SOT

Security Orchestration Tools

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Модуль взаимодействия с НКЦКИ на платформе Security Vision

Модуль взаимодействия с НКЦКИ на платформе Security Vision

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision


В начале осени вступает в силу Федеральный закон от 14.07.2022 № 266-ФЗ, направленный на усиление защиты персональных данных граждан. Закон существенно повышает ответственность операторов ПДн и вменяет им ряд новых обязанностей, в том числе - информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн, а также обеспечение взаимодействия с ГосСОПКА.


Обязательным уже несколько лет является взаимодействие с ГосСОПКА и для субъектов критической информационной инфраструктуры. 


Обмен информацией между организациями и ГосСОПКА может осуществляться путем их подключения к технической инфраструктуре НКЦКИ или посредством почтовой, факсимильной или электронной связи. Очевидно, что более предпочтительным является первый вариант. Использование средств автоматизации для обмена информацией с ГосСОПКА и своевременное информирование об инцидентах ИБ, а также получение бюллетеней безопасности дают возможность как выполнять регуляторные требования, так и модернизировать сам процесс работы с угрозами информационной безопасности.


Модуль взаимодействия с НКЦКИ платформы Security Vision 5 является надежным средством решения данной задачи. Он разработан с учетом регламентов НКЦКИ и позволяет осуществлять оперативный двусторонний обмен информацией об инцидентах и угрозах ИБ.


1 ГОССОПКА И НКЦКИ

ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, созданная в целях предотвращения и устранения последствий компьютерных атак на критическую информационную инфраструктуру Российской Федерации. ГосСОПКА представляет собой иерархически взаимодействующие государственные и коммерческие центры, которые непрерывно делятся информацией о зафиксированных инцидентах и способах противодействия им. Ключевыми задачами ГосСОПКА являются прогнозирование ситуаций в области обеспечения информационной безопасности, обеспечение взаимодействия владельцев ИТ-ресурсов при решении задач, связанных с обнаружением и ликвидацией компьютерных атак, с операторами связи и другими организациями, осуществляющими деятельность по защите информации. В список задач системы также входит оценка степени защищенности критической ИТ-инфраструктуры от компьютерных атак и установление причин таких инцидентов.


Главным звеном в иерархии ГосСОПКА и «единым окном» для взаимодействия организаций с ГосСОПКА при возникновении инцидентов является Национальный координационный центр по компьютерным инцидентам (НКЦКИ), за работу которого отвечает ФСБ России. НКЦКИ осуществляет следующие основные функции:

- Координирует и учувствует в мероприятиях по реагированию
- Организует и осуществляет обмен информацией о компьютерных инцидентах между субъектами КИИ
- Обеспечивает методическое сопровождение по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также реагирования на компьютерные инциденты
- Непосредственно участвует в процессах обнаружения, предупреждения и ликвидации последствий компьютерных атак
- Обеспечивает своевременное информирование субъектов КИИ об угрозах и методах их обнаружения и предупреждения
- Осуществляет сбор, хранение и анализ информации о компьютерных инцидентах и атаках
- Обеспечивает функционирование, осуществляет эксплуатацию и развитие собственной технической инфраструктуры.


Взаимодействие с ГосСОПКА регламентировано рядом нормативно-правовых актов, таких как:
- Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ
- Приказ ФСТЭК России от 21 декабря 2017 г. N 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»
- Приказ ФСТЭК России от 25.12.2017 N 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
- Приказ ФСБ России от 24 июля 2018 г. N 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»
- Приказ ФСБ России от 19 июня 2019 г. № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации»


Согласно 266-ФЗ, к 01.09.2022 операторы ПДн будут обязаны обеспечивать взаимодействие с ГосСОПКА в порядке, определенном ФСБ России, а также информировать ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн; указанная информация затем передается ФСБ России в Роскомнадзор. 

Кроме того, оператор ПДн с момента выявления инцидента в области ПДн, т.е. факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, должен направить уведомление в Роскомнадзор:
- в течение 24 часов - о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента;
- в течение 72 часов - о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента.

Согласно 266-ФЗ, с 01.03.2023 Роскомнадзор будет вести реестр учета инцидентов в области ПДн, определять порядок и условия взаимодействия с Операторами ПДн в рамках ведения указанного реестра, а также передавать информацию в ФСБ России.

