Обзоры

Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. Государственная система обнаружения,предупреждения и ликвидации последствийкомпьютерных атакгоссопка Система предупреждения компьютерных атак

Последние годы вопросам информационной безопасности на уровне государства уделяется очень много внимания, проводится целый комплекс мероприятий по усилению цифровых рубежей. Одним из важнейших шагов в этом направлении стало принятие федерального закона № 187 «О безопасности критической информационной инфраструктуры Российской Федерации» и запуск глобальной системы по борьбе с компьютерными атаками - Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА).

Закон о безопасности критической информационной инфраструктуры (далее - КИИ) предписывает ключевым организациям, к которым относятся органы государственной власти, государственные учреждения и ключевые предприятия основных отраслей экономики Российской Федерации, обеспечить безопасность своих информационных систем, сетей связи и технологических систем. В списке затронутых сфер экономики оказались: энергетика, в том числе атомная, транспорт, связь, наука, здравоохранение, банковский и финансовый секторы, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность .

Инциденты безопасности на ключевых предприятиях страны могут иметь серьезные последствия масштаба города и даже целого региона, и не важно, что станет их причиной - целенаправленные хакерские атаки или случайные ошибки персонала. Для предотвращения возможных инцидентов и выполнения требований государства организации должны создать систему безопасности КИИ, обеспечить ее функционирование и подключиться к системе ГосСОПКА.

ГосСОПКА - это глобальная система сбора и обмена информацией о компьютерных атаках на территории Российской Федерации, за ее создание отвечает 8-ой центр Федеральной службы безопасности Российской Федерации (далее – ФСБ РФ). Основная цель - предотвращать и противодействовать атакам, в первую очередь внешним, за счет непрерывного мониторинга инцидентов ИБ и своевременной выработки мер. Для достижения этой цели создается сеть корпоративных и ведомственных центров ГосСОПКА, которая должна охватить все ключевые компании. В органах государственной власти строятся ведомственные центры, в государственных корпорациях - корпоративные центры. Многие крупные интеграторы и производители решений информационной безопасности начали создавать коммерческие корпоративные центры ГосСОПКА и готовы на договорной основе оказывать полный комплекс услуг по мониторингу, реагированию и т.д. организациям, которые не планируют создавать собственный центр. При подключении к ГосСОПКА организации принимают на себя обязательства по незамедлительной отправке сообщений в случае обнаружения компьютерных атак и по реагированию в случае получения информации о возможной атаке. Обнаружив атаку, центр ГосСОПКА должен передать информацию в главный центр, который в свою очередь передаст эту информацию другим центрам уже с рекомендациями по противодействию. Такой подход существенно повышает степень готовности и, как следствие, уровень защищенности организаций.

Нормативно-методологическая база, необходимая для создания центров ГосСОПКА, все еще разрабатывается, и на данный момент больше вопросов, чем ответов. Но главный центр ГосСОПКА на базе 8-го центра ФСБ РФ уже создан и функционирует, а многие организации начали строить необходимую инфраструктуру.

В ближайшее время будут выпущены разрабатываемые ФСБ РФ «Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». Данные методические рекомендации определяют основной перечень функций, мер и решений по созданию центров ГосСОПКА. В документ еще могут вноситься правки, но уже можно говорить об общей концепции. Известно, что система ГосСОПКА будет иметь древовидную иерархическую структуру, где центральным узлом является главный центр ГосСОПКА на базе 8-го центра ФСБ РФ, а ведомственные и корпоративные центры находятся в подчиненном положении. Взаимодействие между центрами осуществляется по вертикали. При этом ведомственные и корпоративные центры могут объединяться, также образовывая иерархическую структуру с головным центром ГосСОПКА во главе. Структура системы ГосСОПКА показана на рисунке 1.

Рисунок 1 . Иерархическая структура ГосСОПКА

На центры ГосСОПКА возлагаются две основные задачи. Первая - обеспечение безопасности своих информационных ресурсов, в том числе осуществление контроля защищенности, обнаружение атаки, постоянное улучшение применяемых мер по защите. Вторая - своевременный обмен информацией о компьютерных атаках с головным центром (в случае подчинения головному центру) или с главным центром ГосСОПКА. Для реализации этих задач в рамках корпоративных и ведомственных центров должны быть построены полноценные центры управления инцидентами ИБ SOC (Security Operation Center), со всей необходимой технической и процессной базой.

