ГосСОПКА — территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
Зона ответственности — совокупность информационных ресурсов, в отношении которых субъектом
ГосСОПКА обеспечиваются обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты.
Субъекты ГосСОПКА — государственные органы Российской Федерации, российские юридические лица и индивидуальные предприниматели в силу закона или на основании заключенных с ФСБ России соглашений
осуществляющие обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты.
Центр ГосСОПКА — структурная единица ГосСОПКА, представляющая совокупность подразделений и должностных лиц субъекта ГосСОПКА, которые принимают участие в обнаружении, предупреждении и ликвидации
последствий компьютерных атак и реагирование на компьютерные инциденты в своей зоне ответственности.
Структура центров ГосСОПКА
Ведомственные и корпоративные сегменты ГосСОПКА
Ведомственные сегменты ГосСОПКА создаются органами государственной власти, а также организациями, осуществляющими лицензируемую деятельность в области защиты информации, действующими в интересах органов государственной власти. Зоной ответственности ведомственных сегментов ГосСОПКА являются информационные ресурсы органов государственной власти.
Корпоративные сегменты ГосСОПКА создаются государственными корпорациями, операторами связи и иными организациями, осуществляющими лицензируемую деятельность в области защиты информации, в собственных интересах, а также для оказания услуг по предупреждению, обнаружению и ликвидации последствий компьютерных атак. Зона ответственности корпоративного сегмента ГосСОПКА определяется организацией, создавшей сегмент ГосСОПКА, на основании решения руководителя организации, внутренних нормативных актов и заключенных договоров.
Направления деятельности ведомственного сегмента ГосСОПКА
•нормативное правовое регулирование деятельности по созданию и обеспечению функционирования системы информационной безопасности контролируемых информационных ресурсов;
•разработка и утверждение требований по обеспечению информационной безопасности контролируемых информационных ресурсов, включая требования к количеству и квалификации персонала, непосредственно обеспечивающему функционирование, безопасность и эксплуатацию контролируемых информационных ресурсов;
•методическое обеспечение деятельности персонала информационных систем и информационно-телекоммуникационных сетей по повышению уровня защищенности информационных ресурсов;
•мониторинг степени защищенности контролируемых информационных ресурсов и выполнения требований по обеспечению информационной безопасности контролируемых информационных ресурсов;
•обнаружение компьютерных атак и компьютерных инцидентов, координация действий персонала по реагированию на инциденты и ликвидации их последствий;
•обеспечение мероприятий по прогнозированию развития угроз безопасности.
Задачи ведомственного сегмента ГосСОПКА
•обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы ведомства, включая информационные ресурсы, принадлежащие территориальным структурным подразделениям и организациям ведомственного подчинения (далее — информационные ресурсы ведомства);
•обеспечения взаимодействия владельцев информационных ресурсов ведомства и главного центра ГосСОПКА при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;
•сбора и анализа данных о состоянии информационной безопасности в контролируемых информационных ресурсах;
•контроля степени защищенности информационных ресурсов ведомства от компьютерных атак;
•установления причин компьютерных инцидентов, связанных с функционированием информационных ресурсов ведомства;
•информирования заинтересованных лиц ведомственного сегмента по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак.
Задачи корпоративного сегмента ГосСОПКА
В задачи корпоративного сегмента ГосСОПКА помимо обеспечения безопасности в зоне ответственности входит агрегация информации о защищенности и происходящих инцидентах у всех подведомственных организаций. В его задачи также входит аналитика на основании полученных данных, выявление общих трендов или актуальных векторов и передача информации о них в нижестоящие центры. В итоге получаемая информация о видах вредоносных программ и используемых сценариях атаки позволяет корпоративному сегменту ГосСОПКА в роли «информационного хаба» проводить аналитику актуальности векторов для других подключенных организаций и в режиме информационного взаимодействия сформировать адресный сигнал субъектам критической информационной инфраструктуры для организации превентивной защиты.
Корпоративный сегмент ГосСОПКА также может исполнять свои функции в отношении информационных ресурсов органов государственной власти на основании договоров, заключаемых с владельцами указанных информационных ресурсов и (или) с операторами соответствующих государственных информационных систем.
Направления деятельности корпоративного сегмента ГосСОПКА
•прогнозирование ситуации в области обеспечения информационной безопасности РФ;.
•обеспечение взаимодействия владельцев информационных ресурсов, при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;
•осуществление контроля степени защищенности информационных ресурсов РФ от компьютерных атак;
•Расследование компьютерных инцидентов.
Требования к взаимодействию с главным центром ГосСОПКА
Взаимодействие ведомственного сегмента ГосСОПКА и главного центра ГосСОПКА осуществляется на основании соглашения о взаимодействии, которое определяет права и обязанности сторон, данные контактных пунктов, каналы связи и используемые криптографические средства защиты информации.
Ведомственный центр ГосСОПКА является основным субъектом в ведомственном сегменте по взаимодействию с главным центром ГосСОПКА. Ведомственный центр ГосСОПКА взаимодействует с главным центром
ГосСОПКА посредством:
•постоянного канала связи через сеть Интернет;
•телефонной связи;
•периодического документооборота через почту (фельдъегерскую службу).
Врамках обмена через сеть Интернет поддерживаются следующие способы взаимодействия:
•обмен информацией через специализированные системы, такие как портал, или автоматизированный обмен данными автоматизированных подсистем и компонентов ГосСОПКА;
•обмен информацией и получение доступа к справочной информации через сайт ведомственного сегмента и главного центра ГосСОПКА;
•переписка по электронной почте.
Порядок обработки сообщений от главного центра ГосСОПКА и ведомственного сегмента ГосСОПКА
Главный центр ГосСОПКА направляет, а ведомственный сегмент принимает и обрабатывает следующие типы информационных сообщений:
•сведения об актуальных угрозах;
•сведения об актуальных уязвимостях;
•сведения о признаках компьютерных инцидентов на объектах в зоне деятельности ведомственного сегмента;
•сведения об индикаторах компрометации информационных ресурсов;
•изменения и дополнения к методическим рекомендациям;
•запросы на предоставления дополнительной информации событиям ИБ. Ведомственный сегмент ГосСОПКА направляет, а главный центр
принимает и обрабатывает следующие типы информационных сообщений:
•информацию о зоне ответственности ведомственного сегмента, включая результаты инвентаризации;
•данные о компьютерных атаках;
•данные о компьютерных инцидентах;
•общую информацию о защищенности информационных ресурсов;
•детальную информацию о защищенности информационных ресурсов, доступных из сети Интернет;
•статистические данные об актуальных для ведомственного сегмента угрозах;
•сведения о самостоятельно обнаруженных индикаторах компрометации информационных ресурсов.
Порядок предоставления сведений главному центру ГосСОПКА
Взаимодействие осуществляется:
•инициативно — инициирующая сторона направляет информацию (сообщение, справочную и иную информацию);
•по запросу (ответ на запрос) — в рамках запрошенного объема и установленных сроков;
•без регламентации — при доступе к базам знаний и порталу, системам, предполагающим возможность удаленного доступа, по мере необходимости;
•в соответствии с планом предоставления информации (ежедневно, еженедельно, ежемесячно, ежеквартально, ежегодно или с иной периодичностью);
•автоматизированно — для сопряженных систем постоянного обмена фактической и статистической информацией об угрозах и состоянии ИБ контролируемых объектов.