Не менее актуален обмен информацией с ГосСОПКА для субъектов КИИ – критической информационной структуры. Критическая информационная инфраструктура (сокращенно - КИИ) - это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ, а также сети электросвязи, используемые для организации их взаимодействия. В свою очередь, субъекты КИИ - это компании, работающие в стратегически важных для государства областях, таких как здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, а также организации, обеспечивающие взаимодействие систем или сетей КИИ. ГосСОПКА, в сущности, является агрегатором информации о компьютерных инцидентах и угрозах безопасности информационных активов субъектов КИИ, что в свою очередь позволяет осуществлять проактивное реагирование и предпринимать меры по оперативному предотвращению ущерба объектов КИИ РФ.  

Таким образом, взаимодействие с ГосСОПКА является обязательным для множества органов государственной власти и частных компаний.


2 Модуль взаимодействия с НКЦКИ

Ниже мы подробнее остановимся на основных возможностях, предоставляемых модулем взаимодействия с НКЦКИ на платформе Security Vision 5, и технических аспектах их реализации.  


2.1 Получение уведомлений

Уведомления об угрозах и уязвимостях (рис. 1 и 2) получаются с портала НКЦКИ автоматически по настраиваемым расписаниям (рис. 3).


Рисунок 1 – Полученное уведомление об угрозах


Рисунок 2 – Полученное уведомление об уязвимости


Рисунок 3 – Настройки расписания получения уведомления об угрозах безопасности


2.2 Отправка уведомлений

Отправка уведомлений об инцидентах, атаках и уязвимостях с платформы Security Vision совершается через отдельные сущности под названием «Отправка в НКЦКИ» – внешний вид ее карточки представлен на рисунках 4-6.


Рисунок 4 – Вкладка основных сведений сформированного для отправки уведомления о компьютерном инциденте


Рисунок 5 – Вкладка общих сведений о контролируемом ресурсе


Рисунок 6 – Вкладка сведений о местоположении контролируемого ресурса


В зависимости от выбранных категории и типа события ИБ карточка предлагает для заполнения соответствующие наборы дополнительных полей во вкладках технических и основных сведений (рис. 7).


Рисунок 7 – Дополнительно поля для заполнения во вкладке технических сведений для компьютерного инцидента заражения ВПО


В карточке «Отправка в НКЦКИ» также реализована возможность получения и отправки комментариев по соответствующим уведомлениям. Пример представлен на рисунке 8.


Рисунок 8 – Вкладка с комментариями в карточке отправленного уведомления о компьютерной атаке


Также доступна вкладка «История», отражающая все изменения данных в карточке за время ее существования в системе (рис. 9).

Рисунок 9 – Вкладка «История»

Подкасты ИБ ГосСОПКА КИИ Стандарты, ГОСТы и документы ИБ НКЦКИ Защита персональных данных Организационные меры в ИБ Отчеты ИБ Дашборды ИБ Бюллетени безопасности

Похожие статьи

Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Deep Packet Inspection (DPI) - что это такое?
Deep Packet Inspection (DPI) - что это такое?
Сертификация и безопасная разработка: простым языком
Сертификация и безопасная разработка: простым языком
Спам – что это такое, каким бывает и есть ли в нем польза
Спам – что это такое, каким бывает и есть ли в нем польза
Математическое моделирование рисков: шаманство или кибернетика?
Математическое моделирование рисков: шаманство или кибернетика?
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Интернет вещей и безопасность
Интернет вещей и безопасность
Геймификация и управление персоналом
Геймификация и управление персоналом

Похожие статьи

Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Deep Packet Inspection (DPI) - что это такое?
Deep Packet Inspection (DPI) - что это такое?
Сертификация и безопасная разработка: простым языком
Сертификация и безопасная разработка: простым языком
Спам – что это такое, каким бывает и есть ли в нем польза
Спам – что это такое, каким бывает и есть ли в нем польза
Математическое моделирование рисков: шаманство или кибернетика?
Математическое моделирование рисков: шаманство или кибернетика?
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Возможности обновленных продуктов Security Vision SOAR и NG SOAR
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Security Vision NG SGRC, или Новые горизонты автоматизации процессов
Какими навыками должен овладеть специалист SOC
Какими навыками должен овладеть специалист SOC
Безопасность использования облачных хранилищ
Безопасность использования облачных хранилищ
Интернет вещей и безопасность
Интернет вещей и безопасность
Геймификация и управление персоналом
Геймификация и управление персоналом