Для эффективного функционирования системы ГосСОПКА корпоративные и ведомственные центры должны обеспечивать выполнение ряда функций, которые определены в разрабатываемых ФСБ РФ методических рекомендациях:

проводить регулярную инвентаризацию информационных ресурсов с целью контроля всех изменений;
систематически проводить комплекс мероприятий по выявлению уязвимостей, которые могут быть использованы злоумышленниками, в том числе осуществлять сканирование, внутренние и внешние пентесты, анализировать настройки и т.д. Далее вырабатывать меры по устранению и, основное, контролировать выполнение этих мер, чтобы избежать ситуации, как с нашумевшими шифровальщиками WannaCry и Petya, когда даже после выпуска обновлений, необходимых для закрытия уязвимостей, жертвами вирусов стали десятки компаний, так как эти обновления не были своевременно установлены;
на основе результатов инвентаризации и выявленных уязвимостей выполнять анализ актуальных угроз и возможных атак и разрабатывать меры по противодействию;
постоянно повышать квалификацию специалистов, участвующих в процессах обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также повышать осведомленность сотрудников, чтобы предотвратить атаки социальной инженерии. Кто предупрежден, тот вооружен. Никогда не будет лишним напомнить сотрудникам, что нельзя переходить по ссылкам в письмах от неизвестных отправителей и куда нужно обращаться, если все же открыли, и что-то пошло не так;
должен быть выстроен процесс приема сообщений об инцидентах от сотрудников. Особое внимание нужно уделять сообщениям, которые носят массовый характер;
для обнаружения атак различной направленности центры ГосСОПКА должны обеспечить централизованный сбор событий ИБ с ИТ- и ИБ-инфраструктуры, осуществлять анализ этих событий и корреляцию;
в случае выявления атаки должно осуществляться оперативное противодействие путем координации ресурсов и непосредственного применения контрмер;
необходимо проводить расследования подтвердившихся инцидентов, анализировать причины и последствия. Очень важно понять, почему этот инцидент в принципе стал возможен, как отработала команда, как улучшить меры защиты, сделать выводы о реализованных мерах ИБ и работе специалистов;
ну и в завершение, центры ГосСОПКА должны осуществлять регулярное плановое взаимодействие с головным или главным центром по вопросам инвентаризации, выявления уязвимостей и т.д. и, самое важное, оперативно уведомлять в случае обнаружения атак и оперативно реагировать в случае получения информации о возможных атаках.

Для реализации всех этих функций необходим целый комплекс технических средств:

средства взаимодействия с персоналом. Если в компании уже есть call-центр и ServiсeDesk, можно использовать их как базу, а также стандартные способы коммуникации: телефон, почта, web-форма;
средства автоматизированного взаимодействия с главным центром ГосСОПКА. Для решения этой задачи некоторые российские производители уже разработали специализированное программное обеспечение, своего рода порталы. Они позволяют осуществлять двустороннее взаимодействие в части приема и передачи информации об активах, инцидентах, атаках и угрозах, автоматически заполнять карточки инцидента по форме регулятора;
система сбора, анализа и корреляции событий информационной безопасности (SIEM), позволяющая организовать единую точку сбора информации о подозрительных событиях и инцидентах ИБ;
сканеры уязвимости, необходимые для оценки защищенности информационных систем, что позволяет коррелировать события ИБ с данными о реальных уязвимостях ИТ-инфраструктуры;
средства защиты, позволяющие обнаруживать компьютерные атаки на уровне сети, на уровне приложений и т.д., передавать информацию о событиях ИБ в SIEM для корреляции, предотвращать и активно противодействовать атакам. В качестве базового набора таких средств мы видим решения IDS/IPS, системы WAF, межсетевые экраны, антивирусное ПО, средства защиты от DDoS;
также для генерации событий ИБ на информационных ресурсах (ОС, сетевом оборудовании, серверах приложений, web-сервисах и БД) необходимо настроить штатные механизмы аудита.

Особых требований к техническим средствам пока не предъявляется, за исключением ПО, необходимого для непосредственного взаимодействия с головными и главным центрами ГосСОПКА - оно должно быть в реестре отечественного ПО. С выходом нормативной документации скорее всего ситуация изменится, и появятся дополнительные условия. Состав технических средств для каждой организации определяется индивидуально, в рамках работ по проектированию, учитывается специфика информационной инфраструктуры на предприятии, уже имеющиеся средства защиты и процессы обеспечения ИБ. Как правило, значительная часть технических решений, необходимая для создания корпоративных и ведомственных центров, уже есть в организациях.

И если со средствами защиты особых проблем нет, куда сложнее обстоит вопрос с необходимыми кадровыми ресурсами. Реализация процессов, внедрение и эксплуатация технических средств требуют команды опытных и квалифицированных специалистов. Нужны специалисты по взаимодействию с пользователями, операторы мониторинга, группа реагирования на инциденты, специалисты по обслуживанию технических средств (администраторы средств защиты, администраторы SIEM), специалисты по оценке защищенности (по пентестам, по сканированию), аналитики ИБ для разработки сценариев выявления инцидентов, технические эксперты, юристы и т.д. По большей части под задачи ГосСОПКА требуются узкопрофильные специалисты, найти которых на рынке непросто, поэтому кадровая проблема становится основной проблемой при построении центров ГосСОПКА.

Создание ведомственных и корпоративных центров ГосСОПКА требует тщательного подхода, необходима серьезная проработка процессного обеспечения, серьезная проработка технического обеспечения и экспертная команда специалистов. Нужно провести обследование инфраструктуры, определить необходимые технические средства, архитектуру, требования к настройкам, сценарии выявления инцидентов. Далее внедрить и настроить необходимые средства защиты, разработать организационно-распорядительную документацию, включая порядок реагирования, порядок обработки и расследования инцидентов ИБ, порядок взаимодействия с главным центром ГосСОПКА, и основное - обеспечить реализацию всех требуемых функций по обеспечению ИБ, мониторингу и реагированию, желательно в круглосуточном режиме. Фронт работы огромный, и организация, принявшая решение о подключении к ГосСОПКА, может выбрать следующие варианты:

1. Построить собственный центр ГосСОПКА на базе своих кадровых ресурсов. Такой подход требует огромных временных, ресурсных и финансовых затрат, зато позволит получить полный контроль над всеми процессами и существенно повысит роль организации в системе ГосСОПКА. Целесообразно для крупных ведомств и корпораций, которые планируют исполнять функции ГосСОПКА в отношении дочерних предприятий. В территориально распределенных компаниях при формировании команды рекомендуется привлекать региональных сотрудников - это позволит добиться существенной экономии, так как заработные платы в регионах ниже и за счет разницы часовых поясов можно получить большее временное покрытие.

2. Привлечь внешних специалистов под отдельные задачи. Не всегда имеет смысл пытаться объять необъятное. Так и при построении центра ГосСОПКА передача части задач на аутсорсинг может стать оптимальным решением проблем с кадрами и сроками реализации. Согласно методическим рекомендациям, возможность аутсорсинга отдельных функций предусмотрена и для ведомственных, и для корпоративных центров ГосСОПКА. Целесообразно передавать на аутсорсинг простые и ресурсоемкие задачи первой линии, например, мониторинг и обнаружение инцидентов, сопровождение средств защиты. Такие работы легко зафиксировать в договоре, разграничить зоны ответственности, согласовать SLA (Service Level Agreement), удобно контролировать их исполнение. Это позволит избавиться от рутины и существенно разгрузить собственный персонал. Также имеет смысл привлекать внешних специалистов для решения задач третьей линии, например, для аналитики и разработки сценариев обнаружения инцидентов, разработки политик для средств защиты. Эти экспертные задачи требуют узкопрофильных специалистов, которых, во-первых, сложно найти, а во-вторых, не всегда есть возможность обеспечить им fulltime-загрузку и содержать их в штате может быть экономически нецелесообразно. Для аутсорсинга отдельных задач, как правило, привлекают системных интеграторов и компании, оказывающие профессиональные сервисы ИБ.

3. Переложить все функции на головной ведомственный центр или коммерческий корпоративный центр. Актуально для организаций, которые должны подключиться к ГосСОПКА, но в силу отсутствия людей и компетенций не готовы строить собственную инфраструктуру. Такая схема взаимодействия будет распространена в крупных корпорациях, где практикуется централизованное управление ИБ ресурсами головной организации. В этом случае дочерние компании не строят свой SOC, а подключают свои информационные ресурсы к SOC головного центра, который на договорной основе может исполнять все необходимые функции по обеспечению безопасности, мониторингу, реагированию и обмену информацией. Аналогичная схема взаимодействия подразумевается при использовании услуг коммерческих корпоративных центров, которые будут строиться на базе интеграторов и производителей решений ИБ. На стороне компании останется только функция контроля и определенный объем работ по адаптации внутренних процессов ИБ к функционированию в рамках системы ГосСОПКА, выстраиванию процессов взаимодействия с головным центром, обеспечению готовности ИТ- и ИБ-специалистов принимать активное участие в расследовании и ликвидации последствий инцидентов.

