ГосСопка, ФСТЭК, НКЦКИ: все что нужно знать об оснащении КИИ. Часть 2

15.09.2022

Продолжаем знакомиться с устройством ГосСОПКИ, НКЦКИ и требованиями ФСТЭК. В этой части материала – подробно о НКЦКИ и всем, что происходит с данными.

Следите за актуальными новостями в нашем Telegram-канале

НКЦКИ расшифровывается как «национальный координационный центр по компьютерным инцидентам», и выступает в роли огромного информационного хаба. Это источник знаний о новых и актуальных угрозах безопасности информации, которая может стать востребованной любым из участников информационного обмена в ГосСОПКА, и предоставляемая информация носит именно практический характер защиты от новых угроз и повышения защищенности конкретного объекта.

 

Чем занимается НКЦКИ?

Поскольку НКЦКИ это в первую очередь регулятор и координатор от государства, его функционал не слишком широк – основной задачей для контролера выступает координация деятельности субъектов ГосСОПКА. В список задач входит анализ информации, получаемой от субъектов ГосСОПКА, взаимодействие с субъектами КИИ, обмен информацией о компьютерных инцидентах с органами иностранных государств, и рассылка уведомлений об угрозах и способах противодействия. Это связано с тем, что какого-то единого собственника у ГосСОПКА нет, и, так как все создаваемые центры принадлежат их владельцам, зачастую из очень разных сфер, то наблюдение и сбор данных о самых разных атаках и защитах – это самый рациональный способ управления таким разрозненным сообществом.

Несмотря на то, что НКЦКИ подведомственен ФСБ, касается это большей частью выдачи лицензий и учетности - непосредственно исполнением процедур по взысканию или наказанию они не занимаются, выдавать ордеры или штрафы не могут, а сами сотрудники НКЦКИ не являются представителями ФСБ. Задача НКЦКИ проще – предоставить участникам информационного обмена необходимые сведения для защиты от компьютерных атак, направляя сообщения об уязвимостях в ПО и бюллетени безопасности со сводкой актуальных угроз. Эти данные извлекаются непосредственно из ГосСОПКА, огромного «озера данных», где скапливается информация со всей страны о произошедших киберинцидентах.

Что я, как участник, буду передавать НКЦКИ? Что будет с моими данными?

Разберемся подробнее, что случается после того, как подключение к ГосСОПКА успешно завершается. Независимо от того, создавали ли вы его сами на предприятии или воспользовались аутсорсинговым центром с лицензией, центр ГосСОПКА передаст в НКЦКИ следующие данные:

  • наименование заказчика / субъекта КИИ, имеющиеся объекты КИИ;
  • категорию объектов КИИ (если применимо);
  • перечень используемого ПО;
  • перечень используемого телеком-оборудования и СЗИ;
  • информацию об уязвимостях (при наличии);
  • сведения об операторе связи, провайдере хостинга и выделенном блоке маршрутизируемых в интернете IP-адресов;
  • сведения о полных доменных именах, используемых в интернете.

Эта информация помогает НКЦКИ актуализировать и персонализировать для потребителей передаваемые бюллетени по безопасности, чтобы, например, в организацию, где все процессы построены на Windows-стеке, не приходила сводка уязвимостей по Astra Linux. Данные об операторах связи, доменных именах и открытых IP-адресах нужны НКЦКИ для выявления атак на критическую инфраструктуру на магистральных сетях связи и поиска информации об уязвимостях в даркнете.

 

В каком виде данные передаются в ГосСОПКА?

Формат карточек компьютерных атак и инцидентов, в соответствии с которым НКЦКИ ожидает получать сообщения от субъектов КИИ, опубликован на сайте safe-surf.ru. Общие же требования к содержанию карточек описаны в приказе ФСБ России № 367 от 24.07.2018 г.

Согласно документу, в ГосСОПКА передаются: дата, время, местонахождение или географическое местоположение объекта КИИ, на котором произошёл компьютерный инцидент; наличие причинно-следственной связи между компьютерным инцидентом и компьютерной атакой; связь с другими компьютерными инцидентами (при наличии); состав технических параметров компьютерного инцидента; последствия компьютерного инцидента.

При этом сотрудники НКЦКИ могут запросить дополнительную информацию по инциденту (например, часть трафика, где была зафиксирована кибератака, файлы вредоносной программы для последующего анализа и т. д.). Эти полученные от участников ГосСОПКА карточки становятся основным источником для формирования бюллетеней по безопасности, которые рассылает НКЦКИ. Все эти данные имеют значение: условная атака на условный ЗАГС со слабой защитой условным же вирусом-шифровальщиком будет оценена в рамках своей важности, в то время как подобный вирус в банковской системе не пробьется даже сквозь базовый файервол и в сводки с пометкой «Опасно! Всеобщая паника!» не попадет.

Что происходит внутри НКЦКИ

Все данные об инцидентах от субъектов КИИ (через ГосСОПКА и другие каналы связи, например электронную почту) поступают во внутреннюю IRP-систему НКЦКИ, где под каждое сообщение заводится карточка. Для каждой из карточек прописывается свой регламент (playbook), назначается ответственный, происходят обогащение полученных данных и выдача рекомендаций по реагированию.

Проверив источники атаки по внутренним репутационным базам НКЦКИ, в каждом отдельном случае принимаются решения, а если угроза представляет опасность и для других субъектов ГосСОПКА и о ней имеет смысл сообщить всем субъектам КИИ, им направятся уведомления о признаке компьютерного инцидента.

НКЦКИ также помогает в выявлении инцидентов путём анализа пользовательского DNS-трафика, анализирует подозрительные почтовые сообщения или файлы.

 

Как SOC обрабатывает бюллетени по ИБ

SOC – центра мониторинга и реагирования на киберинциденты, в который стекается вся информация из центров ГосСОПКА, заключивших соглашение с НКЦКИ. Полученная таким образом информация о выявленных НКЦКИ уязвимостях стекается в службу специально выделенных аналитиков угроз, где специалисты проверяют, насколько опасны для инфраструктуры заказчика указанные в бюллетене уязвимости, а также запускают на SIEM заказчика ретроспективный поиск индикаторов компрометации, если это необходимо. То есть, уже имея список примерных угроз и направлений атаки из бюллетеня, специалисты начинают мониторинг по выделенным областям.

Если актуальность выявленных угроз для одного или нескольких заказчиков подтверждается, то дежурные аналитики формируют уведомления о проверке на наличие угрозы. Сервис-менеджеры рассылают заказчикам эти уведомления, отслеживают факт их получения, проведения проверок и результаты. Если же дежурные смены заказчика не реагируют, то аналитики SOC эскалируют запросы по заранее опредёленным цепочкам: звонят CISO заказчика или будят ночью гендиректора и собственников. Параллельно этому группы CERT (внутри SOC) начинают работу по эмуляции атаки для формирования правил определения SIEM-системами и сигнатур на блокировку для средств защиты информации.

Процесс анализа включает в себя и реверс-инжиниринг (разбор на винтики) вредоносных программ, и их запуск в изолированных средах исполнения (на отдельных серверах, не подключенных к основной системе, в безопасной «песочнице», где, даже выйдя из-под контроля, они бы не смогли навредить). Получив правила детектирования (распознания угрозы), специалисты по мониторингу и реагированию ставят их на отслеживание в SIEM-системе и проводят ретроспективную (постфактум) проверку инцидента. В это же время специалисты OSINT ищут информацию о других фактах компрометации заказчиков в даркнете или обсуждение уязвимости на хакерских форумах. В итоге данные об инциденте попадают в единую базу знаний и в будущем ИБ-специалисты смогут использовать сформированные правила детектирования для того, чтобы оперативно выявлять и пресекать попытки эксплуатации подобных уязвимостей.

Вот такая непростая и комплексная система скрывается за казалось бы формальным требованием подключиться к ГосСОПКА, выполняемым многими из-за опасений навлечь административный или даже уголовный гнев на свою голову.

 

Кто и как строит ГосСОПКА для предприятий? Конкретные продукты

С вступлением в силу Закона и подзаконной нормативной базы окончательно поставлена точка в вопросе необходимости обеспечения информационной безопасности КИИ. Защищать КИИ нужно! И делать это придется планомерно и на регулярной основе всем организациям, которые осуществляют деятельность в банковской и кредитно-финансовой сфере, в областях здравоохранения, науки, транспорта, связи, энергетики и ТЭК, а также оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленностях.

Начать необходимо с инвентаризации собственной информационной инфраструктуры, что позволит выявить потенциальные значимые объекты КИИ. После чего провести их категорирование и сформировать набор требований по обеспечению безопасности, и затем создать и обеспечить эксплуатацию соответствующей системы защиты. Для создания системы защиты потребуются качественные СрЗИ, подтвержденные сертификатами соответствия регуляторов (ФСТЭК России и ФСБ России), а также наличие квалифицированного персонала.

Поскольку процесс оптимизации предприятия под требования законодательства не отличается особой простотой, порой доверить ее в чужие руки будет более логичным решением. Конечно, создать центр можно и самостоятельно, если в компании достаточно компетентных специалистов и есть время на отладку процессов и подбор решений – в идеале, так и следует подходить к процессу подключения к ГосСОПКА.

На практике, если вы субъект КИИ, быстрее и дешевле доверить все это дело уже получившим лицензию компаниям, готовым взять на себя все связанные вопросы – как «подружить» оборудование, что взять из реестровой техники, какой класс защиты нужен предприятию и т.д. Если говорить о конкретных компаниях, то успешно подключают крупных игроков рынка спецы из Positive Technologies. Так как компания полностью сосредоточена на инфобезопасности, включая разработку собственных продуктов, опыта в области им не занимать. Единственный минус – работать напрямую с заказчиком эти титаны рынка ИБ не могут, оперируя через вендоров, однако с этим может помочь любой системный интегратор, имеющий партнерский статус – например, мы, компания ВБК. Подробнее о плюсах работы с PT можно прочесть на официальном сайте, а получить бесплатную подробную консультацию по интеграции – здесь, заполнив форму обратной связи или позвонив по номеру, указанному в шапке сайта.

Другие новости

Упрощение патентования IT-разработок: новые поправки в российском законодательстве

В данный момент идёт подготовка нового законопроекта, способного существенно расширить возможности патентования в сфере информационных технологий.

25.11.2024

Кибербезопасность в России. Какие нововведения ждут нас?

Биометрия, искусственный интеллект, национальная платформа антифрод, новые законопроекты – работа по борьбе с кибермошенничеством ведётся сразу в нескольких направлениях.

22.11.2024

Поддержка отечественного продукта: 18,5 млрд рублей на льготное кредитование производителей электроники

Правительство Российской Федерации продолжает поддерживать отечественных производителей, фокусируясь прежде всего на производителях высокотехнологичных изделий собственной разработки.

13.11.2024

Это всё меняет! Positive Technologies запустит PT NGFW

20.11.2024 Positive Technologies запустит межсетевой экран нового поколения на площадке VK Stadium.

08.11.2024

Экспорт российского ПО: прогноз на устойчивый рост

Аналитики Центра макроэкономического анализа и краткосрочного прогнозирования (ЦМАКП) полагают, что к 2029 году доля экспортного потенциала российского нового общесистемного программного обеспечения достигнет 4%.

01.11.2024

В приоритете — отечественное производство. Госзакупки российских операционных систем и ПО выросли на 31%

С января по сентябрь 2024 года включительно был зафиксирован существенный рост госзакупок системного офисного ПО и операционных систем отечественного производства. В сравнении с 2023 годом, объём закупок вырос на 31,2%.

24.10.2024

Изменение правил аккредитации для IT-компаний: упрощение процедуры от Правительства РФ

Летом 2024 года Правительство РФ приняло ряд изменений, упрощающих получение аккредитации для IT-компаний. Ранее с подобным предложением выступало Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры РФ).

17.10.2024

Рост российского рынка кибербезопасности обогнал мировой уровень

Эксперты Центра цифрового развития «ЦСР» опубликовали исследование «Прогноз развития рынка кибербезопасности в Российской Федерации на 2024-2028 годы» и оценили развитие рынка кибербезопасности в 2023 году.

10.10.2024

Дефицит российских серверов: значение и последствия

Под конец 2023 года тенденция нехватки отечественной техники стала настолько сильной, что внимание на нее обратили во всех инстанциях. Как с этим справляются власти и бизнес?

28.02.2024

“Акцент на качество”: субсидии для микроэлектроники

Государство смещает фокус внимания с количества импортозамещающих продуктов на их качество. Рекордный объем вливаний в отрасль в 2024 году.

22.02.2024

Обратная связь