SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282

Взаимодействие субъектов критической информационной инфраструктуры с ГосСОПКА в рамках 187-ФЗ. Приказы ФСБ России № 366, 367, 368 и 282
16.03.2020

|   Слушать на Mave  |   Слушать на Яндекс Музыке  | 


Руслан Рахметов, Security Vision

С целью обеспечения безопасности критической информационной инфраструктуры России Федеральный закон № 187 предусматривает создание специального территориального распределенного комплекса - государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее ГосСОПКА). В данной публикации мы подробно рассмотрим вопросы отправки инцидентов в ГосСОПКА и обмена информацией о компьютерных инцидентах, связанных с объектами критической информационной инфраструктуры (далее ОКИИ).


ГосСОПКА, в сущности, является агрегатором информации о компьютерных инцидентах и угрозах безопасности информационных активов субъектов КИИ, что в свою очередь позволяет осуществлять проактивное реагирование и предпринимать меры по оперативному предотвращению ущерба ОКИИ РФ. Для обеспечения координации деятельности субъектов КИИ по вопросам взаимодействия Приказом ФСБ России №366 от 24 июля 2018 года был создан Национальный координационный центр по компьютерным инцидентам (далее НКЦКИ). Таким образом, НКЦКИ является подразделением ФСБ России и составной частью ГосСОПКА.


Согласно Приказу ФСБ России № 366, НКЦКИ осуществляет следующие основные функции:

- Координирует и учувствует в мероприятиях по реагированию;

- Организует и осуществляет обмен информацией о компьютерных инцидентах между субъектами КИИ;

- Обеспечивает методическое сопровождение по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также реагирования на компьютерные инциденты;

- Непосредственно участвует в процессах обнаружения, предупреждения и ликвидации последствий компьютерных атак;

- Обеспечивает своевременное информирование субъектов КИИ об угрозах и методах их обнаружения и предупреждения;

- Осуществляет сбор, хранение и анализ информации о компьютерных инцидентах и атаках;

- Обеспечивает функционирование, осуществляет эксплуатацию и развитие собственной технической инфраструктуры.


Кроме того, для выполнения своих задач и функций НКЦКИ имеет право:

- Направлять уведомления и запросы субъектам КИИ, а также иным организациям, по вопросам, связанным с обнаружением, предупреждением и ликвидацией последствий компьютерных атак, и реагированием на компьютерные инциденты;

- Отказывать в предоставлении информации об инцидентах, связанных с функционированием ОКИИ, по запросам органов иностранных (или международных) организаций;

- Создавать рабочие группы из представителей субъектов КИИ;

- Привлекать к реагированию на компьютерные инциденты организации и экспертов.


Далее рассмотрим приказ ФСБ №367, который описывает на верхнем уровне перечень, порядок и взаимодействие с ГосСОПКА. В перечень данных, которые необходимо предоставлять в ГосСОПКА, входят:

1. Сведения из реестра ЗОКИИ (предоставляет ФСТЭК России);

2. Информация об отсутствии необходимости присвоения ОКИИ категории значимости (предоставляет ФСТЭК России);

3. Информация об исключении ОКИИ из реестра ЗОКИИ или об изменении категории значимости (предоставляет ФСТЭК России);

4. Информация по итогам проведения государственного контроля в области обеспечения безопасности ЗОКИИ (предоставляет ФСТЭК России);

5. Информация о компьютерных инцидентах, связанных с функционированием ОКИИ (предоставляет субъект КИИ);

6. Иная информация в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (может предоставляться как субъектами КИИ, так и иными организациями).


Таким образом, субъект КИИ в обязательном порядке должен предоставлять информацию, указанную в пункте 5, а именно информацию о компьютерных инцидентах, в следующем составе:

- дата, время, место нахождения ОКИИ;

- наличие причинно-следственной связи между компьютерным инцидентом и атакой;

- связь с другими компьютерными инцидентами (при её наличии);

- состав технических параметров компьютерного инцидента;

- последствия компьютерного инцидента. 


Данная информация должна быть направлена субъектом КИИ не позднее 24-х часов с момента обнаружения компьютерного инцидента, связанного с ОКИИ. А в случае, если инцидент связан с ЗОКИИ, срок информирования должен составлять не позднее 3-х часов с момента обнаружения (согласно Приказу ФСБ России № 282). Кроме того, субъектам КИИ необходимо осуществлять информирование НКЦКИ и Банка России (в случае если субъект КИИ осуществляет деятельность в финансовой сфере) о результатах мероприятий по реагированию и принятию мер по ликвидации последствий компьютерных атак на ЗОКИИ в срок не позднее 48-ми часов после завершения таких мероприятий. 


