SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282

Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
16.03.2020

  |  Слушать на Apple Podcasts  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |   Слушать на Castbox  |   Слушать на Podcast Addict  |   Слушать на Pocket cast  |  


Руслан Рахметов, Security Vision

С целью обеспечения безопасности критической информационной инфраструктуры России Федеральный закон № 187 предусматривает создание специального территориального распределенного комплекса - государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее ГосСОПКА). В данной публикации мы подробно рассмотрим вопросы отправки инцидентов в ГосСОПКА и обмена информацией о компьютерных инцидентах, связанных с объектами критической информационной инфраструктуры (далее ОКИИ).


ГосСОПКА, в сущности, является агрегатором информации о компьютерных инцидентах и угрозах безопасности информационных активов субъектов КИИ, что в свою очередь позволяет осуществлять проактивное реагирование и предпринимать меры по оперативному предотвращению ущерба ОКИИ РФ. Для обеспечения координации деятельности субъектов КИИ по вопросам взаимодействия Приказом ФСБ России №366 от 24 июля 2018 года был создан Национальный координационный центр по компьютерным инцидентам (далее НКЦКИ). Таким образом, НКЦКИ является подразделением ФСБ России и составной частью ГосСОПКА.


Согласно Приказу ФСБ России № 366, НКЦКИ осуществляет следующие основные функции:

- Координирует и учувствует в мероприятиях по реагированию;

- Организует и осуществляет обмен информацией о компьютерных инцидентах между субъектами КИИ;

- Обеспечивает методическое сопровождение по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также реагирования на компьютерные инциденты;

- Непосредственно участвует в процессах обнаружения, предупреждения и ликвидации последствий компьютерных атак;

- Обеспечивает своевременное информирование субъектов КИИ об угрозах и методах их обнаружения и предупреждения;

- Осуществляет сбор, хранение и анализ информации о компьютерных инцидентах и атаках;

- Обеспечивает функционирование, осуществляет эксплуатацию и развитие собственной технической инфраструктуры.


Кроме того, для выполнения своих задач и функций НКЦКИ имеет право:

- Направлять уведомления и запросы субъектам КИИ, а также иным организациям, по вопросам, связанным с обнаружением, предупреждением и ликвидацией последствий компьютерных атак, и реагированием на компьютерные инциденты;

- Отказывать в предоставлении информации об инцидентах, связанных с функционированием ОКИИ, по запросам органов иностранных (или международных) организаций;

- Создавать рабочие группы из представителей субъектов КИИ;

- Привлекать к реагированию на компьютерные инциденты организации и экспертов.


Далее рассмотрим приказ ФСБ №367, который описывает на верхнем уровне перечень, порядок и взаимодействие с ГосСОПКА. В перечень данных, которые необходимо предоставлять в ГосСОПКА, входят:

1. Сведения из реестра ЗОКИИ (предоставляет ФСТЭК России);

2. Информация об отсутствии необходимости присвоения ОКИИ категории значимости (предоставляет ФСТЭК России);

3. Информация об исключении ОКИИ из реестра ЗОКИИ или об изменении категории значимости (предоставляет ФСТЭК России);

4. Информация по итогам проведения государственного контроля в области обеспечения безопасности ЗОКИИ (предоставляет ФСТЭК России);

5. Информация о компьютерных инцидентах, связанных с функционированием ОКИИ (предоставляет субъект КИИ);

6. Иная информация в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (может предоставляться как субъектами КИИ, так и иными организациями).


Таким образом, субъект КИИ в обязательном порядке должен предоставлять информацию, указанную в пункте 5, а именно информацию о компьютерных инцидентах, в следующем составе:

- дата, время, место нахождения ОКИИ;

- наличие причинно-следственной связи между компьютерным инцидентом и атакой;

- связь с другими компьютерными инцидентами (при её наличии);

- состав технических параметров компьютерного инцидента;

- последствия компьютерного инцидента. 


