Модуль взаимодействия с НКЦКИ на платформе Security Vision

Руслан Рахметов, Security Vision

В начале осени вступает в силу Федеральный закон от 14.07.2022 № 266-ФЗ, направленный на усиление защиты персональных данных граждан. Закон существенно повышает ответственность операторов ПДн и вменяет им ряд новых обязанностей, в том числе - информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн, а также обеспечение взаимодействия с ГосСОПКА.

Обязательным уже несколько лет является взаимодействие с ГосСОПКА и для субъектов критической информационной инфраструктуры. 

Обмен информацией между организациями и ГосСОПКА может осуществляться путем их подключения к технической инфраструктуре НКЦКИ или посредством почтовой, факсимильной или электронной связи. Очевидно, что более предпочтительным является первый вариант. Использование средств автоматизации для обмена информацией с ГосСОПКА и своевременное информирование об инцидентах ИБ, а также получение бюллетеней безопасности дают возможность как выполнять регуляторные требования, так и модернизировать сам процесс работы с угрозами информационной безопасности.

Модуль взаимодействия с НКЦКИ платформы Security Vision 5 является надежным средством решения данной задачи. Он разработан с учетом регламентов НКЦКИ и позволяет осуществлять оперативный двусторонний обмен информацией об инцидентах и угрозах ИБ.

1 ГОССОПКА И НКЦКИ

ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, созданная в целях предотвращения и устранения последствий компьютерных атак на критическую информационную инфраструктуру Российской Федерации. ГосСОПКА представляет собой иерархически взаимодействующие государственные и коммерческие центры, которые непрерывно делятся информацией о зафиксированных инцидентах и способах противодействия им. Ключевыми задачами ГосСОПКА являются прогнозирование ситуаций в области обеспечения информационной безопасности, обеспечение взаимодействия владельцев ИТ-ресурсов при решении задач, связанных с обнаружением и ликвидацией компьютерных атак, с операторами связи и другими организациями, осуществляющими деятельность по защите информации. В список задач системы также входит оценка степени защищенности критической ИТ-инфраструктуры от компьютерных атак и установление причин таких инцидентов.

Главным звеном в иерархии ГосСОПКА и «единым окном» для взаимодействия организаций с ГосСОПКА при возникновении инцидентов является Национальный координационный центр по компьютерным инцидентам (НКЦКИ), за работу которого отвечает ФСБ России. НКЦКИ осуществляет следующие основные функции:

- Координирует и учувствует в мероприятиях по реагированию
- Организует и осуществляет обмен информацией о компьютерных инцидентах между субъектами КИИ
- Обеспечивает методическое сопровождение по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также реагирования на компьютерные инциденты
- Непосредственно участвует в процессах обнаружения, предупреждения и ликвидации последствий компьютерных атак
- Обеспечивает своевременное информирование субъектов КИИ об угрозах и методах их обнаружения и предупреждения
- Осуществляет сбор, хранение и анализ информации о компьютерных инцидентах и атаках
- Обеспечивает функционирование, осуществляет эксплуатацию и развитие собственной технической инфраструктуры.

Взаимодействие с ГосСОПКА регламентировано рядом нормативно-правовых актов, таких как:
- Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ
- Приказ ФСТЭК России от 21 декабря 2017 г. N 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»
- Приказ ФСТЭК России от 25.12.2017 N 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
- Приказ ФСБ России от 24 июля 2018 г. N 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»
- Приказ ФСБ России от 19 июня 2019 г. № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации»

Согласно 266-ФЗ, к 01.09.2022 операторы ПДн будут обязаны обеспечивать взаимодействие с ГосСОПКА в порядке, определенном ФСБ России, а также информировать ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн; указанная информация затем передается ФСБ России в Роскомнадзор. 

Кроме того, оператор ПДн с момента выявления инцидента в области ПДн, т.е. факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, должен направить уведомление в Роскомнадзор:
- в течение 24 часов - о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента;
- в течение 72 часов - о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента.

Согласно 266-ФЗ, с 01.03.2023 Роскомнадзор будет вести реестр учета инцидентов в области ПДн, определять порядок и условия взаимодействия с Операторами ПДн в рамках ведения указанного реестра, а также передавать информацию в ФСБ России.

Не менее актуален обмен информацией с ГосСОПКА для субъектов КИИ – критической информационной структуры. Критическая информационная инфраструктура (сокращенно - КИИ) - это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ, а также сети электросвязи, используемые для организации их взаимодействия. В свою очередь, субъекты КИИ - это компании, работающие в стратегически важных для государства областях, таких как здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, а также организации, обеспечивающие взаимодействие систем или сетей КИИ. ГосСОПКА, в сущности, является агрегатором информации о компьютерных инцидентах и угрозах безопасности информационных активов субъектов КИИ, что в свою очередь позволяет осуществлять проактивное реагирование и предпринимать меры по оперативному предотвращению ущерба объектов КИИ РФ.  

Таким образом, взаимодействие с ГосСОПКА является обязательным для множества органов государственной власти и частных компаний.

2 Модуль взаимодействия с НКЦКИ

Ниже мы подробнее остановимся на основных возможностях, предоставляемых модулем взаимодействия с НКЦКИ на платформе Security Vision 5, и технических аспектах их реализации.  

2.1 Получение уведомлений

Уведомления об угрозах и уязвимостях (рис. 1 и 2) получаются с портала НКЦКИ автоматически по настраиваемым расписаниям (рис. 3).

Рисунок 1 – Полученное уведомление об угрозах

Рисунок 2 – Полученное уведомление об уязвимости

Рисунок 3 – Настройки расписания получения уведомления об угрозах безопасности

2.2 Отправка уведомлений

Отправка уведомлений об инцидентах, атаках и уязвимостях с платформы Security Vision совершается через отдельные сущности под названием «Отправка в НКЦКИ» – внешний вид ее карточки представлен на рисунках 4-6.

Рисунок 4 – Вкладка основных сведений сформированного для отправки уведомления о компьютерном инциденте

Рисунок 5 – Вкладка общих сведений о контролируемом ресурсе

Рисунок 6 – Вкладка сведений о местоположении контролируемого ресурса

В зависимости от выбранных категории и типа события ИБ карточка предлагает для заполнения соответствующие наборы дополнительных полей во вкладках технических и основных сведений (рис. 7).

Рисунок 7 – Дополнительно поля для заполнения во вкладке технических сведений для компьютерного инцидента заражения ВПО

В карточке «Отправка в НКЦКИ» также реализована возможность получения и отправки комментариев по соответствующим уведомлениям. Пример представлен на рисунке 8.

Рисунок 8 – Вкладка с комментариями в карточке отправленного уведомления о компьютерной атаке

Также доступна вкладка «История», отражающая все изменения данных в карточке за время ее существования в системе (рис. 9).

Рисунок 9 – Вкладка «История»