Контакты
Подписка 2024

Проблемные вопросы взаимодействия с ГосСОПКА

Константин Саматов, 01/10/19

Актуальный материал 2023 г.:
 
В рамках исполнения Федерального закона от 26.07.2017 № 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации” субъектам критической информационной инфраструктуры (далее по тексту – КИИ) необходимо обеспечить взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – ГосСОПКА). В рамках данной статьи автор рассказывает о наиболее часто встречающихся в его практике проблемных вопросах указанного взаимодействия и дает ответы на них.
Константин Саматов
Руководитель направления в Аналитическом центре Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова.
 

Несколько слов о ГосСОПКА

ГосСОПКА – единый централизованный, территориально распределенный комплекс, включающий силы и средства обнаружения, предупреждения и ликвидации последствий компьютерных атак.

Силы обнаружения – подразделения и специально выделенные сотрудники, а также Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ), осуществляющий координацию сил обнаружения.

ГосСОПКА – единый централизованный, территориально распределенный комплекс, включающий силы и средства обнаружения, предупреждения и ликвидации последствий компьютерных атак.
Силы обнаружения – подразделения и специально выделенные сотрудники, а также Национальный координационный центр по компьютерным инцидентам, осуществляющий координацию сил обнаружения.
Средства – технологии, технические, программные, правовые и организационных средства субъектов ГосСОПКА.

Средства – технологии, технические, программные, правовые и организационных средства субъектов ГосСОПКА.

Субъекты ГосСОПКА1:

  •  ФСБ России;
  •  ФСТЭК России;
  •  владельцы информационных ресурсов Российской Федерации;
  •  операторы связи;
  •  иные организации, осуществляющие лицензируемую деятельность в области защиты информации.

По сути, ГосСОПКА представляет собой совокупность взаимосвязанных специализированных центров мониторинга и реагирования на инциденты информационной безопасности, известных в международной практике как CERT (Computer Emergency Response Team) или CSIRT (Computer Security Incident Response Team), либо Security Operation Center (SOC). Данные центры организованы по ведомственному и территориальному принципам и подразделяются на главный центр ГосСОПКА, региональные центры, территориальные центры, центры органов государственной власти и органов государственной власти субъектов Российской Федерации (ведомственные центры), а также корпоративные центры (центры владельцев информационных ресурсов, операторов связи и иных организации).

Основным назначением ГосСОПКА является обеспечение защищенности информационных ресурсов Российской Федерации от компьютерных атак и штатного функционирования данных ресурсов в условиях возникновения компьютерных инцидентов, вызванных компьютерными атаками.

Взаимодействие субъекта КИИ с ГосСОПКА возможно в двух вариантах:

  •  путем самостоятельного подключения к инфраструктуре НКЦКИ;
  •  через ведомственный (корпоративный) центр (сегмент) ГосСОПКА.

В рамках указанного взаимодействия, на практике, у субъектов КИИ могут возникать различные проблемные вопросы, рассмотрим их более подробно.

Проблемные вопросы взаимодействия с ГосСОПКА

Обязательно ли подключение к технической инфраструктуре НКЦКИ для обмена информацией с ГосСОПКА?

Одним из первых проблемных вопросов, стоящих перед субъектом КИИ, является вопрос об обязательности подключения к технической инфраструктуре НКЦКИ для обмена информацией с ГосСОПКА. В явном виде действующее законодательство не предусматривает обязанности по подключению субъекта КИИ к технической инфраструктуре НКЦКИ.

Основным назначением ГосСОПКА является обеспечение защищенности информационных ресурсов Российской Федерации от компьютерных атак и штатного функционирования данных ресурсов в условиях возникновения компьютерных инцидентов, вызванных компьютерными атаками.

Ч. 2 ст. 9 Федерального закона от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" предусматривает лишь обязанность субъекта КИИ информировать о компьютерных инцидентах ФСБ России (по сути – НКЦКИ) и/или Центральный банк Российской Федерации (в случае, если субъект КИИ осуществляет деятельность в банковской сфере и в иных сферах финансового рынка) в установленном ими порядке.

Порядок информирования определен приказом ФСБ России от 19.06.2019 № 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации" (далее – приказ ФСБ России № 282).

Согласно приказу ФСБ России № 282 информирование осуществляется путем направления информации в НКЦКИ в соответствии с определенными форматами представления информации о компьютерных инцидентах в ГосСОПКА с использованием технической инфраструктуры НКЦКИ, предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами КИИ, а также с иными, не являющимися субъектами КИИ, органами и организациями, в том числе иностранными и международными.

В случае отсутствия подключения к данной технической инфраструктуре информация передается субъектом КИИ посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на официальном сайте в информационно-телекоммуникационной сети "Интернет" по адресу: http://cert.gov.ru.

Таким образом, приказ ФСБ России № 282 делает акцент на необходимости использования технической инфраструктуры НКЦКИ при информировании и допускает в качестве "запасного варианта" альтернативные способы предоставления информации в ГосСОПКА.

Кроме того, для значимых объектов КИИ субъекту необходимо создать и обеспечить функционирование системы безопасности, одной из задач которой является непрерывное взаимодействие с ГосСОПКА (п. 4 ч. 2 ст. 10 Федерального закона от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации").

Помимо нормативных требований, следует учитывать, что обнаруживать и предотвращать компьютерные атаки, а также хранить, накапливать, защищать информацию об инцидентах и передавать ее в ГосСОПКА целесообразнее с использованием технических средств. Следует также отметить, что ГосСОПКА не только собирает информацию, но и предоставляет актуальную информацию об атаках на ресурсы субъекта и другую необходимую для обеспечения безопасности объектов КИИ информацию, которую лучше получать оперативно.

Все или только значимые?

Поскольку взаимодействие субъекта КИИ с ГосСОПКА осуществляется в том числе в целях исполнения обязанности по информированию о компьютерных инцидентах, произошедших на объектах КИИ, то возникает вопрос: все объекты КИИ попадают под данное требование или только значимые?

Приказ ФСБ России № 282 устанавливает срок, в который субъект КИИ должен передать информацию в ГосСОПКА (проинформировать НКЦКИ):

  •  не позднее 3 часов с момента обнаружения инцидента для субъектов КИИ, владеющих значимыми объектами;
  •  не позднее 24 часов с момента обнаружения инцидента для субъектов КИИ, владеющих незначимыми объектами.

Таким образом, обязанность по передаче информации в ГосСОПКА распространяется на всех субъектов КИИ, независимо от вида принадлежащих им объектов.

Как подключиться?

Если принято решение о передаче информации в ГосСОПКА с использованием технической инфраструктуры НКЦКИ, то возникает вопрос о том, как подключиться.

Согласно приказу ФСБ России № 282 информирование осуществляется путем направления информации в НКЦКИ в соответствии с определенными форматами представления информации о компьютерных инцидентах в ГосСОПКА с использованием технической инфраструктуры НКЦКИ, предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами КИИ, а также с иными, не являющимися субъектами КИИ, органами и организациями, в том числе иностранными и международными.

Защищенное подключение может быть осуществлено одним из способов2, указанных ниже.

  1.  Субъект КИИ имеет и установил лицензионное программное обеспечение ViPNet Client-сети 10976 с классом защиты КС3. При выполнении этого условия в НКЦКИ направляется запрос с необходимой информацией для получения файла с настройками.
  2.  Субъект КИИ имеет лицензию на программное обеспечение или программно-аппаратный комплекс ViPNet Coordinator с классом защиты КС3 ViPNet-сети с номером 10976. После установки ViPNet Coordinator в НКЦКИ направляется запрос с необходимой информацией для получения файла с настройками.
  3.  Если у субъекта КИИ развернута своя ViPNet-сеть, он направляет запрос в НКЦКИ на получение файла для установления межсетевого взаимодействия собственной ViPNet-сети с ViPNet-сетью 10976 (НКЦКИ).

При этом следует отметить, что субъекты КИИ, функционирующие в банковской сфере или иных сферах финансовых рынков, имеют возможность передавать информацию о компьютерных инцидентах через техническую инфраструктуру Банка России (FinCERT).

Технически взаимодействие с FinCERT строится следующим образом:

  •  заключается соглашение о взаимодействии (оно типовое);
  •  для взаимодействия организуется защищенное соединение с использованием сертифицированных средств криптографической защиты информации. Предлагается три программных продукта: Континент TLS, ViPNet CSP, КриптоПРО CSP;
  •  после заключения соглашения участнику настраивается учетная запись – выдается логин и пароль;
  •  по логину и паролю участник получает доступ в личный кабинет. Через этот же кабинет можно осуществлять информирование FinCERTа, направлять в FinCERT запросы, взаимодействовать с другими участниками, подключенными к Fin-CERT, передавать информацию в ГосСОПКА.

Передача информации в ГосСОПКА осуществляется с использованием форматов передачи данных, утвержденных ФСБ России.

При этом следует учесть, что в соответствии с приказом ФСБ России № 282 субъекты КИИ, функционирующие в банковской сфере и иных сферах финансового рынка, обязаны информировать о компьютерных инцидентах на принадлежащих им объектах КИИ Центральный банк РФ и НКЦКИ. При этом, как было отмечено, FinCERT предоставляет техническую возможность для передачи информации в ГосСОПКА.

Обязательная ли лицензия в области защиты информации

Следующим вопросом, который встает перед субъектом КИИ, является обязательность лицензий в области защиты информации.

Для взаимодействия с ГосСОПКА лицензии не требуются, оно осуществляется в рамках исполнения обязанностей, возложенных на субъекта КИИ ст. 9 Федерального закона от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".

Если субъект КИИ намерен создать корпоративный (ведомственный) центр ГосСОПКА для собственных нужд (только в рамках своего юридического лица), никаких лицензий также не требуются.

В рамках работы в холдинговых структурах или для предоставления коммерческих услуг необходимы лицензии:

  • ФСТЭК России на оказание услуг по мониторингу информационной безопасности средств и систем информатизации (является обязательной);
  • на право осуществления работ, связанных с созданием средств защиты информации, содержащей сведения, составляющие государственную тайну;
  • на осуществление деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, на выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств;
  • лицензия ФСБ России на работу с государственной тайной, если нужен доступ к методическим документам ФСБ России по обнаружению, предотвращению и ликвидации последствий компьютерных атак.

Обязательно ли для субъекта КИИ создавать корпоративный центр ГосСОПКА?

Логично вытекающий из предыдущего ответа вопрос: а обязательно ли для субъекта КИИ создавать корпоративный (ведомственный) центр ГосСОПКА? Законодательно такая необходимость не определена. Более того, на практике уже достаточное количество субъектов КИИ осуществляют свое взаимодействие с ГосСОПКА через коммерческие центры мониторинга и реагирования на инциденты.

В соответствии с приказом ФСБ России № 282 субъекты КИИ, функционирующие в банковской сфере и иных сферах финансового рынка, обязаны информировать о компьютерных инцидентах на принадлежащих им объектах КИИ Центральный банк РФ и НКЦКИ. При этом, как было отмечено, FinCERT предоставляет техническую возможность для передачи информации в ГосСОПКА.

Преимущества аутсорсинга услуг корпоративных (ведомственных) центров ГосСОПКА.

1. Снижение издержек:

  •  стоимость услуг коммерческих центров мониторинга и реагирования на инциденты ИБ в десятки раз меньше, чем издержки на создание собственного;
  •  отсутствие затрат на разработку правил корреляции событий информационной безопасности;
  •  отсутствие затрат на персонал.

