SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание

Нормативные документы по ИБ. Часть 10. Обзор российского законодательства в области защиты критической информационной инфраструктуры - окончание
16.08.2019

|  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |


Руслан Рахметов, Security Vision


В предыдущих публикациях мы осветили основные положения защиты КИИ, рассмотрели работу системы ГосСОПКА и принципы защиты АСУТП, описали требования по обеспечению безопасности значимых объектов КИИ. В этой публикации мы продолжим говорить о безопасности критической информационной инфраструктуры, а именно рассмотрим другие, не менее важные документы по вопросу защиты КИИ, а также поговорим об ответственности за нарушение законодательных требований в данной области и обсудим решения Security Vision, которые помогут обеспечить соответствие нормам безопасности КИИ.


Итак, кроме рассмотренных ранее нормативных актов (187-ФЗ, ПП-127, Приказы ФСТЭК России №31 и №239), в настоящий момент безопасность объектов критической информационной инфраструктуры законодательно регулируют следующие документы:

1. Указ Президента Российской Федерации от 15.01.2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», послуживший отправной точкой создания ГосСОПКА и НКЦКИ.


2. Указ Президента Российской Федерации от 22.12.2017 г. № 620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации», определивший круг задач, решаемых ГосСОПКА, и наделивший ФСБ РФ новыми полномочиями в части защиты КИИ.


3. Концепция Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (утверждена Президентом РФ 12.12.2014 № К 1274), в которой были определены назначения, функции и принципы создания ГосСОПКА, описана структура Центров ГосСОПКА и функции НКЦКИ.


4. Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 03.02.2012 г. № 79 в части перечня работ и услуг по мониторингу информационной безопасности средств и систем мониторинга.


5. Постановление Правительства Российской Федерации от 17.02.2018 № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации» регламентирует осуществление контроля над субъектами КИИ со стороны ФСТЭК России путем осуществления плановых и внеплановых выездных проверок выполнения требований 187-ФЗ и подзаконных НПА, при этом внеплановая проверка может проводится по факту возникновения компьютерного инцидента на значимом объекте критической информационной инфраструктуры, повлекшего негативные последствия. Указано, что сотрудники органа государственного контроля при проведении проверок могут пользоваться сертифицированными программными и программно-аппаратными средствами контроля. В целом, нормы данного Постановления напоминают регламент проведения проверок Роскомнадзором.


6. Приказ ФСТЭК России от 06.12.2017 г. № 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации».


7. Приказ ФСТЭК России от 21.12.2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» перечисляет требования к структурным подразделениям, ответственным за обеспечение безопасности значимых объектов КИИ, к программным и программно-аппаратным средствам защиты КИИ, к организационно-распорядительной документации и к функционированию самой системы безопасности значимых объектов КИИ.


8. Приказ ФСТЭК России от 22.12.2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».


9. Приказ ФСТЭК России от 11.12.2017 г. № 229 «Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».


10. Приказ ФСБ РФ от 24.07.2018 г. № 366 «О Национальном координационном центре по компьютерным инцидентам» содержит основные цели, задачи и права НКЦКИ.


11. Приказ ФСБ РФ от 24.07.2018 г. № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» регламентирует объем передаваемой в ГосСОПКА информации, в том числе касающейся произошедших компьютерных инцидентов. Данный приказ говорит о том, что информация по произошедшему инциденту (дата, время, технические подробности и последствия инцидента и его связь с другими инцидентами, месторасположение объекта КИИ, наличие связи между выявленной атакой и инцидентом) должна быть передана субъектом КИИ в систему ГосСОПКА в срок не позднее 24 часов с момента обнаружения компьютерного инцидента.


12. Приказ ФСБ РФ от 24.07.2018 г. № 368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения». Данный документ регламентирует порядок обмена информацией об инцидентах (в объеме, соответствующему нормам Приказа №367), при этом обмен информацией с международными компаниями и организациями (например, с CERT'ами) идет через НКЦКИ, а субъекты КИИ могут также взаимодействовать между собой напрямую. Можно упрощенно говорить, что таким образом в масштабах страны реализован механизм обмена индикаторами компрометации (англ. Indicators Of Compromise, IOCs), а также информацией о средствах и способах проведения атак и методах их предупреждения и обнаружения (Tactics, Techniques and Procedures, TTPs).


