Контакты
Подписка
МЕНЮ
Контакты
Подписка

Проблемные вопросы взаимодействия с ГосСОПКА

Константин Саматов, 01/10/19

В рамках исполнения Федерального закона от 26.07.2017 № 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации” субъектам критической информационной инфраструктуры (далее по тексту – КИИ) необходимо обеспечить взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – ГосСОПКА). В рамках данной статьи автор рассказывает о наиболее часто встречающихся в его практике проблемных вопросах указанного взаимодействия и дает ответы на них.
Константин Саматов
Руководитель направления в Аналитическом центре Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова.
 

Несколько слов о ГосСОПКА

ГосСОПКА – единый централизованный, территориально распределенный комплекс, включающий силы и средства обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Силы обнаружения – подразделения и специально выделенные сотрудники, а также Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ), осуществляющий координацию сил обнаружения.

ГосСОПКА – единый централизованный, территориально распределенный комплекс, включающий силы и средства обнаружения, предупреждения и ликвидации последствий компьютерных атак.
Силы обнаружения – подразделения и специально выделенные сотрудники, а также Национальный координационный центр по компьютерным инцидентам, осуществляющий координацию сил обнаружения.
Средства – технологии, технические, программные, правовые и организационных средства субъектов ГосСОПКА.

Средства – технологии, технические, программные, правовые и организационных средства субъектов ГосСОПКА.

Субъекты ГосСОПКА1:

  •  ФСБ России;
  •  ФСТЭК России;
  •  владельцы информационных ресурсов Российской Федерации;
  •  операторы связи;
  •  иные организации, осуществляющие лицензируемую деятельность в области защиты информации.

По сути, ГосСОПКА представляет собой совокупность взаимосвязанных специализированных центров мониторинга и реагирования на инциденты информационной безопасности, известных в международной практике как CERT (Computer Emergency Response Team) или CSIRT (Computer Security Incident Response Team), либо Security Operation Center (SOC). Данные центры организованы по ведомственному и территориальному принципам и подразделяются на главный центр ГосСОПКА, региональные центры, территориальные центры, центры органов государственной власти и органов государственной власти субъектов Российской Федерации (ведомственные центры), а также корпоративные центры (центры владельцев информационных ресурсов, операторов связи и иных организации).

Основным назначением ГосСОПКА является обеспечение защищенности информационных ресурсов Российской Федерации от компьютерных атак и штатного функционирования данных ресурсов в условиях возникновения компьютерных инцидентов, вызванных компьютерными атаками.

Взаимодействие субъекта КИИ с ГосСОПКА возможно в двух вариантах:

  •  путем самостоятельного подключения к инфраструктуре НКЦКИ;
  •  через ведомственный (корпоративный) центр (сегмент) ГосСОПКА.

В рамках указанного взаимодействия, на практике, у субъектов КИИ могут возникать различные проблемные вопросы, рассмотрим их более подробно.

Проблемные вопросы взаимодействия с ГосСОПКА

Обязательно ли подключение к технической инфраструктуре НКЦКИ для обмена информацией с ГосСОПКА?

Одним из первых проблемных вопросов, стоящих перед субъектом КИИ, является вопрос об обязательности подключения к технической инфраструктуре НКЦКИ для обмена информацией с ГосСОПКА. В явном виде действующее законодательство не предусматривает обязанности по подключению субъекта КИИ к технической инфраструктуре НКЦКИ.

Основным назначением ГосСОПКА является обеспечение защищенности информационных ресурсов Российской Федерации от компьютерных атак и штатного функционирования данных ресурсов в условиях возникновения компьютерных инцидентов, вызванных компьютерными атаками.

Ч. 2 ст. 9 Федерального закона от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" предусматривает лишь обязанность субъекта КИИ информировать о компьютерных инцидентах ФСБ России (по сути – НКЦКИ) и/или Центральный банк Российской Федерации (в случае, если субъект КИИ осуществляет деятельность в банковской сфере и в иных сферах финансового рынка) в установленном ими порядке.

Порядок информирования определен приказом ФСБ России от 19.06.2019 № 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации" (далее – приказ ФСБ России № 282).

Согласно приказу ФСБ России № 282 информирование осуществляется путем направления информации в НКЦКИ в соответствии с определенными форматами представления информации о компьютерных инцидентах в ГосСОПКА с использованием технической инфраструктуры НКЦКИ, предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами КИИ, а также с иными, не являющимися субъектами КИИ, органами и организациями, в том числе иностранными и международными.