Передачу информации о компьютерных инцидентах в НКЦКИ субъекты КИИ и организации могут осуществлять посредством:

1) почты, e-mail, факса или телефона, указанных на официальном сайте (http://cert.gov.ru);

2) интеграции с технической инфраструктурой НКЦКИ.


Каналы передачи, указанные в первом пункте, являются традиционными и не требуют детального рассмотрения. А передачу информации посредством интеграции с технической инфраструктурой НКЦКИ рассмотрим немного подробнее. Данный пункт предусматривает передачу информации в определенном формате и предъявляются специальные требования к защите канала связи посредством организации VPN туннеля с инфраструктурой НКЦКИ. 


Предусмотрено три варианта организация соединения с НКЦКИ:

1. Необходимо иметь лицензию на ПО ViPNet Client с классом защиты КС3 в существующую сеть ViPNet с номером 10976. Установить ПО ViPNet Client, после этого направить запрос на электронный почтовый ящик gov-cert@gov-cert.ru , в котором указать информацию для подготовки файла с настройками.

2. Необходимо иметь лицензию на ПО или ПАК VipNet Coordinator с классом защиты КС3 в существующую сеть ViPNet с номером 10976. Установить ViPNet Coordinator, после этого направить запрос на электронные почтовые ящики gov-cert@gov-cert.ru и rea@gov-cert.ru, в котором указать информацию для подготовки файла с настройками для ViPNet Coordinator. Важно отметить, что, только используя этот вариант подключения, будет возможность организовать взаимодействие с использованием средств автоматизации (API).

3. Посредством использования уже действующей (собственной) сети ViPNet. Необходимо направить запрос на электронные почтовые ящики gov-cert@gov-cert.ru и rea@gov-cert.ru, в котором указать информацию для подготовки файла с межсетевой информацией.


Подробный состав технических параметров компьютерного инцидента, указываемых при отправке инцидента в ГосСОПКА, и форматы представления информации о компьютерных инцидентах был опубликован НКЦКИ 09.12.2019 года. Изучить данную информацию можно по ссылке: https://safe-surf.ru/specialists/article/5252/638030/. Особое внимание субъектам КИИ стоит обратить на то, что в сообщение должны быть включены общие сведения о контролируемом информационном ресурсе (ОКИИ), на котором выявлен компьютерный инцидент (признак инцидента), направлена компьютерная атака или выявлена уязвимость (признак уязвимости), а также о владельце данного информационного ресурса (субъекте КИИ).


В общем случае, по согласованию с ФСБ России, для субъектов КИИ предусмотрена возможность организовать взаимодействие с НКЦКИ не только напрямую, но и через различные отраслевые и корпоративные центры ГосСОПКА. При этом все участники обязаны соблюдать предписанный унифицированный формат предоставления данных.


 

кии.png


 

Приказ ФСБ №368 описывает регламенты обмена информации между другими субъектами КИИ и обмена информацией с уполномоченными органами иностранных государств, международными и иностранными организациями. Здесь субъекту КИИ важно учитывать, что в случае осуществления информационного обмена с иностранной (международной) организацией ему необходимо согласовать данные действия с НКЦКИ. Кроме того, если передаваемые в рамках обмена информацией о компьютерных инцидентах сведения составляют государственную тайну, обмен осуществляется в соответствии с требованиями законодательства РФ в области защиты государственной тайны.


Приказ ФСБ №282 более детально описывает порядок информирования НКЦКИ и Банка России (в случае если субъект КИИ осуществляет деятельность в финансовой сфере) о компьютерных инцидентах в отношении ЗОКИИ. Поскольку данные объекты являются значимыми, документ предписывает разработку планов реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак. 


Данный план должен содержать:

- технические характеристики и состав ЗОКИИ;

- события (условия), при наступлении которых начинается реализация предусмотренных планом мероприятий;

- мероприятия, проводимые в ходе реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, а также время, отводимое на их реализацию;

- описание состава подразделений и должностных лиц субъекта КИИ, ответственных за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий.


Далее разработанный план необходимо согласовать с ФСБ России или Банком России (в случае если субъект КИИ осуществляет деятельность в финансовой сфере). С целью отработки мероприятий плана документ предписывает субъекту КИИ проводить не реже одного раза в год тренировки. По результатам тренировок при необходимости в план могут вноситься изменения.

ГосСОПКА КИИ Подкасты ИБ ГОСТы и документы ИБ Стандарты ИБ НКЦКИ

Рекомендуем

Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Процессы ИТ и ИБ
Процессы ИТ и ИБ

Рекомендуем

Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Процессы ИТ и ИБ
Процессы ИТ и ИБ

Похожие статьи

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы

Похожие статьи

Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Интернет вещей и его применение
Интернет вещей и его применение
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Да кто такие эти ваши агенты, или как следить за большим закрытым контуром
Возможности Security Vision Compliance Management
Возможности Security Vision Compliance Management
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы