| Слушать на Mave | Слушать на Яндекс Музыке |
Руслан Рахметов, Security Vision
С целью обеспечения безопасности критической информационной инфраструктуры России Федеральный закон № 187 предусматривает создание специального территориального распределенного комплекса - государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее ГосСОПКА). В данной публикации мы подробно рассмотрим вопросы отправки инцидентов в ГосСОПКА и обмена информацией о компьютерных инцидентах, связанных с объектами критической информационной инфраструктуры (далее ОКИИ).
ГосСОПКА, в сущности, является агрегатором информации о компьютерных инцидентах и угрозах безопасности информационных активов субъектов КИИ, что в свою очередь позволяет осуществлять проактивное реагирование и предпринимать меры по оперативному предотвращению ущерба ОКИИ РФ. Для обеспечения координации деятельности субъектов КИИ по вопросам взаимодействия Приказом ФСБ России №366 от 24 июля 2018 года был создан Национальный координационный центр по компьютерным инцидентам (далее НКЦКИ). Таким образом, НКЦКИ является подразделением ФСБ России и составной частью ГосСОПКА.
Согласно Приказу ФСБ России № 366, НКЦКИ осуществляет следующие основные функции:
- Координирует и учувствует в мероприятиях по реагированию;
- Организует и осуществляет обмен информацией о компьютерных инцидентах между субъектами КИИ;
- Обеспечивает методическое сопровождение по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также реагирования на компьютерные инциденты;
- Непосредственно участвует в процессах обнаружения, предупреждения и ликвидации последствий компьютерных атак;
- Обеспечивает своевременное информирование субъектов КИИ об угрозах и методах их обнаружения и предупреждения;
- Осуществляет сбор, хранение и анализ информации о компьютерных инцидентах и атаках;
- Обеспечивает функционирование, осуществляет эксплуатацию и развитие собственной технической инфраструктуры.
Кроме того, для выполнения своих задач и функций НКЦКИ имеет право:
- Направлять уведомления и запросы субъектам КИИ, а также иным организациям, по вопросам, связанным с обнаружением, предупреждением и ликвидацией последствий компьютерных атак, и реагированием на компьютерные инциденты;
- Отказывать в предоставлении информации об инцидентах, связанных с функционированием ОКИИ, по запросам органов иностранных (или международных) организаций;
- Создавать рабочие группы из представителей субъектов КИИ;
- Привлекать к реагированию на компьютерные инциденты организации и экспертов.
Далее рассмотрим приказ ФСБ №367, который описывает на верхнем уровне перечень, порядок и взаимодействие с ГосСОПКА. В перечень данных, которые необходимо предоставлять в ГосСОПКА, входят:
1. Сведения из реестра ЗОКИИ (предоставляет ФСТЭК России);
2. Информация об отсутствии необходимости присвоения ОКИИ категории значимости (предоставляет ФСТЭК России);
3. Информация об исключении ОКИИ из реестра ЗОКИИ или об изменении категории значимости (предоставляет ФСТЭК России);
4. Информация по итогам проведения государственного контроля в области обеспечения безопасности ЗОКИИ (предоставляет ФСТЭК России);
5. Информация о компьютерных инцидентах, связанных с функционированием ОКИИ (предоставляет субъект КИИ);
6. Иная информация в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (может предоставляться как субъектами КИИ, так и иными организациями).
Таким образом, субъект КИИ в обязательном порядке должен предоставлять информацию, указанную в пункте 5, а именно информацию о компьютерных инцидентах, в следующем составе:
- дата, время, место нахождения ОКИИ;
- наличие причинно-следственной связи между компьютерным инцидентом и атакой;
- связь с другими компьютерными инцидентами (при её наличии);
- состав технических параметров компьютерного инцидента;
- последствия компьютерного инцидента.
Данная информация должна быть направлена субъектом КИИ не позднее 24-х часов с момента обнаружения компьютерного инцидента, связанного с ОКИИ. А в случае, если инцидент связан с ЗОКИИ, срок информирования должен составлять не позднее 3-х часов с момента обнаружения (согласно Приказу ФСБ России № 282). Кроме того, субъектам КИИ необходимо осуществлять информирование НКЦКИ и Банка России (в случае если субъект КИИ осуществляет деятельность в финансовой сфере) о результатах мероприятий по реагированию и принятию мер по ликвидации последствий компьютерных атак на ЗОКИИ в срок не позднее 48-ми часов после завершения таких мероприятий.