В случае отсутствия подключения к данной технической инфраструктуре информация передается субъектом КИИ посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на официальном сайте в информационно-телекоммуникационной сети "Интернет" по адресу: http://cert.gov.ru.

Таким образом, приказ ФСБ России № 282 делает акцент на необходимости использования технической инфраструктуры НКЦКИ при информировании и допускает в качестве "запасного варианта" альтернативные способы предоставления информации в ГосСОПКА.

Кроме того, для значимых объектов КИИ субъекту необходимо создать и обеспечить функционирование системы безопасности, одной из задач которой является непрерывное взаимодействие с ГосСОПКА (п. 4 ч. 2 ст. 10 Федерального закона от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации").

Помимо нормативных требований, следует учитывать, что обнаруживать и предотвращать компьютерные атаки, а также хранить, накапливать, защищать информацию об инцидентах и передавать ее в ГосСОПКА целесообразнее с использованием технических средств. Следует также отметить, что ГосСОПКА не только собирает информацию, но и предоставляет актуальную информацию об атаках на ресурсы субъекта и другую необходимую для обеспечения безопасности объектов КИИ информацию, которую лучше получать оперативно.

Все или только значимые?

Поскольку взаимодействие субъекта КИИ с ГосСОПКА осуществляется в том числе в целях исполнения обязанности по информированию о компьютерных инцидентах, произошедших на объектах КИИ, то возникает вопрос: все объекты КИИ попадают под данное требование или только значимые?

Приказ ФСБ России № 282 устанавливает срок, в который субъект КИИ должен передать информацию в ГосСОПКА (проинформировать НКЦКИ):

  •  не позднее 3 часов с момента обнаружения инцидента для субъектов КИИ, владеющих значимыми объектами;
  •  не позднее 24 часов с момента обнаружения инцидента для субъектов КИИ, владеющих незначимыми объектами.

Таким образом, обязанность по передаче информации в ГосСОПКА распространяется на всех субъектов КИИ, независимо от вида принадлежащих им объектов.

Как подключиться?

Если принято решение о передаче информации в ГосСОПКА с использованием технической инфраструктуры НКЦКИ, то возникает вопрос о том, как подключиться.

Согласно приказу ФСБ России № 282 информирование осуществляется путем направления информации в НКЦКИ в соответствии с определенными форматами представления информации о компьютерных инцидентах в ГосСОПКА с использованием технической инфраструктуры НКЦКИ, предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами КИИ, а также с иными, не являющимися субъектами КИИ, органами и организациями, в том числе иностранными и международными.

Защищенное подключение может быть осуществлено одним из способов2, указанных ниже.

  1.  Субъект КИИ имеет и установил лицензионное программное обеспечение ViPNet Client-сети 10976 с классом защиты КС3. При выполнении этого условия в НКЦКИ направляется запрос с необходимой информацией для получения файла с настройками.
  2.  Субъект КИИ имеет лицензию на программное обеспечение или программно-аппаратный комплекс ViPNet Coordinator с классом защиты КС3 ViPNet-сети с номером 10976. После установки ViPNet Coordinator в НКЦКИ направляется запрос с необходимой информацией для получения файла с настройками.
  3.  Если у субъекта КИИ развернута своя ViPNet-сеть, он направляет запрос в НКЦКИ на получение файла для установления межсетевого взаимодействия собственной ViPNet-сети с ViPNet-сетью 10976 (НКЦКИ).

При этом следует отметить, что субъекты КИИ, функционирующие в банковской сфере или иных сферах финансовых рынков, имеют возможность передавать информацию о компьютерных инцидентах через техническую инфраструктуру Банка России (FinCERT).

Технически взаимодействие с FinCERT строится следующим образом:

  •  заключается соглашение о взаимодействии (оно типовое);
  •  для взаимодействия организуется защищенное соединение с использованием сертифицированных средств криптографической защиты информации. Предлагается три программных продукта: Континент TLS, ViPNet CSP, КриптоПРО CSP;
  •  после заключения соглашения участнику настраивается учетная запись – выдается логин и пароль;
  •  по логину и паролю участник получает доступ в личный кабинет. Через этот же кабинет можно осуществлять информирование FinCERTа, направлять в FinCERT запросы, взаимодействовать с другими участниками, подключенными к Fin-CERT, передавать информацию в ГосСОПКА.

