Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. Создание госсистемы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ — Российская газета Компьютерных атак с

(Выписка)
В целях обеспечения информационной безопасности Российской Федерации постановляю:
1. Возложить на Федеральную службу безопасности Российской Федерации полномочия по созданию государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации - информационные системы и информационно-телекоммуникационные сети, находящиеся на территории Российской Федерации и в дипломатических представительствах и консульских учреждениях Российской Федерации за рубежом.

2. Определить основными задачами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации:

А) прогнозирование ситуации в области обеспечения информационной безопасности Российской Федерации;

Б) обеспечение взаимодействия владельцев информационных ресурсов Российской Федерации, операторов связи, иных субъектов, осуществляющих лицензируемую деятельность в области защиты информации, при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;

В) осуществление контроля степени защищенности критической информационной инфраструктуры Российской Федерации от компьютерных атак;

Г) установление причин компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации.

3. Установить, что Федеральная служба безопасности Российской Федерации:

А) организует и проводит работы по созданию государственной системы, названной в пункте 1 настоящего Указа, осуществляет контроль за исполнением этих работ, а также обеспечивает во взаимодействии с государственными органами функционирование ее элементов;

Б) разрабатывает методику обнаружения компьютерных атак на информационные системы и информационно-телекоммуникационные сети государственных органов и по согласованию с их владельцами - на иные информационные системы и информационно-телекоммуникационные сети;

В) определяет порядок обмена информацией между федеральными органами исполнительной власти о компьютерных инцидентах, связанных с функционированием информационных ресурсов Российской Федерации;

Г) организует и проводит в соответствии с законодательством Российской Федерации мероприятия по оценке степени защищенности критической информационной инфраструктуры Российской Федерации от компьютерных атак;

Е) определяет порядок обмена информацией между федеральными органами исполнительной власти и уполномоченными органами иностранных государств (международными организациями) о компьютерных инцидентах, связанных с функционированием информационных ресурсов, и организует обмен такой информацией.

4. Настоящий Указ вступает в силу со дня его подписания.

Президент Российской Федерации
В. Путин

Прим. ред.: указ опубликован на

В целях совершенствования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и в соответствии со статьей 6 Федерального закона от 26 июля 2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" постановляю:

1. Возложить на Федеральную службу безопасности Российской Федерации функции федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации - информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, находящиеся на территории Российской Федерации, в дипломатических представительствах и консульских учреждениях Российской Федерации.

2. Установить, что задачами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации являются:

а) прогнозирование ситуации в области обеспечения информационной безопасности Российской Федерации;

б) обеспечение взаимодействия владельцев информационных ресурсов Российской Федерации, операторов связи, иных субъектов, осуществляющих лицензируемую деятельность в области защиты информации, при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;

в) осуществление контроля степени защищенности информационных ресурсов Российской Федерации от компьютерных атак;

г) установление причин компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации.

3. Установить, что Федеральная служба безопасности Российской Федерации:

а) обеспечивает и контролирует функционирование государственной системы, названной в настоящего Указа;

б) формирует и реализует в пределах своих полномочий государственную научно-техническую политику в области обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;

по обнаружению компьютерных атак на информационные ресурсы Российской Федерации;

по предупреждению и установлению причин компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации, а также по ликвидации последствий этих инцидентов.

4. Внести в пункт 9 Положения о Федеральной службе безопасности Российской Федерации, утвержденного Указом Президента Российской Федерации от 11 августа 2003 г. № 960 "Вопросы Федеральной службы безопасности Российской Федерации" (Собрание законодательства Российской Федерации, 2003, № 33, ст. 3254; 2004, № 28, ст. 2883; 2005, № 36, ст. 3665; № 49, ст. 5200; 2006, № 25, ст. 2699; № 31, ст. 3463; 2007, № 1, ст. 205; № 49, ст. 6133; № 53, ст. 6554; 2008, № 36, ст. 4087; № 43, ст. 4921; № 47, ст. 5431; 2010, № 17, ст. 2054; № 20, ст. 2435; 2011, № 2, ст. 267; № 9, ст. 1222; 2012, № 7, ст. 818; № 8, ст. 993; № 32, ст. 4486; 2013, № 12, ст. 1245; № 26, ст. 3314; № 52, ст. 7137, 7139; 2014, № 10, ст. 1020; № 44, ст. 6041; 2015, № 4, ст. 641; 2016, № 50, ст. 7077; 2017, № 21, ст. 2991), следующие изменения:

а) подпункт 20.1 изложить в следующей редакции:

"20.1) в пределах своих полномочий разрабатывает и утверждает нормативные и методические документы по вопросам обеспечения информационной безопасности информационных систем, созданных с использованием суперкомпьютерных и грид-технологий, информационных ресурсов Российской Федерации, а также осуществляет контроль за обеспечением информационной безопасности указанных систем и ресурсов;";

б) подпункт 47 изложить в следующей редакции:

"47) организует и проводит исследования в области защиты информации, экспертные криптографические, инженерно-криптографические и специальные исследования шифровальных средств, специальных и закрытых информационно-телекоммуникационных систем, информационных систем, созданных с использованием суперкомпьютерных и грид-технологий, а также информационных ресурсов Российской Федерации;";

в) подпункт 49 изложить в следующей редакции:

"49) осуществляет подготовку экспертных заключений на предложения о проведении работ по созданию специальных и защищенных с использованием шифровальных (криптографических) средств информационно-телекоммуникационных систем и сетей связи, информационных систем, созданных с использованием суперкомпьютерных и грид-технологий, а также информационных ресурсов Российской Федерации;".

5. Внести в Указ Президента Российской Федерации от 15 января 2013 г. № 31с "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации" (Собрание законодательства Российской Федерации, 2013, № 3, ст. 178) следующие изменения:

а) из пункта 1 слова "- информационные системы и информационно-телекоммуникационные сети, находящиеся на территории Российской Федерации и в дипломатических представительствах и консульских учреждениях Российской Федерации за рубежом" исключить;

б) пункт 2 и подпункты "а" - "е" пункта 3 признать утратившими силу.

Президент Российской Федерации В. Путин

Москва, Кремль

Обзор документа

Ранее на ФСБ России были возложены полномочия по созданию системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информресурсы России (информсистемы и информационно-телекоммуникационные сети, находящиеся на территории нашей страны и в диппредставительствах и консульских учреждениях России за рубежом).

Решено возложить на Службу функции федерального органа власти, уполномоченного в области обеспечения функционирования системы.

Уточнено, что ресурсы включают в себя информсистемы, информационно-телекоммуникационные сети и автоматизированные системы управления, находящиеся на территории нашей страны, в диппредставительствах и консульских учреждениях России.

Пересмотрены задачи системы. Скорректированы Положение о Службе и Указ Президента РФ о создании системы.

1. Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации представляет собой единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. В целях настоящей статьи под информационными ресурсами Российской Федерации понимаются информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, находящиеся на территории Российской Федерации, в дипломатических представительствах и (или) консульских учреждениях Российской Федерации.

2. К силам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, относятся:

1) подразделения и должностные лица федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;

2) организация, создаваемая федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, для обеспечения координации деятельности субъектов критической информационной инфраструктуры по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты (далее - национальный координационный центр по компьютерным инцидентам);

3) подразделения и должностные лица субъектов критической информационной инфраструктуры, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и в реагировании на компьютерные инциденты.

3. Средствами, предназначенными для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, являются технические, программные, программно-аппаратные и иные средства для обнаружения (в том числе для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры), предупреждения, ликвидации последствий компьютерных атак и (или) обмена информацией, необходимой субъектам критической информационной инфраструктуры при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак, а также криптографические средства защиты такой информации.

4. Национальный координационный центр по компьютерным инцидентам осуществляет свою деятельность в соответствии с положением , утверждаемым федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

5. В государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации осуществляются сбор, накопление, систематизация и анализ информации, которая поступает в данную систему через средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак, информации, которая представляется субъектами критической информационной инфраструктуры и федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, в соответствии с перечнем информации и в порядке, определяемыми федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, а также информации, которая может представляться иными не являющимися субъектами критической информационной инфраструктуры органами и организациями, в том числе иностранными и международными.

6. Федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, организует в установленном им порядке обмен информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры, а также между субъектами критической информационной инфраструктуры и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.

7. Предоставление из государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации сведений, составляющих государственную либо иную охраняемую законом тайну, осуществляется в соответствии с законодательством Российской Федерации.

«О безопасности критической информационной инфраструктуры Российской Федерации»). В нем одной из задач системы безопасности критической информационной инфраструктуры (КИИ) помимо обеспечения собственной безопасности заявлено непрерывное взаимодействие объектов КИИ, таких как здравоохранение, наука, транспорт, атомная промышленность, энергетика и другие, с ГосСОПКА.

Причем мероприятия по мониторингу штатного функционирования ИТ-ресурсов, автоматизированных систем управления и телекоммуникационного оборудования, а также выявлению и прогнозированию угроз информационной безопасности должны проводиться в непрерывном режиме. Для решения в том числе задачи непрерывности при ограниченных кадровых ресурсах существует возможность вовлечения коммерческих организаций, которые осуществляют лицензируемую деятельность в сфере защиты информации.

ГосСОПКА. Общее описание структуры

осударственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак является территориально распределенной совокупностью центров (сил и средств), организованной по ведомственному и территориальному принципам. Один из них – Национальный координационный центр по компьютерным инцидентам.

Созданию такой системы послужили следующие нормативные акты:

  • Указ президента РФ от 15 января 2013 года № 31с;
  • Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации (утверждены президентом РФ 3 февраля 2012 года, № 803);
  • Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (№ К 1274 от 12 декабря 2014 года);
  • Федеральный закон № 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации»;
  • Методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА от Центра защиты информации и специальной связи Федеральной службы безопасности.
Иерархия взаимодействия центров ГосСОПКА

ГосСОПКА. Стадии создания

Глобально в направлении безопасности КИИ можно выделить несколько стадий создания сегмента ГосСОПКА в организации:
  • определение зоны ответственности, текущего состава и состояния защищаемых инфраструктур и «модели угроз»;
  • запуск или адаптация инструментов, требуемых для обеспечения функций центра;
  • обеспечение выполнения процессов ГосСОПКА;
  • формирование и поддержание в актуальном состоянии детализированной информации об информационных ресурсах, находящихся в зоне ответственности ведомственного центра;
  • сбор и анализ информации о компьютерных атаках и вызванных ими компьютерных инцидентах;
  • проведение мероприятий по оперативному реагированию на компьютерные атаки и вызванные ими компьютерные инциденты, а также по ликвидации их последствий в информационных ресурсах;
  • принятие управляющих решений по обеспечению информационной безопасности информационных ресурсов;
  • выявление, сбор и анализ сведений об уязвимостях, а также проведение мероприятий по оценке защищенности от компьютерных атак и вирусных заражений информационных ресурсов;
  • информирование заинтересованных лиц и субъектов ГосСОПКА по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак;
  • обеспечение защиты данных, передаваемых между ведомственным центром и Главным центром по каналам, защищенным с использованием сертифицированных ФСБ России средств защиты информации;
  • предоставление дополнительной информации о компьютерных инцидентах в информационно-телекоммуникационных сетях, находящихся в зоне ответственности ведомственного центра, по запросам Главного центра ГосСОПКА;
  • обеспечение взаимодействия с вышестоящим центром ГосСОПКА по вопросам состояния защищенности и возникающим инцидентам.

Структура и основные направления деятельности ГосСОПКА
Важную роль в обеспечении безопасности выполняют ведомственные центры, в функции которых помимо обеспечения безопасности в зоне ответственности входит агрегация информации о защищенности и происходящих инцидентах у всех подведомственных организаций. В их задачи также входят проведение аналитики на основании полученных данных, выявление общих трендов или актуальных векторов и передача информации о них в нижестоящие центры.

В итоге получаемая информация о видах вредоносного ПО и используемых сценариях атаки позволяет ГосСОПКА как «информационному хабу» проводить аналитику актуальности векторов для других подключенных организаций и в режиме информационного взаимодействия формировать адресный сигнал субъектам критической информационной инфраструктуры для организации превентивной защиты.

ГосСОПКА. Задачи

Определение зоны ответственности и состояния защищенности

Стартовые задачи создания сегмента очень похожи на классические работы по любому проекту информационной безопасности:

  • определение перечня информационных систем и инфраструктур, которые требуют защиты (инвентаризация), отдельно – доступных из сети Интернет;
  • определение модели угроз (компьютерных инцидентов, от которых мы планируем защищаться и на которые планируем реагировать);
  • определение фактических возможностей текущей инфраструктуры реализовать защиту от указанных в модели угроз инцидентов;
  • определение инструментов и ресурсной (кадровой) базы, которая потребуется для реализации защиты.
Несмотря на кажущуюся простоту, даже первая часть задачи – «нарисовать периметр» – зачастую становится крайне сложной. Потенциальные сегменты ГосСОПКА порой представляют собой территориально распределенные, сложные комплексные инфраструктуры, и понять, какие именно каналы выхода в Интернет имеются, какие сервисы за годы существования компании оказались на периметре, с какой целью и зачем – достаточно трудоемкая, комплексная задача.

При построении прототипа важно учитывать, какие задачи необходимо будет решать центру на ежедневной основе. Их можно разделить на четыре больших блока по функционалу.

1. Управление инцидентами ИБ:
a. анализ событий безопасности;
b. обнаружение компьютерных атак;
c. регистрация инцидентов;
d. реагирование на инциденты и ликвидация последствий;
e. установление причин инцидентов;
f. анализ результатов устранения последствий инцидентов.

2. Анализ защищенности инфраструктуры:
a. инвентаризация ресурсов;
b. анализ угроз информационной безопасности.

3. Работа с персоналом:
a. повышение квалификации персонала;
b. прием сообщений о возможных инцидентах от персонала.

4. Информационное взаимодействие с вышестоящим центром.

Стоит отметить, что с точки зрения и инцидентов, и анализов защищенности требования к центру ГосСОПКА в первую очередь фокусируются на злоумышленнике внешнем, то есть хакере/киберпреступнике. Это видно в том числе из наиболее обозначенных категорий инцидентов: DDoS, ВПО, уязвимости, сканирования и брутфорсы, несанкционированный доступ. Это при всей сложности и изощренности текущих кибератак позволяет точнее определить приоритеты и инструментарий.

Инструментарий центра ГосСОПКА

Для того, чтобы реализовать достаточный уровень защищенности и продуктивное взаимодействие с ГосСОПКА, необходимо подготовить платформу как в организационном, так и техническом плане. Если опереться на задачи и типы инцидентов, описанные параграфом выше, то инструментарий кажется вполне прозрачным:

  • активные средства защиты, направленные на противодействие преодолению периметра и антивирусную защиту хостов;
  • система обнаружения атак, нацеленная на фиксацию попыток эксплуатации уязвимостей;
  • система защиты от DDoS;
  • сканер уязвимостей;
  • система сбора и корреляции событий (SIEM) для фиксации сканирований, брутфорсов и фактов несанкционированного доступа;
  • система service desk и информационного взаимодействия для замкнутого управления циклом инцидентов и передачи информации в вышестоящий центр ГосСОПКА.
Но так кажется лишь на первый взгляд. С одной стороны, при небольших объемах инфраструктуры указанные типы инцидентов можно фиксировать и без SIEM. С другой – термин «уязвимость» трактуется достаточно широко, в том числе, в текущих документах. Если возможный вектор атаки может быть реализован с помощью уязвимости веб-приложения, опубликованного в Интернете, то очевидно, что система обнаружения атак не поможет нам ее зафиксировать и прореагировать. В данном случае возможен подход к выявлению и закрытию уязвимостей путем запуска процесса контроля уязвимостей программного кода или использования наложенных средств защиты, например, Web Application Firewall. Поэтому данный вопрос на текущий момент является точкой нежесткого регулирования и требует здравого смысла и практического подхода к собственной защищенности от специалистов по информационной безопасности конкретного центра.

Кадровые вопросы центра и требования к квалификации

Остается нераскрытым достаточно важный вопрос: каким образом должны эксплуатироваться данные средства защиты, чтобы эффективно обеспечивать безопасность КИИ и реализацию описанных выше процессов. Достаточно легко можно увидеть, что перечисленные задачи и работы требуют существенного штата и квалификации сотрудников для эксплуатации. Ниже приводится пример подхода к ресурсному планированию центра.

Роль Функции Количество
Специалист по обнаружению компьютерных атак и инцидентов Анализ событий безопасности, регистрация инцидентов 6
Специалист по обслуживанию технических средств SOC Обеспечение функционирования технических средств, размещаемых в SOC, а также дополнительных средств защиты информационных систем 6
Специалист по оценке защищенности Проведение инвентаризации информационных ресурсов, анализ выявленных уязвимостей и угроз, установление соответствия требований по информационной безопасности принимаемым мерам 2
Специалист по ликвидации последствий компьютерных инцидентов Координация действий при реагировании на компьютерные атаки 2
Специалист по установлению причин компьютерных инцидентов Установление причин инцидентов, анализ последствий инцидентов 2
Аналитик-методист Анализ информации, предоставляемой специалистами первой и второй линий; разработка нормативных документов и методических рекомендаций 2
Технический эксперт Экспертная поддержка в соответствии со специализацией (вредоносное программное обеспечение, настройка средств защиты, применение специализированных технических средств, оценка защищенности и т. п.) 2
Юрист Нормативно-правовое сопровождение деятельности SOC 1
Руководитель Управление деятельностью SOC 1
Две оговорки:
  • данная таблица характеризует области ответственности, задачи и функции персонала, а не отдельные выделенные роли. Поэтому неверно складывать цифры в правом столбце: аналитик-методист вполне может выполнять задачи по оценке защищенности или являться по совместительству руководителем центра (хотя это и нарушает некоторую логику разделения полномочий);

  • количественные оценки специалистов по каждой области не являются частью документов, а описывают мнение автора статьи. В действительности, для обеспечения мониторинга и реагирования на инциденты в круглосуточном режиме (внешние атаки не ограничиваются режимом 8*5) так или иначе требуется запуск дежурной смены, численность которой не может быть менее шести человек. В то же время кадровая устойчивость центра требует резервирования компетенций: хотя бы два человека должны обладать знаниями по оценке защищенности, анализу инцидентов и т. д.
Тем не менее, из приведенной таблицы видно, что экспертизы требуются самые разнообразные: как специалистов по анализу журналов и атак в SIEM-системе, так и команды реагирования, готовой провести блокировку на активных средствах защиты, и разработчиков новых сценариев… Так или иначе кадровая конструкция центра ГосСОПКА возникает достаточно массивной и вряд ли может состоять менее чем из десяти человек.

Естественно, не остаются вне документов и указанных функций центра ГосСОПКА и процессные части обеспечения безопасности. Определяются регламенты выявления. Должны существовать профили или flight guide по реагированию на инциденты, процессы анализа эффективности работ, в том числе, по устранению инцидентов. Надо заниматься прогнозированием новых угроз. Все это приводит нас к мысли, что работы, функции и задачи центра ГосСОПКА по основным пунктам совпадают с целями и задачами Security Operations Center и их функционалу. Что приближает решение данной задачи к актуальному на текущий момент для многих компаний направлению – запуску функций SOC в своей инфраструктуре.

В заключение следует отметить достаточно непривычную на текущем этапе регламентирования структуру тематики ГосСОПКА. В отличие от большинства российских регулирующих документов закон в первую очередь ссылается не на инструментарий и регламентно-распорядительную базу, а на наличие процессов обеспечения безопасности в организации. Такой подход автоматически создает очень существенные требования к общему уровню безопасности и кадровому обеспечению центра ГосСОПКА, поскольку без людей процессов не существует. Ответом на данный вызов в общем кадровом голоде и нехватке специалистов по кибербезопасности действительно может стать сервисный подход с привлечением аккредитованных коммерческих центров мониторинга и реагирования на инциденты к решению трудоемких и насыщенных экспертизой задач по обеспечению безопасности КИИ.

Читайте также