2. Небольшой промежуток времени, необходимый на организацию процесса мониторинга и реагирования на инциденты информационной безопасности с высоким уровнем зрелости.

3. Возможность использования разностороннего опыта и компетенций, который имеется у коммерческих центров мониторинга и реагирований на инциденты ввиду разносторонности решаемых ими задач (проектов) и взаимодействия с отечественными и зарубежными CERT/CSIRT/SOC.

Однако, помимо преимуществ, аутсорсинг услуг центра мониторинга и реагирования на инциденты имеет и недостатки. Основной недостаток в том, что ответственность перед государством несет субъект КИИ, а не подрядчик, и это необходимо понимать. Другой недостаток – это утрата компетенций в случае отказа от подрядчика, однако данный недостаток не столь существенен, т.к. рынок данных услуг высококонкурентен и выбор имеется.

В заключение следует отметить, что в указанной статье рассмотрены лишь наиболее распространенные, исходя из практики автора, проблемные вопросы, возникающие у субъектов КИИ в рамках организации взаимодействия с ГосСОПКА. Бесспорно, количество проблемных моментов, наблюдаемых в настоящее время ввиду "свежести" нормативно-правовых актов, регулирующих данную сферу общественных отношений, гораздо больше, чем может быть рассмотрено в рамках данной статьи в силу ограниченности ее объема.

___________________________________________
1 Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (утв. президентом Российской Федерации 12.02.2014 г. № К 1274).
2 http://мис.екатеринбург.рф/file/0b8dc3db090dfe6509f1a25a07fd48e5
 

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2019

Темы:ГосСОПКАКИИ

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Кибербезопасность в новой реальности
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Участвуйте в онлайн-конференции!
Статьи по той же темеСтатьи по той же теме

  • Решения для криптографической защиты сетевого взаимодействия объектов КИИ на базе платформы m-TrusT
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Специализированный компьютер с аппаратной защитой данных m-TrusT выпускается серийно и предоставляется вендорам СКЗИ для сертификации своих СКЗИ
  • Мантра о неизвлекаемом ключе. Криптографическая защита в КИИ
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Остановимся на одном, на первый взгляд самоочевидном, требовании регулятора к СКЗИ высокого класса – неизвлекаемом ключе. Казалось бы, эта тема должна быть раскрыта в современных СКЗИ в полной мере, однако в ней есть важные для применения в КИИ особенности.
  • Проблемы импортозамещения компонентов объектов КИИ в 2024 году
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В ноябре 2023 года практически завершилось формирование нормативно-правовой базы в части импортозамещения компонентов объектов КИИ.
  • Обзор изменений в ИБ-законодательстве. Сентябрь, октябрь 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Перечень НПА для оценки применения по ПДн. Требования по защите информации для провайдеров хостинга. Проекты стандартов по КИИ.  Сертификация безопасной разработки ПО для изготовителей СрЗИ. Изменения в порядке ведения реестра значимых объектов КИИ. 
  • Подходы и проблематика моделирования угроз для объектов КИИ
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Необходимость анализа угроз для ОКИИ обусловлена как требованиями законодательства, так и практической значимостью для построения системы безопасности.
  • Обзор изменений в законодательстве в июле и августе 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Новые субъекты КИИ,  индикаторы риска нарушения требований при обработке ПДн, сертификация МЭ уровня сети и СУБД, импортозамещение в финансовой сфере, рекомендации Роскомнадзора, защита цифрового рубля, изменения в закон об ЭП

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность в новой реальности
14 марта. Онлайн-конференция. Реагирование на инциденты по информационной безопасности
Участвуйте!

More...
13 февраля 2024. Защита АСУ ТП. Безопасность КИИ
21 марта. Российские платформы виртуализации
Жми, чтобы участвовать