мерах по ликвидации последствий компьютерных атак на ЗОКИИ в срок не позднее 48 часов после завершения таких мероприятий.

Способы передачи информации:

  1. Почта, e-mail, факс или телефон: Контакты указаны на официальном сайте (http://cert.gov.ru).
  2. Интеграция с технической инфраструктурой НКЦКИ: Передача информации в определенном формате и с использованием защищенных каналов связи.

Варианты организации соединения с НКЦКИ:

  1. Использование ПО ViPNet Client:

  • Необходимо иметь лицензию на ПО ViPNet Client с классом защиты КС3 в существующей сети ViPNet с номером 10976.
  • Установить ПО ViPNet Client и направить запрос на электронный почтовый ящик gov-cert@gov-cert.ru с информацией для подготовки файла с настройками.

  1. Использование ПО или ПАК ViPNet Coordinator:

  • Необходимо иметь лицензию на ПО или ПАК ViPNet Coordinator с классом защиты КС3 в существующей сети ViPNet с номером 10976.
  • Установить ViPNet Coordinator и направить запрос на электронные почтовые ящики gov-cert@gov-cert.ru и rea@gov-cert.ru с информацией для подготовки файла с настройками для ViPNet Coordinator.
  • Этот вариант подключения позволяет использовать средства автоматизации (API).

  1. Использование существующей сети ViPNet:

  • Направить запрос на электронные почтовые ящики gov-cert@gov-cert.ru и rea@gov-cert.ru с информацией для подготовки файла с межсетевой информацией.

Таким образом, приказ ФСБ №367 регулирует порядок и требования по предоставлению информации в ГосСОПКА, обеспечивая координацию и эффективное взаимодействие субъектов КИИ и других организаций в вопросах кибербезопасности.

Подробный состав технических параметров компьютерного инцидента, указываемых при отправке инцидента в ГосСОПКА, и форматы представления информации о компьютерных инцидентах был опубликован НКЦКИ 9 декабря 2019 года. Ознакомиться с этой информацией можно по ссылке: https://safe-surf.ru/specialists/article/5252/638030/.

Особое внимание субъектам КИИ следует обратить на необходимость включения в сообщение общих сведений о контролируемом информационном ресурсе (ОКИИ), на котором выявлен компьютерный инцидент (признак инцидента), направлена компьютерная атака или выявлена уязвимость (признак уязвимости), а также информации о владельце данного информационного ресурса (субъекте КИИ).

По согласованию с ФСБ России, субъекты КИИ имеют возможность организовать взаимодействие с НКЦКИ не только напрямую, но и через различные отраслевые и корпоративные центры ГосСОПКА. При этом все участники обязаны соблюдать установленный унифицированный формат предоставления данных.

Приказ ФСБ №368 регламентирует порядок обмена информацией между субъектами критической информационной инфраструктуры (КИИ) и правила обмена информацией с уполномоченными органами иностранных государств, международными и иностранными организациями. Этот приказ устанавливает строгие правила, чтобы обеспечить безопасность и целостность информации, особенно когда речь идет о данных, которые могут представлять государственную тайну.

1. Обмен информацией между субъектами КИИ:

  • Цель: Обмен информацией между субъектами КИИ направлен на обеспечение своевременного и эффективного реагирования на компьютерные инциденты, а также на предупреждение и ликвидацию последствий компьютерных атак.
  • Процедуры: Регламентируются внутренними процедурами субъектов КИИ, согласованными с НКЦКИ. Все участники обмена обязаны соблюдать унифицированные форматы предоставления данных, чтобы обеспечить совместимость и удобство обработки информации.

2. Обмен информацией с уполномоченными органами иностранных государств и международными организациями:

  • Согласование с НКЦКИ: При осуществлении обмена информацией с иностранной (международной) организацией субъект КИИ обязан предварительно согласовать эти действия с НКЦКИ. Это необходимо для того, чтобы гарантировать, что передаваемая информация не содержит сведений, которые могут угрожать национальной безопасности.
  • Процедура согласования:
  • Субъект КИИ направляет запрос в НКЦКИ с указанием целей и объема предполагаемой информации для обмена.
  • НКЦКИ анализирует запрос и принимает решение о возможности обмена информацией.
  • В случае одобрения НКЦКИ субъект КИИ может осуществить обмен информации в соответствии с согласованными условиями.

3. Обмен информацией, содержащей государственную тайну:

  • Соблюдение законодательства: Если информация, подлежащая обмену, содержит государственную тайну, обмен осуществляется в строгом соответствии с законодательством РФ в области защиты государственной тайны.
  • Процедуры защиты:
  • Информация должна быть защищена в соответствии с требованиями к защите государственной тайны, включая шифрование и контроль доступа.
  • Передача такой информации возможна только через каналы связи, сертифицированные для передачи сведений, составляющих государственную тайну.

Дополнительные аспекты обмена информацией:

  1. Форматы и стандарты обмена:

  • Информация должна быть передана в стандартизированных форматах, определенных НКЦКИ, чтобы обеспечить совместимость и удобство обработки данных.
  • Вся передаваемая информация должна содержать необходимые метаданные для идентификации инцидента и его контекста.

  1. Отчетность и аудит:

  • Субъекты КИИ обязаны вести учет всех переданных и полученных данных о компьютерных инцидентах.
  • НКЦКИ может проводить аудиты и проверки для контроля соблюдения регламентов обмена информацией.

  1. Безопасность передачи данных:

  • Все каналы передачи данных должны быть защищены в соответствии с современными требованиями информационной безопасности.
  • Для передачи особо чувствительной информации могут использоваться специальные защищенные каналы связи, например, виртуальные частные сети (VPN) или выделенные линии связи.

Приказ ФСБ №368 устанавливает четкие правила и процедуры для обмена информацией между субъектами КИИ и с международными организациями. Основной акцент делается на согласование действий с НКЦКИ и соблюдение законодательства РФ, особенно в части защиты государственной тайны. Это обеспечивает безопасность и целостность информации, а также координацию действий в области кибербезопасности на национальном и международном уровнях.

Приказ ФСБ №282 устанавливает детализированные требования по информированию Национального координационного центра по компьютерным инцидентам (НКЦКИ) и, в случае субъектов критической информационной инфраструктуры (КИИ), работающих в финансовой сфере, Банка России о компьютерных инцидентах, связанных с защитой объектов критической информационной инфраструктуры (ЗОКИИ). Этот приказ предписывает создание планов реагирования на инциденты и принятие мер по ликвидации последствий атак. Ниже представлено подробное описание ключевых аспектов Приказа ФСБ №282.

1. Информирование НКЦКИ и Банка России:

  • Сроки информирования:
  • ЗОКИИ: Субъекты КИИ обязаны информировать НКЦКИ о компьютерных инцидентах, связанных с ЗОКИИ, в течение не более 3 часов с момента их обнаружения.
  • Финансовая сфера: Если субъект КИИ относится к финансовой сфере, информация также должна быть направлена в Банк России в установленные сроки.
  • Содержание информации:
  • Общие сведения: Дата, время, место обнаружения инцидента, а также информация о затронутом объекте (ЗОКИИ).
  • Технические детали: Описание природы инцидента, потенциальных уязвимостей, тип атаки, использованные методы и средства.
  • Последствия: Оценка ущерба, воздействия на операции и функциональность ЗОКИИ.
  • Меры реагирования: Перечень предпринятых действий для устранения инцидента и предотвращения его повторения.

2. Разработка планов реагирования на инциденты:

  • Цель: План реагирования направлен на обеспечение оперативного и эффективного реагирования на компьютерные инциденты и минимизацию их последствий.
  • Содержание плана:
  • Процедуры реагирования: Четкие инструкции по действиям в случае обнаружения инцидента, включая уведомление ответственных лиц, активацию необходимых ресурсов и технологий.
  • Команды реагирования: Определение состава команд, ответственных за реагирование на инциденты, их роли и обязанности.
  • Коммуникационные протоколы: Процедуры уведомления НКЦКИ, других заинтересованных органов и, в случае необходимости, общественности.
  • Оценка инцидента: Методы оценки масштаба и воздействия инцидента, а также критерии для принятия решений о дальнейших действиях.
  • Документирование и отчеты: Правила для ведения записей о ходе реагирования, а также требования по составлению отчетов.
  • Обновление и тестирование:
  • Регулярное обновление: Планы реагирования должны регулярно пересматриваться и обновляться в соответствии с изменяющимися угрозами и уязвимостями.
  • Тестирование: Периодическое проведение учений и тестирований для проверки эффективности плана реагирования и подготовки персонала.

3. Принятие мер по ликвидации последствий атак:

  • Меры ликвидации:
  • Устранение угроз: Принятие мер по устранению выявленных уязвимостей и восстановлению работоспособности затронутых систем.
  • Восстановление работы: Восстановление нормального функционирования объектов КИИ, пострадавших от инцидента.
  • Мониторинг: Установление контроля за системами для предотвращения повторных атак и дальнейших инцидентов.
  • Документирование мер:
  • Отчеты о мерах: Составление отчетов о предпринятых мерах по ликвидации последствий инцидента и их результатах.
  • Анализ эффективности: Оценка эффективности предпринятых мер и внесение предложений по улучшению процедур реагирования.

4. Взаимодействие с НКЦКИ и Банк России:

  • Обмен информацией:
  • Форматы и каналы: Использование утвержденных форматов и каналов связи для передачи информации о инцидентах.
  • Координация действий: Согласование действий с НКЦКИ и Банком России для обеспечения координации и поддержки в процессе реагирования на инцидент.
  • Анализ и рекомендации:
  • Получение рекомендаций: Получение рекомендаций от НКЦКИ по улучшению мер реагирования и предотвращению будущих инцидентов.
  • Интеграция лучших практик: Внедрение лучших практик и рекомендаций в процедуры и планы реагирования.

Приказ ФСБ №282 устанавливает строгие требования по информированию НКЦКИ и Банка России о компьютерных инцидентах, связанных с ЗОКИИ, а также требует разработки и регулярного обновления планов реагирования и принятия мер по ликвидации последствий атак. Эти меры предназначены на повышение уровня безопасности объектов критической информационной инфраструктуры и улучшение координации действий в случае киберинцидентов. Поскольку данные объекты являются значимыми, документ предписывает разработку планов реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак.

Данный план должен содержать:

- технические характеристики и состав ЗОКИИ;

- события (условия), при наступлении которых начинается реализация предусмотренных планом мероприятий;

- мероприятия, проводимые в ходе реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, а также время, отводимое на их реализацию;

- описание состава подразделений и должностных лиц субъекта КИИ, ответственных за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий.

Далее разработанный план необходимо согласовать с ФСБ России или Банком России (в случае если субъект КИИ осуществляет деятельность в финансовой сфере). С целью отработки мероприятий плана документ предписывает субъекту КИИ проводить не реже одного раза в год тренировки. По результатам тренировок в план могут вноситься изменения, при необходимости.