13. Приказ ФСБ РФ от 06.05.2019 № 196 «Об утверждении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты» описывает требования к функционалу (включая реализацию функций безопасности, визуализации, построения сводных отчетов и хранения информации) средств обнаружения, предупреждения, ликвидации последствий и поиска признаков компьютерных атак на объектах КИИ.


14. Приказ ФСБ РФ от 19.06.2019 № 281 «Об утверждении Порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, за исключением средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации» регламентирует взаимодействие субъектов КИИ и ФСБ РФ в части установки «сенсоров» ГосСОПКА на объектах КИИ, при этом субъект КИИ обязан обеспечить функционирование средств ГосСОПКА в непрерывном и бесперебойном режиме.


15. Приказ ФСБ РФ от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации» обязывает субъектов КИИ информировать ФСБ РФ, отсылая уведомления НКЦКИ об инцидентах (посредством ГосСОПКА или альтернативными способами) обо всех компьютерных инцидентах на объекте КИИ в зоне ответственности субъекта. Кроме того, если субъект подчиняется нормам ЦБ РФ, то информация об инцидентах направляется также и в ФинЦЕРТ. При этом заданы достаточно жесткие временные рамки: информация об инциденте на значимом объекте КИИ должна быть передана в течение 3 часов с момента обнаружения, а на незначимом - в течение 24 часов. Кроме того, результаты мероприятий по реагированию на инциденты требуется передать в течение 48 часов после завершения этих мероприятий. Данный документ не лишен новаций: так, в п.10 говорится о необходимости не реже одного раза в год проводить тренировки (киберучения) по отработке мероприятий плана реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак.


Помимо вышеперечисленных, ФСБ РФ также выпустила ряд других документов, регламентирующих обеспечение информационной безопасности критических информационных инфраструктур, которые, однако, в настоящий момент недоступны для свободного ознакомления:

  • Методические рекомендации ФСБ РФ по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

  • Методические рекомендации ФСБ РФ по обнаружению компьютерных атак на информационные ресурсы Российской Федерации.

  • Методические рекомендации ФСБ РФ по установлению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации.

  • Методические рекомендации НКЦКИ ФСБ РФ по проведению мероприятий по оценке степени защищенности от компьютерных атак.

  • Требования к подразделениям и должностным лицам субъектов ГосСОПКА.

  • Регламент взаимодействия подразделений ФСБ РФ и субъектов ГосСОПКА при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак. Ответственность за неправомерное воздействие на КИИ РФ предусмотрена статьей 274.1 Уголовного Кодекса. Данная статья была введена Федеральным Законом № 194 от 26.07.2017 г. и действует с 01.01.2018 г. В соответствии с данной статьей уголовно наказуемы:

    • создание, распространение и использование программ для неправомерного воздействия на КИИ;

    • неправомерный доступ к информации в КИИ с последовавшим причинением вреда КИИ;

    • нарушение правил эксплуатации средств хранения, обработки, передачи информации в КИИ или правил доступа к информации в КИИ с последовавшим причинением вреда КИИ;

    • указанные выше действия, совершенные группой лиц по предварительному сговору, или в составе организованной группы, или с использованием служебного положения;

    • указанные выше действия, если они повлекли тяжкие последствия (т.е. причинен ущерб на сумму более 1 миллиона рублей); при этом наступает ответственность в виде лишения свободы на срок до десяти лет, что автоматически переводит данное деяние в разряд тяжких преступлений со сроком давности до 10 лет.