Данная информация должна быть направлена субъектом КИИ не позднее 24-х часов с момента обнаружения компьютерного инцидента, связанного с ОКИИ. А в случае, если инцидент связан с ЗОКИИ, срок информирования должен составлять не позднее 3-х часов с момента обнаружения (согласно Приказу ФСБ России № 282). Кроме того, субъектам КИИ необходимо осуществлять информирование НКЦКИ и Банка России (в случае если субъект КИИ осуществляет деятельность в финансовой сфере) о результатах мероприятий по реагированию и принятию мер по ликвидации последствий компьютерных атак на ЗОКИИ в срок не позднее 48-ми часов после завершения таких мероприятий. 


Передачу информации о компьютерных инцидентах в НКЦКИ субъекты КИИ и организации могут осуществлять посредством:

1) почты, e-mail, факса или телефона, указанных на официальном сайте (http://cert.gov.ru);

2) интеграции с технической инфраструктурой НКЦКИ.


Каналы передачи, указанные в первом пункте, являются традиционными и не требуют детального рассмотрения. А передачу информации посредством интеграции с технической инфраструктурой НКЦКИ рассмотрим немного подробнее. Данный пункт предусматривает передачу информации в определенном формате и предъявляются специальные требования к защите канала связи посредством организации VPN туннеля с инфраструктурой НКЦКИ. 


Предусмотрено три варианта организация соединения с НКЦКИ:

1. Необходимо иметь лицензию на ПО ViPNet Client с классом защиты КС3 в существующую сеть ViPNet с номером 10976. Установить ПО ViPNet Client, после этого направить запрос на электронный почтовый ящик gov-cert@gov-cert.ru , в котором указать информацию для подготовки файла с настройками.

2. Необходимо иметь лицензию на ПО или ПАК VipNet Coordinator с классом защиты КС3 в существующую сеть ViPNet с номером 10976. Установить ViPNet Coordinator, после этого направить запрос на электронные почтовые ящики gov-cert@gov-cert.ru и rea@gov-cert.ru, в котором указать информацию для подготовки файла с настройками для ViPNet Coordinator. Важно отметить, что, только используя этот вариант подключения, будет возможность организовать взаимодействие с использованием средств автоматизации (API).

3. Посредством использования уже действующей (собственной) сети ViPNet. Необходимо направить запрос на электронные почтовые ящики gov-cert@gov-cert.ru и rea@gov-cert.ru, в котором указать информацию для подготовки файла с межсетевой информацией.


Подробный состав технических параметров компьютерного инцидента, указываемых при отправке инцидента в ГосСОПКА, и форматы представления информации о компьютерных инцидентах был опубликован НКЦКИ 09.12.2019 года. Изучить данную информацию можно по ссылке: https://safe-surf.ru/specialists/article/5252/638030/. Особое внимание субъектам КИИ стоит обратить на то, что в сообщение должны быть включены общие сведения о контролируемом информационном ресурсе (ОКИИ), на котором выявлен компьютерный инцидент (признак инцидента), направлена компьютерная атака или выявлена уязвимость (признак уязвимости), а также о владельце данного информационного ресурса (субъекте КИИ).


В общем случае, по согласованию с ФСБ России, для субъектов КИИ предусмотрена возможность организовать взаимодействие с НКЦКИ не только напрямую, но и через различные отраслевые и корпоративные центры ГосСОПКА. При этом все участники обязаны соблюдать предписанный унифицированный формат предоставления данных.


 

кии.png


 

Приказ ФСБ №368 описывает регламенты обмена информации между другими субъектами КИИ и обмена информацией с уполномоченными органами иностранных государств, международными и иностранными организациями. Здесь субъекту КИИ важно учитывать, что в случае осуществления информационного обмена с иностранной (международной) организацией ему необходимо согласовать данные действия с НКЦКИ. Кроме того, если передаваемые в рамках обмена информацией о компьютерных инцидентах сведения составляют государственную тайну, обмен осуществляется в соответствии с требованиями законодательства РФ в области защиты государственной тайны.


Приказ ФСБ №282 более детально описывает порядок информирования НКЦКИ и Банка России (в случае если субъект КИИ осуществляет деятельность в финансовой сфере) о компьютерных инцидентах в отношении ЗОКИИ. Поскольку данные объекты являются значимыми, документ предписывает разработку планов реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак. 


Данный план должен содержать:

- технические характеристики и состав ЗОКИИ;

- события (условия), при наступлении которых начинается реализация предусмотренных планом мероприятий;

- мероприятия, проводимые в ходе реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, а также время, отводимое на их реализацию;

- описание состава подразделений и должностных лиц субъекта КИИ, ответственных за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий.


Далее разработанный план необходимо согласовать с ФСБ России или Банком России (в случае если субъект КИИ осуществляет деятельность в финансовой сфере). С целью отработки мероприятий плана документ предписывает субъекту КИИ проводить не реже одного раза в год тренировки. По результатам тренировок при необходимости в план могут вноситься изменения.

ГосСОПКА КИИ Подкасты ИБ ГОСТы и документы ИБ Стандарты ИБ НКЦКИ

Рекомендуем

Безопасность переводов и оплаты товаров через СБП. Часть 1
Безопасность переводов и оплаты товаров через СБП. Часть 1
Тренды информационной безопасности. Часть 1
Тренды информационной безопасности. Часть 1
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор Security Vision 3.4 — российской платформы SGRC
Обзор Security Vision 3.4 — российской платформы SGRC
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Управление и обслуживание ИТ сервисов
Управление и обслуживание ИТ сервисов
Импортозамещение
Импортозамещение
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Кибербезопасность, киберустойчивость, киберучения – что это?
Кибербезопасность, киберустойчивость, киберучения – что это?
Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37
Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры

Рекомендуем

Безопасность переводов и оплаты товаров через СБП. Часть 1
Безопасность переводов и оплаты товаров через СБП. Часть 1
Тренды информационной безопасности. Часть 1
Тренды информационной безопасности. Часть 1
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор публикации NIST SP 800-207 "Zero Trust Architecture"
Обзор Security Vision 3.4 — российской платформы SGRC
Обзор Security Vision 3.4 — российской платформы SGRC
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Обзор публикации NIST SP 800-83 "Guide to Malware Incident Prevention and Handling for Desktops and Laptops"
Управление и обслуживание ИТ сервисов
Управление и обслуживание ИТ сервисов
Импортозамещение
Импортозамещение
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Краткий обзор специальных публикаций NIST по информационной безопасности. Часть 2
Кибербезопасность, киберустойчивость, киберучения – что это?
Кибербезопасность, киберустойчивость, киберучения – что это?
Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37
Управление рисками информационной безопасности. Часть 3. Стандарт NIST SP 800-37
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Обзор публикации NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges"
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры
Нормативные документы по ИБ. Часть 8. Обзор российского законодательства в области защиты критической информационной инфраструктуры

Похожие статьи

Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика
Обзор средств информационной безопасности: пользователи и данные
Обзор средств информационной безопасности: пользователи и данные
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Топливно-энергетическая отрасль
Топливно-энергетическая отрасль
Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы
SSDL: Dev vs Sec
SSDL: Dev vs Sec
Метрики: их очарование и коварство
Метрики: их очарование и коварство

Похожие статьи

Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Основы риск- и бизнес-ориентированной информационной безопасности. Часть 3. Основные понятия и парадигма - продолжение
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
«Фишки» Security Vision: отчеты и аналитика
«Фишки» Security Vision: отчеты и аналитика
Обзор средств информационной безопасности: пользователи и данные
Обзор средств информационной безопасности: пользователи и данные
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Модуль взаимодействия с НКЦКИ на платформе Security Vision
Топливно-энергетическая отрасль
Топливно-энергетическая отрасль
Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы
SSDL: Dev vs Sec
SSDL: Dev vs Sec
Метрики: их очарование и коварство
Метрики: их очарование и коварство