57. Ведомственные и корпоративные сегменты ГосСопка.

Ведомственные сегменты ГосСОПКА создаются органами государственной власти, а также организациями, осуществляющими лицензируемую деятельность в области защиты информации, действующими в интересах органов государственной власти. Зоной ответственности ведомственных сегментов ГосСОПКА являются информационные ресурсы органов государственной власти.

Корпоративные сегменты ГосСОПКА создаются государственными корпорациями, операторами связи и иными организациями, осуществляющими лицензируемую деятельность в области защиты информации, в собственных интересах, а также для оказания услуг по предупреждению, обнаружению и ликвидации последствий компьютерных атак. Зона ответственности корпоративного сегмента ГосСОПКА определяется организацией, создавшей сегмент ГосСОПКА, на основании решения руководителя организации, внутренних нормативных актов и заключенных договоров.

58. Порядок взаимодействия главного центра ГосСопка и ведомственного сегмента ГосСопка. Порядок обработки сообщений от главного центра ГосСопка и ведомственного сегмента ГосСопка

Главный центр ГосСОПКА направляет, а ведомственный сегмент принимает и обрабатывает следующие типы информационных сообщений:

• сведения об актуальных угрозах;

• сведения об актуальных уязвимостях;

• сведения о признаках компьютерных инцидентов на объектах в зоне деятельности ведомственного сегмента;

• сведения об индикаторах компрометации информационных ресурсов;

• изменения и дополнения к методическим рекомендациям;

• запросы на предоставления дополнительной информации событиям ИБ.

Ведомственный сегмент ГосСОПКА направляет, а главный центр принимает и обрабатывает следующие типы информационных сообщений:

• информацию о зоне ответственности ведомственного сегмента, включая результаты инвентаризации;

• данные о компьютерных атаках;

• данные о компьютерных инцидентах;

• общую информацию о защищенности информационных ресурсов;

• детальную информацию о защищенности информационных ресурсов, доступных из сети Интернет;

• статистические данные об актуальных для ведомственного сегмента угрозах;

• сведения о самостоятельно обнаруженных индикаторах компрометации информационных ресурсов.

Порядок предоставления сведений главному центру ГосСопка

Взаимодействие осуществляется:

• инициативно — инициирующая сторона направляет информацию (сообщение, справочную и иную информацию);

• по запросу (ответ на запрос) — в рамках запрошенного объема и установленных сроков;

• без регламентации — при доступе к базам знаний и порталу, системам, предполагающим возможность удаленного доступа, по мере необходимости;

• в соответствии с планом предоставления информации (ежедневно, еженедельно, ежемесячно, ежеквартально, ежегодно или с иной периодичностью);

• автоматизированно — для сопряженных систем постоянного обмена фактической и статистической информацией об угрозах и состоянии ИБ контролируемых объектов.

59. Обязанности владельца объекта кии по взаимодействию с ГосСопка.

В соответствии с приказом ФСТЭК № 239, владелец объекта должен самостоятельно провести анализ актуальных угроз и определить, как должны быть реализованы базовые меры защиты, а если их окажется недостаточно то самостоятельно усилить базовые меры или разработать дополнительные. В нормативной базе КИИ отсутствует привычное по государственным информационным системам требование об обязательной сертификации средств защиты — такое требование установлено только для государственных информационных систем, являющихся объектами КИИ. Остальные организации вправе использовать любые средства защиты при условии, что их соответствие требованиям безопасности проверено в результате испытаний или приемки, которые субъект КИИ может провести самостоятельно. Исчезло также понятие аттестации информационной системы на соответствие требованиям безопасности информации — подобная аттестация часто воспринимается владельцами информационных как индульгенция на случай инцидента. Вместо этого, в соответствии все с тем же приказом № 239, перед вводом информационной системы в эксплуатацию ее владелец должен провести анализ уязвимостей и убедиться, что все уязвимости устранены или не могут быть использованы нарушителем для реализации угроз.

Таким образом, государственные регуляторы тщательно подчеркивают, что защита объекта КИИ от компьютерных атак — обязанность самого субъекта КИИ: государство не намерено разделять с ним эту ответственность, каким-либо образом подтверждая достаточность принятых субъектом мер защиты.

При формулировании этих норм законодатель руководствовался обычным здравым смыслом. В соответствии с законом, владелец значимого объекта КИИ свободен самостоятельно решать, как именно он будет защищать систему от компьютерных атак, т. е. предотвращать возможность проведения атак, обнаруживать атаки и локализовывать их, не давая перерасти в инцидент. Но эта свобода длится ровно до того момента, пока не произойдет инцидент, т. е. пока субъект не окажется неспособен справиться с атакой. В этом случае он обязан уведомить об инциденте ФСБ и должен выполнять предписания ведомства по реагированию на атаку.

С этого момента помощь субъекту в реагировании на атаку становится задачей ГосСОПКА. Участниками (в терминологии нормативных документов ФСБ — центрами) ГосСОПКА являются органы власти, юридические лица и (теоретически) индивидуальные предприниматели, которые в рамках этой системы занимаются противодействием компьютерным атакам.

Обнаруживать атаки и реагировать на них можно по-разному, но в рамках ГосСОПКА противодействие атакам означает выполнение участником системы определенного набора функций, о которых скажем чуть позже. Для выполнения этих функций каждый субъект создает в своем составе центр ГосСОПКА — одно или несколько структурных подразделений, которые и обеспечивают выполнение этих функций.