Следует иметь ввиду, что действие данной статьи распространяется как на значимые, так и на незначимые объекты КИИ. Размер причиненного вреда является оценочным признаком и определяется судом. Расследует данные преступления  следственное управление ФСБ РФ, а мерой пресечения на период следствия является помещение под арест в СИЗО. Стоит также отметить, что «прародитель» данной статьи - статья 274 - в настоящий момент имеет достаточно ограниченное применение в силу нечеткости формулировок и отсылочного характера, так что количество уголовных дел по ней исчисляется единицами (а до 2013 года их не было вообще), при этом публично известная правоприменительная практика по новой статье 274.1 на данный момент отсутствует.


Поговорим далее о решениях Security Vision, которые помогут обеспечить соответствие нормам обеспечения безопасности КИИ.


Продукт Security Vision КИИ предназначен для выполнения требований нормативных актов по защите КИИ. Он, в частности, помогает осуществлять:


  • проведение процессов категорирования объектов КИИ;

  • формирование частных моделей угроз, отчетности и сведений;

  • проведение контрольных мероприятий по реализации и адаптации мер обеспечения защиты объектов КИИ;

  • взаимодействие с НКЦКИ (ГосСОПКА) через API: отправку сведений о контролируемых информационных ресурсах, о компьютерных инцидентах, получение уведомлений об угрозах или признаках компьютерных инцидентов.


Продукт Security Operation Center [SOC] позволяет осуществить построение ситуационного центра информационной безопасности (SOC) в масштабе организации или страны, при этом соблюдая нормы регламента взаимодействия НКЦКИ и субъектов ГосСОПКА при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак.


Решение Incident Response Platform [IRP] – программный продукт для автоматизации действий по реагированию на инциденты кибер-безопасности. Комплектация предназначена для построения полноценной системы управления информационной безопасностью и реагирования на инциденты в организации. Управление и автоматизация процессов позволяют выстроить как реактивную, так и проактивную защиту, а также существенно сократить время реагирования на инциденты ИБ путем выполнения заранее заданных шагов по сдерживанию или устранению быстроразвивающихся угроз и уменьшить объем ручного труда сотрудников Центров ГосСОПКА.


Немаловажно также и то, что платформа Security Vision является полностью отечественной разработкой и включена в Единый реестр российских программ для электронных вычислительных машин и баз данных, что в текущих реалиях особо важно и позволяет использовать данное решение в задачах государственной важности, таких как обнаружение, предупреждение и ликвидация последствий компьютерных атак на информационные ресурсы Российской Федерации.


Список требований 187-ФЗ и подзаконных НПА

Список продуктов Security Vision, закрывающих указанные нормативные требования 187-ФЗ и подзаконных НПА

Проведение категорирования объектов КИИ: ПП-127, Приказ ФСТЭК №236

Продукт Security Vision КИИ

Разработка частных моделей угроз: п.11,11.1,11.2 Приказа ФСТЭК №239

Продукт Security Vision КИИ

Проведение контрольных мероприятий по реализации и адаптации мер обеспечения защиты объектов КИИ: п. 13,13.1,13.2,13.3,13.4,13.5,13.6,13.7,13.8 Приказа ФСТЭК №239

Продукт Security Vision КИИ

Реагирование на компьютерные инциденты: п.3 187-ФЗ, п.10 Приказа ФСТЭК №235, п.XII Приложения к Приказу ФСТЭК №239

Продукт Incident Response Platform [IRP]

Отправка информации о компьютерных инцидентах субъектами КИИ в ГосСОПКА: Приказ ФСБ №367, п.2,4 Приказа ФСБ №368, п.3 Приказа ФСБ №282

Продукт Security Vision КИИ

Продукт Security Operation Center [SOC]: Модуль интеграции с ГосСОПКА

Отправка информации о компьютерных инцидентах субъектами КИИ в ФинЦЕРТ: п.5 Приказа ФСБ №282

Продукт Security Operation Center [SOC]: Модуль взаимодействия с FinCERT

 

SIEM Финцерт ГосСОПКА Угрозы ИБ КИИ Управление ИБ Подкасты ИБ ГОСТы и документы ИБ НКЦКИ IRP SOAR SOC

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)

Похожие статьи

Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса

Похожие статьи

Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса