ГосСопка, ФСТЭК, НКЦКИ: все что нужно знать об оснащении КИИ. Часть 2

15.09.2022

Продолжаем знакомиться с устройством ГосСОПКИ, НКЦКИ и требованиями ФСТЭК. В этой части материала – подробно о НКЦКИ и всем, что происходит с данными.

Следите за актуальными новостями в нашем Telegram-канале

НКЦКИ расшифровывается как «национальный координационный центр по компьютерным инцидентам», и выступает в роли огромного информационного хаба. Это источник знаний о новых и актуальных угрозах безопасности информации, которая может стать востребованной любым из участников информационного обмена в ГосСОПКА, и предоставляемая информация носит именно практический характер защиты от новых угроз и повышения защищенности конкретного объекта.

 

Чем занимается НКЦКИ?

Поскольку НКЦКИ это в первую очередь регулятор и координатор от государства, его функционал не слишком широк – основной задачей для контролера выступает координация деятельности субъектов ГосСОПКА. В список задач входит анализ информации, получаемой от субъектов ГосСОПКА, взаимодействие с субъектами КИИ, обмен информацией о компьютерных инцидентах с органами иностранных государств, и рассылка уведомлений об угрозах и способах противодействия. Это связано с тем, что какого-то единого собственника у ГосСОПКА нет, и, так как все создаваемые центры принадлежат их владельцам, зачастую из очень разных сфер, то наблюдение и сбор данных о самых разных атаках и защитах – это самый рациональный способ управления таким разрозненным сообществом.

Несмотря на то, что НКЦКИ подведомственен ФСБ, касается это большей частью выдачи лицензий и учетности - непосредственно исполнением процедур по взысканию или наказанию они не занимаются, выдавать ордеры или штрафы не могут, а сами сотрудники НКЦКИ не являются представителями ФСБ. Задача НКЦКИ проще – предоставить участникам информационного обмена необходимые сведения для защиты от компьютерных атак, направляя сообщения об уязвимостях в ПО и бюллетени безопасности со сводкой актуальных угроз. Эти данные извлекаются непосредственно из ГосСОПКА, огромного «озера данных», где скапливается информация со всей страны о произошедших киберинцидентах.

Что я, как участник, буду передавать НКЦКИ? Что будет с моими данными?

Разберемся подробнее, что случается после того, как подключение к ГосСОПКА успешно завершается. Независимо от того, создавали ли вы его сами на предприятии или воспользовались аутсорсинговым центром с лицензией, центр ГосСОПКА передаст в НКЦКИ следующие данные:

  • наименование заказчика / субъекта КИИ, имеющиеся объекты КИИ;
  • категорию объектов КИИ (если применимо);
  • перечень используемого ПО;
  • перечень используемого телеком-оборудования и СЗИ;
  • информацию об уязвимостях (при наличии);
  • сведения об операторе связи, провайдере хостинга и выделенном блоке маршрутизируемых в интернете IP-адресов;
  • сведения о полных доменных именах, используемых в интернете.

Эта информация помогает НКЦКИ актуализировать и персонализировать для потребителей передаваемые бюллетени по безопасности, чтобы, например, в организацию, где все процессы построены на Windows-стеке, не приходила сводка уязвимостей по Astra Linux. Данные об операторах связи, доменных именах и открытых IP-адресах нужны НКЦКИ для выявления атак на критическую инфраструктуру на магистральных сетях связи и поиска информации об уязвимостях в даркнете.

 

В каком виде данные передаются в ГосСОПКА?

Формат карточек компьютерных атак и инцидентов, в соответствии с которым НКЦКИ ожидает получать сообщения от субъектов КИИ, опубликован на сайте safe-surf.ru. Общие же требования к содержанию карточек описаны в приказе ФСБ России № 367 от 24.07.2018 г.

Согласно документу, в ГосСОПКА передаются: дата, время, местонахождение или географическое местоположение объекта КИИ, на котором произошёл компьютерный инцидент; наличие причинно-следственной связи между компьютерным инцидентом и компьютерной атакой; связь с другими компьютерными инцидентами (при наличии); состав технических параметров компьютерного инцидента; последствия компьютерного инцидента.

При этом сотрудники НКЦКИ могут запросить дополнительную информацию по инциденту (например, часть трафика, где была зафиксирована кибератака, файлы вредоносной программы для последующего анализа и т. д.). Эти полученные от участников ГосСОПКА карточки становятся основным источником для формирования бюллетеней по безопасности, которые рассылает НКЦКИ. Все эти данные имеют значение: условная атака на условный ЗАГС со слабой защитой условным же вирусом-шифровальщиком будет оценена в рамках своей важности, в то время как подобный вирус в банковской системе не пробьется даже сквозь базовый файервол и в сводки с пометкой «Опасно! Всеобщая паника!» не попадет.

Что происходит внутри НКЦКИ

Все данные об инцидентах от субъектов КИИ (через ГосСОПКА и другие каналы связи, например электронную почту) поступают во внутреннюю IRP-систему НКЦКИ, где под каждое сообщение заводится карточка. Для каждой из карточек прописывается свой регламент (playbook), назначается ответственный, происходят обогащение полученных данных и выдача рекомендаций по реагированию.

Проверив источники атаки по внутренним репутационным базам НКЦКИ, в каждом отдельном случае принимаются решения, а если угроза представляет опасность и для других субъектов ГосСОПКА и о ней имеет смысл сообщить всем субъектам КИИ, им направятся уведомления о признаке компьютерного инцидента.

НКЦКИ также помогает в выявлении инцидентов путём анализа пользовательского DNS-трафика, анализирует подозрительные почтовые сообщения или файлы.

 

Как SOC обрабатывает бюллетени по ИБ

SOC – центра мониторинга и реагирования на киберинциденты, в который стекается вся информация из центров ГосСОПКА, заключивших соглашение с НКЦКИ. Полученная таким образом информация о выявленных НКЦКИ уязвимостях стекается в службу специально выделенных аналитиков угроз, где специалисты проверяют, насколько опасны для инфраструктуры заказчика указанные в бюллетене уязвимости, а также запускают на SIEM заказчика ретроспективный поиск индикаторов компрометации, если это необходимо. То есть, уже имея список примерных угроз и направлений атаки из бюллетеня, специалисты начинают мониторинг по выделенным областям.

Если актуальность выявленных угроз для одного или нескольких заказчиков подтверждается, то дежурные аналитики формируют уведомления о проверке на наличие угрозы. Сервис-менеджеры рассылают заказчикам эти уведомления, отслеживают факт их получения, проведения проверок и результаты. Если же дежурные смены заказчика не реагируют, то аналитики SOC эскалируют запросы по заранее опредёленным цепочкам: звонят CISO заказчика или будят ночью гендиректора и собственников. Параллельно этому группы CERT (внутри SOC) начинают работу по эмуляции атаки для формирования правил определения SIEM-системами и сигнатур на блокировку для средств защиты информации.

Процесс анализа включает в себя и реверс-инжиниринг (разбор на винтики) вредоносных программ, и их запуск в изолированных средах исполнения (на отдельных серверах, не подключенных к основной системе, в безопасной «песочнице», где, даже выйдя из-под контроля, они бы не смогли навредить). Получив правила детектирования (распознания угрозы), специалисты по мониторингу и реагированию ставят их на отслеживание в SIEM-системе и проводят ретроспективную (постфактум) проверку инцидента. В это же время специалисты OSINT ищут информацию о других фактах компрометации заказчиков в даркнете или обсуждение уязвимости на хакерских форумах. В итоге данные об инциденте попадают в единую базу знаний и в будущем ИБ-специалисты смогут использовать сформированные правила детектирования для того, чтобы оперативно выявлять и пресекать попытки эксплуатации подобных уязвимостей.

Вот такая непростая и комплексная система скрывается за казалось бы формальным требованием подключиться к ГосСОПКА, выполняемым многими из-за опасений навлечь административный или даже уголовный гнев на свою голову.

 

Кто и как строит ГосСОПКА для предприятий? Конкретные продукты

С вступлением в силу Закона и подзаконной нормативной базы окончательно поставлена точка в вопросе необходимости обеспечения информационной безопасности КИИ. Защищать КИИ нужно! И делать это придется планомерно и на регулярной основе всем организациям, которые осуществляют деятельность в банковской и кредитно-финансовой сфере, в областях здравоохранения, науки, транспорта, связи, энергетики и ТЭК, а также оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленностях.

Начать необходимо с инвентаризации собственной информационной инфраструктуры, что позволит выявить потенциальные значимые объекты КИИ. После чего провести их категорирование и сформировать набор требований по обеспечению безопасности, и затем создать и обеспечить эксплуатацию соответствующей системы защиты. Для создания системы защиты потребуются качественные СрЗИ, подтвержденные сертификатами соответствия регуляторов (ФСТЭК России и ФСБ России), а также наличие квалифицированного персонала.

Поскольку процесс оптимизации предприятия под требования законодательства не отличается особой простотой, порой доверить ее в чужие руки будет более логичным решением. Конечно, создать центр можно и самостоятельно, если в компании достаточно компетентных специалистов и есть время на отладку процессов и подбор решений – в идеале, так и следует подходить к процессу подключения к ГосСОПКА.

На практике, если вы субъект КИИ, быстрее и дешевле доверить все это дело уже получившим лицензию компаниям, готовым взять на себя все связанные вопросы – как «подружить» оборудование, что взять из реестровой техники, какой класс защиты нужен предприятию и т.д. Если говорить о конкретных компаниях, то успешно подключают крупных игроков рынка спецы из Positive Technologies. Так как компания полностью сосредоточена на инфобезопасности, включая разработку собственных продуктов, опыта в области им не занимать. Единственный минус – работать напрямую с заказчиком эти титаны рынка ИБ не могут, оперируя через вендоров, однако с этим может помочь любой системный интегратор, имеющий партнерский статус – например, мы, компания ВБК. Подробнее о плюсах работы с PT можно прочесть на официальном сайте, а получить бесплатную подробную консультацию по интеграции – здесь, заполнив форму обратной связи или позвонив по номеру, указанному в шапке сайта.

Другие новости

Новые требования по защите информации: обновления от ФСТЭК России, которые вступят в силу в марте 2026

Нововведения к защите информации коснутся государственных информационных систем и критических инфраструктур.

07.03.2025

Курс на перемены: оборудование и микроэлектронные компоненты, необходимые для работы с ИИ, хотят включить в реестр Минпромторга РФ

Новый проект постановления предлагает введение льгот для производителей оборудования с искусственным интеллектом.

07.02.2025

Нововведения от Минцифры РФ: классификация дата-центров по уровню надёжности в 2025 году

23 января 2025 года было объявлено о подготовке поправок ко второму чтению законопроекта о регулировании работы центров обработки данных (ЦОД). В документе, разрабатываемом Минцифры РФ, в числе прочего планируется введение классификации дата-центров.

24.01.2025

С наступающим!

Компания «ВБК» поздравляет с Новым 2025 годом!

28.12.2024

Массовая киберпреступность: россияне потеряли 158 миллиардов рублей из-за кибермошенников

В 2024 году киберпреступность в России вышла на новый уровень. По данным информационного агентства ТАСС, с января по октябрь 2024 года (включительно) хакеры похитили у граждан более 158 миллиардов рублей, что превышает ущерб прошлого года.

18.12.2024

Кибербезопасность в России. Какие нововведения ждут нас?

Биометрия, искусственный интеллект, национальная платформа антифрод, новые законопроекты – работа по борьбе с кибермошенничеством ведётся сразу в нескольких направлениях.

11.12.2024

Упрощение патентования IT-разработок: новые поправки в российском законодательстве

В данный момент идёт подготовка нового законопроекта, способного существенно расширить возможности патентования в сфере информационных технологий.

05.12.2024

Поддержка отечественного продукта: 18,5 млрд рублей на льготное кредитование производителей электроники

Правительство Российской Федерации продолжает поддерживать отечественных производителей, фокусируясь прежде всего на производителях высокотехнологичных изделий собственной разработки.

27.11.2024

Расходы на ИИ-инфраструктуру по всему миру: прогнозы аналитиков до 2028 года

Согласно подсчётам Международной исследовательской и консалтинговой компании International Data Corporation (IDC) мировые расходы на ИИ-инфраструктуру достигнут $107 млрд к 2028 году.

13.11.2024

Это всё меняет! Positive Technologies запустит PT NGFW

20.11.2024 Positive Technologies запустит межсетевой экран нового поколения на площадке VK Stadium.

08.11.2024

Обратная связь