Передача информации в ГосСОПКА осуществляется с использованием форматов передачи данных, утвержденных ФСБ России.

При этом следует учесть, что в соответствии с приказом ФСБ России № 282 субъекты КИИ, функционирующие в банковской сфере и иных сферах финансового рынка, обязаны информировать о компьютерных инцидентах на принадлежащих им объектах КИИ Центральный банк РФ и НКЦКИ. При этом, как было отмечено, FinCERT предоставляет техническую возможность для передачи информации в ГосСОПКА.

Обязательная ли лицензия в области защиты информации

Следующим вопросом, который встает перед субъектом КИИ, является обязательность лицензий в области защиты информации.

Для взаимодействия с ГосСОПКА лицензии не требуются, оно осуществляется в рамках исполнения обязанностей, возложенных на субъекта КИИ ст. 9 Федерального закона от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".

Если субъект КИИ намерен создать корпоративный (ведомственный) центр ГосСОПКА для собственных нужд (только в рамках своего юридического лица), никаких лицензий также не требуются.

В рамках работы в холдинговых структурах или для предоставления коммерческих услуг необходимы лицензии:

  • ФСТЭК России на оказание услуг по мониторингу информационной безопасности средств и систем информатизации (является обязательной);
  • на право осуществления работ, связанных с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну;
  • на осуществление деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, на выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств;
  • лицензия ФСБ России на работу с государственной тайной, если нужен доступ к методическим документам ФСБ России по обнаружению, предотвращению и ликвидации последствий компьютерных атак.

Обязательно ли для субъекта КИИ создавать корпоративный центр ГосСОПКА?

Логично вытекающий из предыдущего ответа вопрос: а обязательно ли для субъекта КИИ создавать корпоративный (ведомственный) центр ГосСОПКА? Законодательно такая необходимость не определена. Более того, на практике уже достаточное количество субъектов КИИ осуществляют свое взаимодействие с ГосСОПКА через коммерческие центры мониторинга и реагирования на инциденты.

В соответствии с приказом ФСБ России № 282 субъекты КИИ, функционирующие в банковской сфере и иных сферах финансового рынка, обязаны информировать о компьютерных инцидентах на принадлежащих им объектах КИИ Центральный банк РФ и НКЦКИ. При этом, как было отмечено, FinCERT предоставляет техническую возможность для передачи информации в ГосСОПКА.

Преимущества аутсорсинга услуг корпоративных (ведомственных) центров ГосСОПКА.

1. Снижение издержек:

  •  стоимость услуг коммерческих центров мониторинга и реагирования на инциденты ИБ в десятки раз меньше, чем издержки на создание собственного;
  •  отсутствие затрат на разработку правил корреляции событий информационной безопасности;
  •  отсутствие затрат на персонал.

2. Небольшой промежуток времени, необходимый на организацию процесса мониторинга и реагирования на инциденты информационной безопасности с высоким уровнем зрелости.

3. Возможность использования разностороннего опыта и компетенций, который имеется у коммерческих центров мониторинга и реагирований на инциденты ввиду разносторонности решаемых ими задач (проектов) и взаимодействия с отечественными и зарубежными CERT/CSIRT/SOC.

Однако, помимо преимуществ, аутсорсинг услуг центра мониторинга и реагирования на инциденты имеет и недостатки. Основной недостаток в том, что ответственность перед государством несет субъект КИИ, а не подрядчик, и это необходимо понимать. Другой недостаток – это утрата компетенций в случае отказа от подрядчика, однако данный недостаток не столь существенен, т.к. рынок данных услуг высококонкурентен и выбор имеется.

В заключение следует отметить, что в указанной статье рассмотрены лишь наиболее распространенные, исходя из практики автора, проблемные вопросы, возникающие у субъектов КИИ в рамках организации взаимодействия с ГосСОПКА. Бесспорно, количество проблемных моментов, наблюдаемых в настоящее время ввиду "свежести" нормативно-правовых актов, регулирующих данную сферу общественных отношений, гораздо больше, чем может быть рассмотрено в рамках данной статьи в силу ограниченности ее объема.

___________________________________________
1 Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (утв. президентом Российской Федерации 12.02.2014 г. № К 1274).
2 http://мис.екатеринбург.рф/file/0b8dc3db090dfe6509f1a25a07fd48e5
 

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2019

Темы:КИИГосСОПКА

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
Стать автором
Комментарии

More...