Передачу информации о компьютерных инцидентах в НКЦКИ субъекты КИИ и организации могут осуществлять посредством:
1) почты, e-mail, факса или телефона, указанных на официальном сайте (http://cert.gov.ru);
2) интеграции с технической инфраструктурой НКЦКИ.
Каналы передачи, указанные в первом пункте, являются традиционными и не требуют детального рассмотрения. А передачу информации посредством интеграции с технической инфраструктурой НКЦКИ рассмотрим немного подробнее. Данный пункт предусматривает передачу информации в определенном формате и предъявляются специальные требования к защите канала связи посредством организации VPN туннеля с инфраструктурой НКЦКИ.
Предусмотрено три варианта организация соединения с НКЦКИ:
1. Необходимо иметь лицензию на ПО ViPNet Client с классом защиты КС3 в существующую сеть ViPNet с номером 10976. Установить ПО ViPNet Client, после этого направить запрос на электронный почтовый ящик gov-cert@gov-cert.ru , в котором указать информацию для подготовки файла с настройками.
2. Необходимо иметь лицензию на ПО или ПАК VipNet Coordinator с классом защиты КС3 в существующую сеть ViPNet с номером 10976. Установить ViPNet Coordinator, после этого направить запрос на электронные почтовые ящики gov-cert@gov-cert.ru и rea@gov-cert.ru, в котором указать информацию для подготовки файла с настройками для ViPNet Coordinator. Важно отметить, что, только используя этот вариант подключения, будет возможность организовать взаимодействие с использованием средств автоматизации (API).
3. Посредством использования уже действующей (собственной) сети ViPNet. Необходимо направить запрос на электронные почтовые ящики gov-cert@gov-cert.ru и rea@gov-cert.ru, в котором указать информацию для подготовки файла с межсетевой информацией.
Подробный состав технических параметров компьютерного инцидента, указываемых при отправке инцидента в ГосСОПКА, и форматы представления информации о компьютерных инцидентах был опубликован НКЦКИ 09.12.2019 года. Изучить данную информацию можно по ссылке: https://safe-surf.ru/specialists/article/5252/638030/. Особое внимание субъектам КИИ стоит обратить на то, что в сообщение должны быть включены общие сведения о контролируемом информационном ресурсе (ОКИИ), на котором выявлен компьютерный инцидент (признак инцидента), направлена компьютерная атака или выявлена уязвимость (признак уязвимости), а также о владельце данного информационного ресурса (субъекте КИИ).
В общем случае, по согласованию с ФСБ России, для субъектов КИИ предусмотрена возможность организовать взаимодействие с НКЦКИ не только напрямую, но и через различные отраслевые и корпоративные центры ГосСОПКА. При этом все участники обязаны соблюдать предписанный унифицированный формат предоставления данных.
Приказ ФСБ №368 описывает регламенты обмена информации между другими субъектами КИИ и обмена информацией с уполномоченными органами иностранных государств, международными и иностранными организациями. Здесь субъекту КИИ важно учитывать, что в случае осуществления информационного обмена с иностранной (международной) организацией ему необходимо согласовать данные действия с НКЦКИ. Кроме того, если передаваемые в рамках обмена информацией о компьютерных инцидентах сведения составляют государственную тайну, обмен осуществляется в соответствии с требованиями законодательства РФ в области защиты государственной тайны.
Приказ ФСБ №282 более детально описывает порядок информирования НКЦКИ и Банка России (в случае если субъект КИИ осуществляет деятельность в финансовой сфере) о компьютерных инцидентах в отношении ЗОКИИ. Поскольку данные объекты являются значимыми, документ предписывает разработку планов реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак.
Данный план должен содержать:
- технические характеристики и состав ЗОКИИ;
- события (условия), при наступлении которых начинается реализация предусмотренных планом мероприятий;
- мероприятия, проводимые в ходе реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, а также время, отводимое на их реализацию;
- описание состава подразделений и должностных лиц субъекта КИИ, ответственных за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий.
Далее разработанный план необходимо согласовать с ФСБ России или Банком России (в случае если субъект КИИ осуществляет деятельность в финансовой сфере). С целью отработки мероприятий плана документ предписывает субъекту КИИ проводить не реже одного раза в год тренировки. По результатам тренировок при необходимости в план могут вноситься изменения.
