SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Модуль взаимодействия с НКЦКИ на платформе Security Vision

Модуль взаимодействия с НКЦКИ на платформе Security Vision
30.08.2022

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Руслан Рахметов, Security Vision


В начале осени вступает в силу Федеральный закон от 14.07.2022 № 266-ФЗ, направленный на усиление защиты персональных данных граждан. Закон существенно повышает ответственность операторов ПДн и вменяет им ряд новых обязанностей, в том числе - информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн, а также обеспечение взаимодействия с ГосСОПКА.


Обязательным уже несколько лет является взаимодействие с ГосСОПКА и для субъектов критической информационной инфраструктуры. 


Обмен информацией между организациями и ГосСОПКА может осуществляться путем их подключения к технической инфраструктуре НКЦКИ или посредством почтовой, факсимильной или электронной связи. Очевидно, что более предпочтительным является первый вариант. Использование средств автоматизации для обмена информацией с ГосСОПКА и своевременное информирование об инцидентах ИБ, а также получение бюллетеней безопасности дают возможность как выполнять регуляторные требования, так и модернизировать сам процесс работы с угрозами информационной безопасности.


Модуль взаимодействия с НКЦКИ платформы Security Vision 5 является надежным средством решения данной задачи. Он разработан с учетом регламентов НКЦКИ и позволяет осуществлять оперативный двусторонний обмен информацией об инцидентах и угрозах ИБ.


1 ГОССОПКА И НКЦКИ

ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, созданная в целях предотвращения и устранения последствий компьютерных атак на критическую информационную инфраструктуру Российской Федерации. ГосСОПКА представляет собой иерархически взаимодействующие государственные и коммерческие центры, которые непрерывно делятся информацией о зафиксированных инцидентах и способах противодействия им. Ключевыми задачами ГосСОПКА являются прогнозирование ситуаций в области обеспечения информационной безопасности, обеспечение взаимодействия владельцев ИТ-ресурсов при решении задач, связанных с обнаружением и ликвидацией компьютерных атак, с операторами связи и другими организациями, осуществляющими деятельность по защите информации. В список задач системы также входит оценка степени защищенности критической ИТ-инфраструктуры от компьютерных атак и установление причин таких инцидентов.


Главным звеном в иерархии ГосСОПКА и «единым окном» для взаимодействия организаций с ГосСОПКА при возникновении инцидентов является Национальный координационный центр по компьютерным инцидентам (НКЦКИ), за работу которого отвечает ФСБ России. НКЦКИ осуществляет следующие основные функции:

- Координирует и учувствует в мероприятиях по реагированию
- Организует и осуществляет обмен информацией о компьютерных инцидентах между субъектами КИИ
- Обеспечивает методическое сопровождение по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также реагирования на компьютерные инциденты
- Непосредственно участвует в процессах обнаружения, предупреждения и ликвидации последствий компьютерных атак
- Обеспечивает своевременное информирование субъектов КИИ об угрозах и методах их обнаружения и предупреждения
- Осуществляет сбор, хранение и анализ информации о компьютерных инцидентах и атаках
- Обеспечивает функционирование, осуществляет эксплуатацию и развитие собственной технической инфраструктуры.


Взаимодействие с ГосСОПКА регламентировано рядом нормативно-правовых актов, таких как:
- Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ
- Приказ ФСТЭК России от 21 декабря 2017 г. N 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»
- Приказ ФСТЭК России от 25.12.2017 N 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
- Приказ ФСБ России от 24 июля 2018 г. N 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»
- Приказ ФСБ России от 19 июня 2019 г. № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации»


Согласно 266-ФЗ, к 01.09.2022 операторы ПДн будут обязаны обеспечивать взаимодействие с ГосСОПКА в порядке, определенном ФСБ России, а также информировать ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн; указанная информация затем передается ФСБ России в Роскомнадзор. 

Кроме того, оператор ПДн с момента выявления инцидента в области ПДн, т.е. факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, должен направить уведомление в Роскомнадзор:
- в течение 24 часов - о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента;
- в течение 72 часов - о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента.

Согласно 266-ФЗ, с 01.03.2023 Роскомнадзор будет вести реестр учета инцидентов в области ПДн, определять порядок и условия взаимодействия с Операторами ПДн в рамках ведения указанного реестра, а также передавать информацию в ФСБ России.

Не менее актуален обмен информацией с ГосСОПКА для субъектов КИИ – критической информационной структуры. Критическая информационная инфраструктура (сокращенно - КИИ) - это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ, а также сети электросвязи, используемые для организации их взаимодействия. В свою очередь, субъекты КИИ - это компании, работающие в стратегически важных для государства областях, таких как здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, а также организации, обеспечивающие взаимодействие систем или сетей КИИ. ГосСОПКА, в сущности, является агрегатором информации о компьютерных инцидентах и угрозах безопасности информационных активов субъектов КИИ, что в свою очередь позволяет осуществлять проактивное реагирование и предпринимать меры по оперативному предотвращению ущерба объектов КИИ РФ.  

Таким образом, взаимодействие с ГосСОПКА является обязательным для множества органов государственной власти и частных компаний.


2 Модуль взаимодействия с НКЦКИ

Ниже мы подробнее остановимся на основных возможностях, предоставляемых модулем взаимодействия с НКЦКИ на платформе Security Vision 5, и технических аспектах их реализации.  


2.1 Получение уведомлений

Уведомления об угрозах и уязвимостях (рис. 1 и 2) получаются с портала НКЦКИ автоматически по настраиваемым расписаниям (рис. 3).


Рисунок 1 – Полученное уведомление об угрозах


Рисунок 2 – Полученное уведомление об уязвимости


Рисунок 3 – Настройки расписания получения уведомления об угрозах безопасности


2.2 Отправка уведомлений

Отправка уведомлений об инцидентах, атаках и уязвимостях с платформы Security Vision совершается через отдельные сущности под названием «Отправка в НКЦКИ» – внешний вид ее карточки представлен на рисунках 4-6.


Рисунок 4 – Вкладка основных сведений сформированного для отправки уведомления о компьютерном инциденте


Рисунок 5 – Вкладка общих сведений о контролируемом ресурсе


Рисунок 6 – Вкладка сведений о местоположении контролируемого ресурса


В зависимости от выбранных категории и типа события ИБ карточка предлагает для заполнения соответствующие наборы дополнительных полей во вкладках технических и основных сведений (рис. 7).


Рисунок 7 – Дополнительно поля для заполнения во вкладке технических сведений для компьютерного инцидента заражения ВПО


В карточке «Отправка в НКЦКИ» также реализована возможность получения и отправки комментариев по соответствующим уведомлениям. Пример представлен на рисунке 8.


Рисунок 8 – Вкладка с комментариями в карточке отправленного уведомления о компьютерной атаке


Также доступна вкладка «История», отражающая все изменения данных в карточке за время ее существования в системе (рис. 9).

Рисунок 9 – Вкладка «История»

Подкасты ИБ ГосСОПКА КИИ ГОСТы и документы ИБ НКЦКИ Защита персональных данных (ИСПДН) Оргмеры ИБ Отчеты ИБ Дашборды ИБ

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Обеспечение безопасности значимых объектов критической информационной инфраструктуры в рамках 187-ФЗ. Приказы ФСТЭК России №235 и 239
Защита критической информационной инфраструктуры (конспект лекции)
Защита критической информационной инфраструктуры (конспект лекции)
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0
Обзор новых возможностей платформы управления процессами информационной безопасности Security Vision 5.0

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют

Похожие статьи

Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Что такое системы анализа трафика (Network Traffic Analysis, NTA), их отличие от NDR и IDS
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Что такое аутентификация Kerberos (Керберос), что такое NTLM и как они работают
Open software supply chain attack reference (OSC&R)
Open software supply chain attack reference (OSC&R)
Применение утилиты Sysmon для повышения уровня кибербезопасности
Применение утилиты Sysmon для повышения уровня кибербезопасности
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Что такое шлюзы безопасности и какие функции они выполняют
Что такое шлюзы безопасности и какие функции они выполняют