ГосСопка, ФСТЭК, НКЦКИ: все что нужно знать об оснащении КИИ. Часть 1

Введение

Если еще несколько лет назад давление с идеями импортозамещения и суверенности было больше формальным, продиктованным законодательно, а не из объективной необходимости, то сейчас страшные байки про хакеров, которые придут, компанию за данные укусят и в страшный цифровой лес уволокут, стали реальностью. Почувствовав закономерное опасение за сохранность своих данных, а в некоторых случаях просто ужаснувшись размерам штрафов и введенному уголовному наказанию за допуск утечек, компании коммерческого сектора, равно как и государственные ведомства, оперативно взялись за переход на защищенные отечественные решения. Однако, как и у всего, что имеет государственную важность, в области оснащения КИИ присутствует ряд законов и правил, по которым этот переход надо осуществлять и строго соответствовать. В сегодняшнем материале рассмотрим все, что нужно знать перед началом перехода на новые решения.

 

Законодательная база

На данный момент руководителям и техспециалистам стоит держать в уме положения следующих законов и правовых актов:

• Указ Президента РФ от 15 января 2013 года № 31с.
• Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации (утв. Президентом РФ 3 февраля 2012 г. №803).
• Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (№К 1274 от 12 декабря 2014г.).
• Федеральный закон №187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации».
• Методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА от Центра защиты информации и специальной связи Федеральной службы безопасности России.
• Приказ ФСТЭК России от 21 декабря 2017 г. N 235
• Приказ ФСТЭК России от 25 декабря 2017 г. N 239

Именно эти документы выступают своеобразной «картой», помогающей субъектам КИИ выстроить правильное взаимодействие с государственными системами. Подробнее об отдельных пунктах законов поговорим, коснувшись их уже в ключе реализации.

 

Что такое ГосСОПКА, для чего она нужна и как с ней работать

Критические информационные структуры не одинаковы – в зависимости от сферы, размера предприятия и оснащения, они отличаются своим устройством и типами рисков. Понимая это, государство решило не выставлять единые требования к защите таких субъектов, вместо этого обязав их защищаться самостоятельно так, как они считают нужным, согласно своим потребностям, и введя наказания для случаев, когда этой защитой пренебрегают, чтобы не искушать участников соблазном не делать совсем ничего. Между тем, самостоятельная защита хороша только до определенного уровня – с некоторыми типами хакерских угроз, особенно новыми и продолжающими развиваться, справиться единолично, в рамках компании, просто невозможно, а где одна осечка – там стоит ждать целой цепочки подобных нападений и на другие компании или ведомства по той же схеме. Для того, чтобы следить за модификацией и типами угроз, а так же помогать ведомствам подстраиваться под постоянно меняющийся ландшафт этого цифрового поля с минами, и была создана система государственных и частных центров компетенции (центров ГосСОПКА), которые обслуживают субъектов КИИ, помогая им следить за состоянием собственной безопасности как кураторы-консультанты и отчитываться перед подразделением, отвечающим за взаимодействие с субъектами КИИ (Национальный координационный центр по компьютерным инцидентам — НКЦКИ).

Такой центр ГосСОПКА берет на себя часть функций безопасности, необходимых для противодействия атакам на информационные системы субъектов КИИ. Поскольку хакеры не делятся точным расписанием атак и списком используемого вредоносного ПО, сложно предугадать необходимые компетенции ИБ-специалистов для каждого предприятия – могут потребоваться и вирусные аналитики, и компьютерные криминалисты, и реверсеры. Содержать их в штате «про запас», на случай потенциальной, но не гарантированной атаки, к примеру, на ПО заводских станков, вместо офисной инфраструктуры, не всегда рационально, так как их услуги могут потребоваться раз или два за год. Намного логичнее иметь пул таких «редких» специалистов, готовых помочь в случае необходимости, конкретному предприятию по конкретному запросу – и именно этим занимается тот центр ГосСОПКА, к которому подключено предприятие, где сотрудники ФСБ в случае возникновения инцидента посещают предприятие и решают проблему своими силами.

 

Что конкретно входит в функции центра ГосСОПКА и чем они могут помочь предприятию?

Основной функционал центров следующий:

• выявление и анализ уязвимостей обслуживаемых информационных систем, координация действий по устранению таких уязвимостей;
• анализ событий, регистрируемых компонентами обслуживаемых информационных систем и средств их защиты, для поиска признаков атак, направленных на эти системы;
• координация действий по реагированию на обнаруженную атаку, а если атака привела к инциденту — по ликвидации последствий такого инцидента;
• расследование инцидентов и ретроспективный анализ атак, которые не удалось предотвратить;
• информирование персонала обслуживаемых информационных систем, проведение киберучений.

Конечно же, подобные инициативы требуют глубокого погружения в устройство каждого конкретного предприятия КИИ. Центры очень плотно интегрируются с защищаемыми информационными системами: они получают полные инвентаризационные данные (вплоть до проверки установленных обновлений и отдельных параметров настройки операционных систем и приложений), контролируют их защищенность и анализируют события, регистрируемые их программным и аппаратным обеспечением. При этом они не заменяют собой собственные системы защиты информационных систем: в нормальных условиях все то же самое владельцы объектов КИИ должны делать самостоятельно, а центр ГосСОПКА своей деятельностью лишь компенсирует возможные ошибки. По сути, проверяет защищенность систем до атаки и помогает разгрести последствия после, если она все же произошла по новым или неучтенным ранее каналам.

Важно понимать, что полностью защититься от хакерских атак на КИИ нельзя, так как помимо аппаратных показателей, нужного ПО и обучения всегда остается человеческий фактор, как со стороны пользователей, так и со стороны атакующих, находящих и создающих новые бреши. Кроме того, совершенствуются и способы атак, связанные с развитием технологий. Эти недостатки обнаруживаются практически в каждой организации, независимо от формы собственности, государственной или отраслевой принадлежности. Во-первых, из-за организационных и технических ошибок в любой информационной системе в любой момент времени могут присутствовать уязвимости, позволяющие атаковать эту систему. На сегодняшний день нет эффективных способов избежать появления таких ошибок. Во-вторых, развитие технологий приводит к появлению новых способов проведения атак, и только через некоторое время после их возникновения появляются эффективные способы противодействия им. То есть всегда есть риск того, что в момент проведения атаки защищающаяся сторона окажется неспособна ей противодействовать из-за отсутствия необходимых знаний, опыта или технических средств. В-третьих, в каждой отдельной организации инциденты, связанные с хакерскими атаками, случаются крайне редко, и содержать пул специалистов в штате разорительно. Если применяемые меры защиты не могут гарантированно предотвратить атаку, значит, одновременно с принятием превентивных мер необходимо готовиться к реагированию на такую атаку. Если невозможно обеспечить все предприятия, входящие в критическую информационную инфраструктуру, специалистами с нужными компетенциями, значит нужно создавать центры компетенции, которые будут непосредственно подключаться к противодействию атакам. Этот подход и был заложен в концепцию ГосСОПКА.

 

Кто обязан и не обязан подключаться к системе?

Положения закона № 187-ФЗ обязывают к участию в системе две категории субъектов:

• Субъекты КИИ, которые обязаны незамедлительно информировать об инцидентах ФСБ, а в случаях, если речь идет о банке или другой сфере финансового рынка, то обязательно уведомлять еще и Центральный банк Российской Федерации. Кроме того, субъекты КИИ, которым на правах собственности, аренды или ином законном основании принадлежат значимые объекты КИИ, обязаны реагировать на инциденты в установленном ФСБ порядке, принимать меры по ликвидации последствий атак на значимые объекты КИИ.
• Субъекты ГосСОПКА - в требованиях к подразделениям и должностным лицам субъектов ГосСОПКА (нормативном документе НКЦКИ) субъекты ГосСОПКА определяются как государственные органы Российской Федерации, российские юридические лица и индивидуальные предприниматели, в силу закона или на основании заключенных с ФСБ России соглашений осуществляющие обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты. Это значит, что к ГосСОПКА может подключиться совершенно любая организация или орган государственной власти, у которых заключено соглашение с ФСБ России. Это могут быть как организации-лицензиаты, создающие центры для оказания услуг сторонним компаниям, так и организации, строящие центр для собственных нужд.

Коммерческие компании без государственного участия не обязаны подключаться к системе ГосСОПКА, однако могут сделать это добровольно, в случае потребности в защите от атак на важные для них данные, заключив с ФСБ соглашение. Надо отметить, что в таких случаях получение лицензии и организация собственного центра ГосСОПКА – процесс очень многоступенчатый и зарегулированный, и намного логичнее подключиться к компании-лицензиату, уже получившей все нужные разрешения. Подробнее о процессе подключения – в следующем разделе.

 

Как подключиться к ГосСОПКА и обмениваться информацией?

Несмотря на наличие электронного документооборота, процесс подключения все еще имеет «рудименты» в виде обязательных бумажных запросов. Так и здесь, для подключения субъекта КИИ к ГосСОПКА необходимо направить письменный запрос в ФСБ России по адресу: 107031, г. Москва, Ул. Большая Лубянка, д. 1/3. В запросе необходимо указать сферы деятельности субъекта КИИ, перечень информационных ресурсов, включенных в зону ответственности субъекта, контактные данные руководителя и лиц, ответственных за взаимодействие.

В соответствии с приказом ФСБ России № 367 само это «взаимодействие» осуществляется через НКЦКИ с помощью технической инфраструктуры НКЦКИ или по альтернативным каналам — почте (в том числе электронной), факсу, телефону. Для обмена информацией об инцидентах через техническую инфраструктуру НКЦКИ необходимо организовать канал защищенного межсетевого взаимодействия, решить организационные вопросы по определению зоны ответственности и подключить организацию к технической инфраструктуре под определенной учетной записью. Сам процесс подключения зависит от выбранного способа взаимодействия.

Решив подключиться к внешнему центру, необходимо пройти следующие этапы:

• обратиться в сторонний центр ГосСОПКА;
• назначить ответственного куратора проекта со стороны заказчика;
• передать информацию о cетевой инфраструктуре, информационных активах и степени их критичности для категорирования событий ИБ;
• подключить источники событий к центру ГосСОПКА;
• согласовать регламенты взаимодействия с центром ГосСОПКА в части реализации основных функций;
• не забывать уведомлять центр ГосСОПКА об изменениях инфраструктуры.

В случае самостоятельного подключения процесс будет следующим:

• построение оперативного центра мониторинга (SOC), включая:
• проектирование структуры SOC;
• создание необходимых нормативных документов, регламентирующих деятельность SOC;
• проектирование и описание процессов SOC с учетом требований документа «Методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА», в том числе процессы, реализующие основные функции центров ГосСОПКА;
• создание, настройка и документирование алгоритмов выявления компьютерных инцидентов;
• описание схем реагирования на различные типы инцидентов.
• включение в архитектуру SOC технических решений, необходимых для выполнения требований к лицензиату на деятельность по технической защите конфиденциальной информации в части вида деятельности по мониторингу информационной безопасности средств и систем мониторинга;
• получение лицензии на мониторинг информационной безопасности средств и систем автоматизации;
• включение в архитектуру SOC технических решений, необходимых для исполнения функций сегмента ГосСОПКА в соответствии с «Методическими рекомендациями по созданию ведомственных и корпоративных центров ГосСОПКА»;
• найм и обучение сотрудников 1-й, 2-й и 3-й линий SOC;
• разработка механизмов обмена данными между техническими средствами SOC и инфраструктурой ГосСОПКА;
• согласование параметров функций центра в части форматов и протоколов взаимодействия с НКЦКИ ФСБ России в ходе взаимодействия в рамках системы ГосСОПКА;
• обеспечение визуализации сведений и построение отчетов.

Как мы видим, этапов много, они достаточно затратны по времени и средствам, особенно в плане найма и обучения нужных специалистов. Оправданными такие вложения будут для крупных игроков рынка – например, банковских учреждений. Всем остальным участникам отрасли логичнее будет обратиться к лицензированным центрам, полностью посвятившим себя созданию необходимой инфраструктуры и подбору компетентного кадрового состава. Например, доверив нам, опытному системному интегратору, ведение подобного проекта, мы гарантируем беспроблемное подключение к ГосСОПКА через профессионала своего дела и титана рынка ИБ – Positive Technologies.

 

Выводы о ГосСОПКА

Рассмотрев назначение и функционал ГосСОПКА, можно сделать вывод, что задачи информационного взаимодействия намного глубже, чем просто отчетность по инцидентам для накопления статистики. В первую очередь ГосСОПКА призвана объединить специалистов реагирования и расследования компьютерных инцидентов в единое экспертное сообщество, обменивающегося обезличенной, но технически ценной информацией об угрозах безопасности. И это, с одной стороны, повышает ценность вклада каждого отдельного участника взаимодействия в обеспечение общей безопасности всех объектов КИИ, с другой стороны — позволяет рассчитывать на помощь «собратьев по оружию» и регулятора в отражении сложных и динамически развивающихся атак.

В следующих частях материала подробно коснемся роли НКЦКИ и требований ФСТЭК – оставайтесь с нами.