Подключение к системе ГосСОПКА и построение корпоративных и ведомственных центров позволит значительно повысить уровень зрелости ИБ и реальную защищенность информационных ресурсов ключевых российских компаний. Создание такой системы должно стать стремительным скачком вперед в вопросах ИБ, многие организации сегодня только осваивают базовые меры безопасности, но уже с 1 января 2018 г., момент вступления в силу закона о безопасности КИИ, должны перейти к технологии SOC. И несмотря на то что процесс этот сложный, требующий много усилий, польза от таких мероприятий очевидна. И здесь в первую очередь важен результат: безопасность ключевых предприятий РФ. Формальный подход по закрытию навязанных требований применить не получится, так как в том числе и в УК РФ внесены поправки, устанавливающие серьезные наказания не только для атакующих (наказание до 10 лет лишения свободы за кибератаки), но и для лиц, ответственных за защиту КИИ (наказание до 6 лет лишения свободы за нарушений правил эксплуатации). Возможно, это жесткие меры, но цена инцидентов ИБ на ключевых предприятиях страны может быть слишком велика.

Список литературы:

О безопасности критической информационной инфраструктуры Российской Федерации: от 26.07.2017 N 187-ФЗ (последняя редакция) // Консультант Плюс. Законодательство. ВерсияПроф [Электронный ресурс] / АО «Консультант Плюс». – М., 2018.
Сюртукова Е. Восхождение на ГосСОПКА // Jet Info: ежемесячное деловое издание – 2017. – №7-8. URL: http://www.jetinfo.ru/author/ekaterina-syurtukova/voskhozhdenie-na-gossopka (дата обращения: 10.03.2018).
Уголовный кодекс Российской Федерации: от 13.06.1996 № 63-ФЗ (ред. от 19.02.2018) // Консультант Плюс. Законодательство. ВерсияПроф [Электронный ресурс] / АО «Консультант Плюс». – М., 2018.

УКАЗ

ПРЕЗИДЕНТА РОССИЙСКОЙ ФЕДЕРАЦИИ

О СОВЕРШЕНСТВОВАНИИ

ГОСУДАРСТВЕННОЙ СИСТЕМЫ ОБНАРУЖЕНИЯ, ПРЕДУПРЕЖДЕНИЯ

И ЛИКВИДАЦИИ ПОСЛЕДСТВИЙ КОМПЬЮТЕРНЫХ АТАК

НА ИНФОРМАЦИОННЫЕ РЕСУРСЫ РОССИЙСКОЙ ФЕДЕРАЦИИ

В целях совершенствования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и в соответствии со статьей 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" постановляю:

1. Возложить на Федеральную службу безопасности Российской Федерации функции федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации - информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, находящиеся на территории Российской Федерации, в дипломатических представительствах и консульских учреждениях Российской Федерации.

2. Установить, что задачами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации являются:

а) прогнозирование ситуации в области обеспечения информационной безопасности Российской Федерации;

б) обеспечение взаимодействия владельцев информационных ресурсов Российской Федерации, операторов связи, иных субъектов, осуществляющих лицензируемую деятельность в области защиты информации, при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;

в) осуществление контроля степени защищенности информационных ресурсов Российской Федерации от компьютерных атак;

г) установление причин компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации.

3. Установить, что Федеральная служба безопасности Российской Федерации:

а) обеспечивает и контролирует функционирование государственной системы, названной в пункте 1 настоящего Указа;

б) формирует и реализует в пределах своих полномочий государственную научно-техническую политику в области обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;

по обнаружению компьютерных атак на информационные ресурсы Российской Федерации;

по предупреждению и установлению причин компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации, а также по ликвидации последствий этих инцидентов.

4. Внести в пункт 9 Положения о Федеральной службе безопасности Российской Федерации, утвержденного Указом Президента Российской Федерации от 11 августа 2003 г. N 960 "Вопросы Федеральной службы безопасности Российской Федерации" (Собрание законодательства Российской Федерации, 2003, N 33, ст. 3254; 2004, N 28, ст. 2883; 2005, N 36, ст. 3665; N 49, ст. 5200; 2006, N 25, ст. 2699; N 31, ст. 3463; 2007, N 1, ст. 205; N 49, ст. 6133; N 53, ст. 6554; 2008, N 36, ст. 4087; N 43, ст. 4921; N 47, ст. 5431; 2010, N 17, ст. 2054; N 20, ст. 2435; 2011, N 2, ст. 267; N 9, ст. 1222; 2012, N 7, ст. 818; N 8, ст. 993; N 32, ст. 4486; 2013, N 12, ст. 1245; N 26, ст. 3314; N 52, ст. 7137, 7139; 2014, N 10, ст. 1020; N 44, ст. 6041; 2015, N 4, ст. 641; 2016, N 50, ст. 7077; 2017, N 21, ст. 2991), следующие изменения:

а) подпункт 20.1 изложить в следующей редакции:

"20.1) в пределах своих полномочий разрабатывает и утверждает нормативные и методические документы по вопросам обеспечения информационной безопасности информационных систем, созданных с использованием суперкомпьютерных и грид-технологий, информационных ресурсов Российской Федерации, а также осуществляет контроль за обеспечением информационной безопасности указанных систем и ресурсов;";

б) подпункт 47 изложить в следующей редакции:

"47) организует и проводит исследования в области защиты информации, экспертные криптографические, инженерно-криптографические и специальные исследования шифровальных средств, специальных и закрытых информационно-телекоммуникационных систем, информационных систем, созданных с использованием суперкомпьютерных и грид-технологий, а также информационных ресурсов Российской Федерации;";

в) подпункт 49 изложить в следующей редакции:

"49) осуществляет подготовку экспертных заключений на предложения о проведении работ по созданию специальных и защищенных с использованием шифровальных (криптографических) средств информационно-телекоммуникационных систем и сетей связи, информационных систем, созданных с использованием суперкомпьютерных и грид-технологий, а также информационных ресурсов Российской Федерации;".

5. Внести в Указ Президента Российской Федерации от 15 января 2013 г. N 31с "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации" (Собрание законодательства Российской Федерации, 2013, N 3, ст. 178) следующие изменения:

а) из пункта 1 слова "- информационные системы и информационно-телекоммуникационные сети, находящиеся на территории Российской Федерации и в дипломатических представительствах и консульских учреждениях Российской Федерации за рубежом" исключить;

б) пункт 2 и подпункты "а" - "е" пункта 3 признать утратившими силу.

Президент

Российской Федерации

Москва, Кремль

В целях совершенствования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и в соответствии со статьей 6 Федерального закона от 26 июля 2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" постановляю:

а) прогнозирование ситуации в области обеспечения информационной безопасности Российской Федерации;

3. Установить, что Федеральная служба безопасности Российской Федерации:

а) обеспечивает и контролирует функционирование государственной системы, названной в настоящего Указа;

по обнаружению компьютерных атак на информационные ресурсы Российской Федерации;

4. Внести в пункт 9 Положения о Федеральной службе безопасности Российской Федерации, утвержденного Указом Президента Российской Федерации от 11 августа 2003 г. № 960 "Вопросы Федеральной службы безопасности Российской Федерации" (Собрание законодательства Российской Федерации, 2003, № 33, ст. 3254; 2004, № 28, ст. 2883; 2005, № 36, ст. 3665; № 49, ст. 5200; 2006, № 25, ст. 2699; № 31, ст. 3463; 2007, № 1, ст. 205; № 49, ст. 6133; № 53, ст. 6554; 2008, № 36, ст. 4087; № 43, ст. 4921; № 47, ст. 5431; 2010, № 17, ст. 2054; № 20, ст. 2435; 2011, № 2, ст. 267; № 9, ст. 1222; 2012, № 7, ст. 818; № 8, ст. 993; № 32, ст. 4486; 2013, № 12, ст. 1245; № 26, ст. 3314; № 52, ст. 7137, 7139; 2014, № 10, ст. 1020; № 44, ст. 6041; 2015, № 4, ст. 641; 2016, № 50, ст. 7077; 2017, № 21, ст. 2991), следующие изменения:

а) подпункт 20.1 изложить в следующей редакции:

б) подпункт 47 изложить в следующей редакции:

в) подпункт 49 изложить в следующей редакции:

5. Внести в Указ Президента Российской Федерации от 15 января 2013 г. № 31с "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации" (Собрание законодательства Российской Федерации, 2013, № 3, ст. 178) следующие изменения:

б) пункт 2 и подпункты "а" - "е" пункта 3 признать утратившими силу.

Президент Российской Федерации

В. Путин

Москва, Кремль

Обзор документа

Ранее на ФСБ России были возложены полномочия по созданию системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информресурсы России (информсистемы и информационно-телекоммуникационные сети, находящиеся на территории нашей страны и в диппредставительствах и консульских учреждениях России за рубежом).

Решено возложить на Службу функции федерального органа власти, уполномоченного в области обеспечения функционирования системы.

Уточнено, что ресурсы включают в себя информсистемы, информационно-телекоммуникационные сети и автоматизированные системы управления, находящиеся на территории нашей страны, в диппредставительствах и консульских учреждениях России.

Пересмотрены задачи системы. Скорректированы Положение о Службе и Указ Президента РФ о создании системы.

«О безопасности критической информационной инфраструктуры Российской Федерации»). В нем одной из задач системы безопасности критической информационной инфраструктуры (КИИ) помимо обеспечения собственной безопасности заявлено непрерывное взаимодействие объектов КИИ, таких как здравоохранение, наука, транспорт, атомная промышленность, энергетика и другие, с ГосСОПКА.

Причем мероприятия по мониторингу штатного функционирования ИТ-ресурсов, автоматизированных систем управления и телекоммуникационного оборудования, а также выявлению и прогнозированию угроз информационной безопасности должны проводиться в непрерывном режиме. Для решения в том числе задачи непрерывности при ограниченных кадровых ресурсах существует возможность вовлечения коммерческих организаций, которые осуществляют лицензируемую деятельность в сфере защиты информации.

ГосСОПКА. Общее описание структуры

осударственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак является территориально распределенной совокупностью центров (сил и средств), организованной по ведомственному и территориальному принципам. Один из них – Национальный координационный центр по компьютерным инцидентам.

Созданию такой системы послужили следующие нормативные акты:

Указ президента РФ от 15 января 2013 года № 31с;
Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации (утверждены президентом РФ 3 февраля 2012 года, № 803);
Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (№ К 1274 от 12 декабря 2014 года);
Федеральный закон № 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации»;
Методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА от Центра защиты информации и специальной связи Федеральной службы безопасности.

Иерархия взаимодействия центров ГосСОПКА

ГосСОПКА. Стадии создания

Глобально в направлении безопасности КИИ можно выделить несколько стадий создания сегмента ГосСОПКА в организации:

определение зоны ответственности, текущего состава и состояния защищаемых инфраструктур и «модели угроз»;
запуск или адаптация инструментов, требуемых для обеспечения функций центра;
обеспечение выполнения процессов ГосСОПКА;
формирование и поддержание в актуальном состоянии детализированной информации об информационных ресурсах, находящихся в зоне ответственности ведомственного центра;
сбор и анализ информации о компьютерных атаках и вызванных ими компьютерных инцидентах;
проведение мероприятий по оперативному реагированию на компьютерные атаки и вызванные ими компьютерные инциденты, а также по ликвидации их последствий в информационных ресурсах;
принятие управляющих решений по обеспечению информационной безопасности информационных ресурсов;
выявление, сбор и анализ сведений об уязвимостях, а также проведение мероприятий по оценке защищенности от компьютерных атак и вирусных заражений информационных ресурсов;
информирование заинтересованных лиц и субъектов ГосСОПКА по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак;
обеспечение защиты данных, передаваемых между ведомственным центром и Главным центром по каналам, защищенным с использованием сертифицированных ФСБ России средств защиты информации;
предоставление дополнительной информации о компьютерных инцидентах в информационно-телекоммуникационных сетях, находящихся в зоне ответственности ведомственного центра, по запросам Главного центра ГосСОПКА;
обеспечение взаимодействия с вышестоящим центром ГосСОПКА по вопросам состояния защищенности и возникающим инцидентам.

Структура и основные направления деятельности ГосСОПКА
Важную роль в обеспечении безопасности выполняют ведомственные центры, в функции которых помимо обеспечения безопасности в зоне ответственности входит агрегация информации о защищенности и происходящих инцидентах у всех подведомственных организаций. В их задачи также входят проведение аналитики на основании полученных данных, выявление общих трендов или актуальных векторов и передача информации о них в нижестоящие центры.

В итоге получаемая информация о видах вредоносного ПО и используемых сценариях атаки позволяет ГосСОПКА как «информационному хабу» проводить аналитику актуальности векторов для других подключенных организаций и в режиме информационного взаимодействия формировать адресный сигнал субъектам критической информационной инфраструктуры для организации превентивной защиты.

ГосСОПКА. Задачи

Определение зоны ответственности и состояния защищенности

Стартовые задачи создания сегмента очень похожи на классические работы по любому проекту информационной безопасности:

определение перечня информационных систем и инфраструктур, которые требуют защиты (инвентаризация), отдельно – доступных из сети Интернет;
определение модели угроз (компьютерных инцидентов, от которых мы планируем защищаться и на которые планируем реагировать);
определение фактических возможностей текущей инфраструктуры реализовать защиту от указанных в модели угроз инцидентов;
определение инструментов и ресурсной (кадровой) базы, которая потребуется для реализации защиты.

Несмотря на кажущуюся простоту, даже первая часть задачи – «нарисовать периметр» – зачастую становится крайне сложной. Потенциальные сегменты ГосСОПКА порой представляют собой территориально распределенные, сложные комплексные инфраструктуры, и понять, какие именно каналы выхода в Интернет имеются, какие сервисы за годы существования компании оказались на периметре, с какой целью и зачем – достаточно трудоемкая, комплексная задача.

При построении прототипа важно учитывать, какие задачи необходимо будет решать центру на ежедневной основе. Их можно разделить на четыре больших блока по функционалу.

1. Управление инцидентами ИБ:
a. анализ событий безопасности;
b. обнаружение компьютерных атак;
c. регистрация инцидентов;
d. реагирование на инциденты и ликвидация последствий;
e. установление причин инцидентов;
f. анализ результатов устранения последствий инцидентов.

2. Анализ защищенности инфраструктуры:
a. инвентаризация ресурсов;
b. анализ угроз информационной безопасности.

3. Работа с персоналом:
a. повышение квалификации персонала;
b. прием сообщений о возможных инцидентах от персонала.

4. Информационное взаимодействие с вышестоящим центром.

Стоит отметить, что с точки зрения и инцидентов, и анализов защищенности требования к центру ГосСОПКА в первую очередь фокусируются на злоумышленнике внешнем, то есть хакере/киберпреступнике. Это видно в том числе из наиболее обозначенных категорий инцидентов: DDoS, ВПО, уязвимости, сканирования и брутфорсы, несанкционированный доступ. Это при всей сложности и изощренности текущих кибератак позволяет точнее определить приоритеты и инструментарий.

Инструментарий центра ГосСОПКА

Для того, чтобы реализовать достаточный уровень защищенности и продуктивное взаимодействие с ГосСОПКА, необходимо подготовить платформу как в организационном, так и техническом плане. Если опереться на задачи и типы инцидентов, описанные параграфом выше, то инструментарий кажется вполне прозрачным:

активные средства защиты, направленные на противодействие преодолению периметра и антивирусную защиту хостов;
система обнаружения атак, нацеленная на фиксацию попыток эксплуатации уязвимостей;
система защиты от DDoS;
сканер уязвимостей;
система сбора и корреляции событий (SIEM) для фиксации сканирований, брутфорсов и фактов несанкционированного доступа;
система service desk и информационного взаимодействия для замкнутого управления циклом инцидентов и передачи информации в вышестоящий центр ГосСОПКА.

Но так кажется лишь на первый взгляд. С одной стороны, при небольших объемах инфраструктуры указанные типы инцидентов можно фиксировать и без SIEM. С другой – термин «уязвимость» трактуется достаточно широко, в том числе, в текущих документах. Если возможный вектор атаки может быть реализован с помощью уязвимости веб-приложения, опубликованного в Интернете, то очевидно, что система обнаружения атак не поможет нам ее зафиксировать и прореагировать. В данном случае возможен подход к выявлению и закрытию уязвимостей путем запуска процесса контроля уязвимостей программного кода или использования наложенных средств защиты, например, Web Application Firewall. Поэтому данный вопрос на текущий момент является точкой нежесткого регулирования и требует здравого смысла и практического подхода к собственной защищенности от специалистов по информационной безопасности конкретного центра.

Кадровые вопросы центра и требования к квалификации

Остается нераскрытым достаточно важный вопрос: каким образом должны эксплуатироваться данные средства защиты, чтобы эффективно обеспечивать безопасность КИИ и реализацию описанных выше процессов. Достаточно легко можно увидеть, что перечисленные задачи и работы требуют существенного штата и квалификации сотрудников для эксплуатации. Ниже приводится пример подхода к ресурсному планированию центра.

Роль	Функции	Количество
Специалист по обнаружению компьютерных атак и инцидентов	Анализ событий безопасности, регистрация инцидентов	6
Специалист по обслуживанию технических средств SOC	Обеспечение функционирования технических средств, размещаемых в SOC, а также дополнительных средств защиты информационных систем	6
Специалист по оценке защищенности	Проведение инвентаризации информационных ресурсов, анализ выявленных уязвимостей и угроз, установление соответствия требований по информационной безопасности принимаемым мерам	2
Специалист по ликвидации последствий компьютерных инцидентов	Координация действий при реагировании на компьютерные атаки	2
Специалист по установлению причин компьютерных инцидентов	Установление причин инцидентов, анализ последствий инцидентов	2
Аналитик-методист	Анализ информации, предоставляемой специалистами первой и второй линий; разработка нормативных документов и методических рекомендаций	2
Технический эксперт	Экспертная поддержка в соответствии со специализацией (вредоносное программное обеспечение, настройка средств защиты, применение специализированных технических средств, оценка защищенности и т. п.)	2
Юрист	Нормативно-правовое сопровождение деятельности SOC	1
Руководитель	Управление деятельностью SOC	1

Две оговорки:

данная таблица характеризует области ответственности, задачи и функции персонала, а не отдельные выделенные роли. Поэтому неверно складывать цифры в правом столбце: аналитик-методист вполне может выполнять задачи по оценке защищенности или являться по совместительству руководителем центра (хотя это и нарушает некоторую логику разделения полномочий);

количественные оценки специалистов по каждой области не являются частью документов, а описывают мнение автора статьи. В действительности, для обеспечения мониторинга и реагирования на инциденты в круглосуточном режиме (внешние атаки не ограничиваются режимом 8*5) так или иначе требуется запуск дежурной смены, численность которой не может быть менее шести человек. В то же время кадровая устойчивость центра требует резервирования компетенций: хотя бы два человека должны обладать знаниями по оценке защищенности, анализу инцидентов и т. д.

Тем не менее, из приведенной таблицы видно, что экспертизы требуются самые разнообразные: как специалистов по анализу журналов и атак в SIEM-системе, так и команды реагирования, готовой провести блокировку на активных средствах защиты, и разработчиков новых сценариев… Так или иначе кадровая конструкция центра ГосСОПКА возникает достаточно массивной и вряд ли может состоять менее чем из десяти человек.

Естественно, не остаются вне документов и указанных функций центра ГосСОПКА и процессные части обеспечения безопасности. Определяются регламенты выявления. Должны существовать профили или flight guide по реагированию на инциденты, процессы анализа эффективности работ, в том числе, по устранению инцидентов. Надо заниматься прогнозированием новых угроз. Все это приводит нас к мысли, что работы, функции и задачи центра ГосСОПКА по основным пунктам совпадают с целями и задачами Security Operations Center и их функционалу. Что приближает решение данной задачи к актуальному на текущий момент для многих компаний направлению – запуску функций SOC в своей инфраструктуре.

В заключение следует отметить достаточно непривычную на текущем этапе регламентирования структуру тематики ГосСОПКА. В отличие от большинства российских регулирующих документов закон в первую очередь ссылается не на инструментарий и регламентно-распорядительную базу, а на наличие процессов обеспечения безопасности в организации. Такой подход автоматически создает очень существенные требования к общему уровню безопасности и кадровому обеспечению центра ГосСОПКА, поскольку без людей процессов не существует. Ответом на данный вызов в общем кадровом голоде и нехватке специалистов по кибербезопасности действительно может стать сервисный подход с привлечением аккредитованных коммерческих центров мониторинга и реагирования на инциденты к решению трудоемких и насыщенных экспертизой задач по обеспечению безопасности КИИ.

(Выписка)

В целях обеспечения информационной безопасности Российской Федерации постановляю:

1. Возложить на Федеральную службу безопасности Российской Федерации полномочия по созданию государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации - информационные системы и информационно-телекоммуникационные сети, находящиеся на территории Российской Федерации и в дипломатических представительствах и консульских учреждениях Российской Федерации за рубежом.

2. Определить основными задачами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации:

А) прогнозирование ситуации в области обеспечения информационной безопасности Российской Федерации;

Б) обеспечение взаимодействия владельцев информационных ресурсов Российской Федерации, операторов связи, иных субъектов, осуществляющих лицензируемую деятельность в области защиты информации, при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;

В) осуществление контроля степени защищенности критической информационной инфраструктуры Российской Федерации от компьютерных атак;

Г) установление причин компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации.

3. Установить, что Федеральная служба безопасности Российской Федерации:

А) организует и проводит работы по созданию государственной системы, названной в пункте 1 настоящего Указа, осуществляет контроль за исполнением этих работ, а также обеспечивает во взаимодействии с государственными органами функционирование ее элементов;

Б) разрабатывает методику обнаружения компьютерных атак на информационные системы и информационно-телекоммуникационные сети государственных органов и по согласованию с их владельцами - на иные информационные системы и информационно-телекоммуникационные сети;

В) определяет порядок обмена информацией между федеральными органами исполнительной власти о компьютерных инцидентах, связанных с функционированием информационных ресурсов Российской Федерации;

Г) организует и проводит в соответствии с законодательством Российской Федерации мероприятия по оценке степени защищенности критической информационной инфраструктуры Российской Федерации от компьютерных атак;

Е) определяет порядок обмена информацией между федеральными органами исполнительной власти и уполномоченными органами иностранных государств (международными организациями) о компьютерных инцидентах, связанных с функционированием информационных ресурсов, и организует обмен такой информацией.

4. Настоящий Указ вступает в силу со дня его подписания.

Президент Российской Федерации
В. Путин

Прим. ред.: указ опубликован на