Вначале было слово…
C 1 января 2018 года вступил в силу 187-ФЗ «О безопасности КИИ РФ», согласно статьи 9 которого все без исключения субъекты КИИ обязаны информировать о компьютерных инцидентах федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак. Таким органом, в соответствии с приказом ФСБ №366 назначен НКЦКИ (Национальный координационном центре по компьютерным инцидентам).
Владельцам же значимых объектов КИИ, в соответствии со статьей 10, вменена задача обеспечения непрерывного взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
Приказы ФСБ надо читать до конца
6-го сентября, помимо приказа о создании НКЦКИ, регистрацию в Минюсте прошли еще два приказа ФСБ №367 и 368, в которых утверждены перечни информации и порядок обмена информацией с ГосСОПКА.
При беглом прочтении, взгляд может зацепиться за то, что в приказах сказано, что субъект может работать с ФСБ напрямую и направлять в НКЦКИ уведомления и запросы посредством почтовой, телефонной или факсимильной связи. Но этот пункт нельзя воспринимать в отрыве от всего текста документа. При внимательном прочтении документа имеет смысл обратить внимание на то, что в тексте используется два понятия: «уведомление» и «информирование».
Уведомление – как направление уведомлений и запросов в рамках реагирования на инцидент между субъектами КИИ – действительно допускается и по телефону, тогда как информирование, которое подразумевает, в числе прочего, и сообщение технических подробностей об инциденте – уже осуществляется с использованием технической инфраструктуры НКЦКИ.
В итоге – без подключения к ГосСОПКЕ субъектам КИИ не обойтись. А кроме того, еще необходимо помнить о соблюдении предписанных форматов обмена информацией с НКЦКИ.
Что предстоит сделать
В рамках создания центра ГосСОПКА, субъекты КИИ должны выполнить задачи по:
- обнаружению компьютерных атак и инцидентов;
- предупреждению компьютерных атак и инцидентов;
- реагированию на компьютерные атаки и инциденты
- ликвидации последствий компьютерных атак;
- поиску признаков компьютерных атак в сетях;
- обмену информацией с ГосСОПКА;
- обеспечению защиты информации.
А в рамках выполнения перечисленных задач, субъектом должны быть обеспечены следующие функции:
- взаимодействие с НКЦКИ при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы и реагирования на компьютерные инциденты;
- разработка документов, регламентирующих процессы обнаружения, предупреждения и ликвидации последствий компьютерных инцидентов и реагирования на компьютерные инциденты;
- эксплуатация средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, выявление ошибок в работе средств и направление производителю средств информации о выявленных ошибках, а также актуализация средств, используемых для обеспечения защиты информационных ресурсов, направление в НКЦКИ предложений по совершенствованию средств;
- прием сообщений об инцидентах от персонала и пользователей информационных ресурсов;
- регистрация компьютерных атак и компьютерных инцидентов;
- анализ событий информационной безопасности;
- инвентаризация информационных ресурсов;
- анализ угроз информационной безопасности, прогнозирование их развития и направление в НКЦКИ результатов;
- составление и актуализация перечня угроз информационной безопасности для информационных ресурсов;
- выявление уязвимостей информационных ресурсов;
- формирование предложений по повышению уровня защищенности информационных ресурсов;
- составление перечня компьютерных инцидентов;
- ликвидация последствий компьютерных инцидентов;
- анализ результатов ликвидации последствий инцидентов;
- установление причин компьютерных инцидентов.
Этапность создания центра ГосСОПКА
Поставленные цели и задачи должны быть реализованы с помощью организационных и технических мер. Для оптимизации процесса и построения дорожной карты развития необходимое разделить процесс подключения, поддержки и развития на этапы, включающие в себя выполнение следующих задач:
- разработка концепции построения центра ГосСОПКА;
- разработка операционной и организационной модели (в т.ч. организационно-штатной структуры) центра ГосСОПКА с учетом требований, предъявляемых в рамках исполнения Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ;
- разработка архитектуры центра ГосСОПКА;
- разработка процессов центра ГосСОПКА с привязкой к бизнес-процессам и ИТ-инфраструктуре субъекта;
- разработка ключевых показателей эффективности (метрик) для оценки эффективности процессов (части процесса или группы процессов) центра ГосСОПКА;
- выбор и внедрение технических средств для обеспечения процессов центра ГосСОПКА;
- внедрение разработанных процессов;
- контроль эффективности внедренных процессов в соответствии с разработанными метриками;
- разработка системы визуализации отчетности по событиям и метрикам процессов центра ГосСОПКА для уровней руководства компании, руководства подразделений ИБ и операционного персонала;
- разработка необходимой нормативной документации;
- подготовка персонала.
Как «Информзащита» может помочь в истории с ГосСОПКА
Компания «Информзащита» готова помочь провести весь комплекс работ по созданию в субъекте КИИ центра ГосСОПКА и подключению созданного центра к инфраструктуре НКЦКИ.
ФСБ России и компания «Информзащита» в декабре 2018 года подписали соглашение о взаимодействии в области обнаружения, предупреждения и ликвидации компьютерных атак в рамках ГосСОПКА.
Соглашение даёт Центру обнаружения (Security Operation Center), предупреждения и ликвидации последствий компьютерных атак компании «Информзащита», работающему под брендом IZ:SOС, право исполнять функции центра ГосСОПКА для государственных органов Российской Федерации, российских юридических лиц и индивидуальных предпринимателей. В рамках функций центра ГосСОПКА «Информзащита» будет выполнять задачи по обнаружению, реагированию и ликвидации последствий компьютерных атак, а также по оценке защищённости инфраструктуры и обеспечению взаимодействия Субъектов ГосСОПКА с Национальным координационным центром по компьютерным инцидентам.