- •Основы проектирования защищенных инфокоммуникационных систем
- •ГосСОПКА Нормативные требования и рекомендации
- •На основании этих документов была создана Государственная система обнаружения, предупреждения и ликвидации последствий
- •Что такое ГосСОПКА?
- •Причины возникновения ГосСОПКА
- •Примеры аналогичных систем
- •Системы IPS/IDS
- •Виды IDS по принципу действия
- •IDS, основанные на аномалиях
- •IDS на основе правил
- •Различия типов технологий IDS
- •Архитектура и технология IDS
- •Альтернатива сетевым системам — хостовые. Такие системы устанавливаются на один хост внутри сети
- •Системы IPS
- •Целью IPS систем является не только выявление несанкционированной деятельности, но и предотвращение доступа
- •Создание ГосСОПКА
- •Концепция ГосСОПКА
- •ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, создаваемая в
- •Структура системы ГосСОПКА
- •Структура системы ГосСОПКА
- •ГосСОПКА — территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения
- •Структура центров ГосСОПКА
- •Ведомственные и корпоративные сегменты ГосСОПКА
- •Направления деятельности ведомственного сегмента ГосСОПКА
- •Задачи ведомственного сегмента ГосСОПКА
- •Задачи корпоративного сегмента ГосСОПКА
- •Направления деятельности корпоративного сегмента ГосСОПКА
- •Требования к взаимодействию с главным центром ГосСОПКА
- •Порядок обработки сообщений от главного центра ГосСОПКА и ведомственного сегмента ГосСОПКА
- •Порядок предоставления сведений главному центру ГосСОПКА
- •Перечень передаваемой информации о зоне ответственности ведомственного центра ГосСОПКА
- •Перечень предоставляемой информации об информационных ресурсах
- •Перечень передаваемой информации о компьютерных атаках
- •Обязанности владельца объекта КИИ
- •При формулировании этих норм законодатель руководствовался обычным здравым смыслом. В соответствии с законом,
- •На практике это означает, что организация добровольно принимает на себя ряд обязанностей, установленных
- •Юридические лица и индивидуальные предприниматели, имеющие лицензии ФСТЭК и ФСБ, также имеют право
- •Ктаким задачам относятся:
- •Не секрет, что при создании информационных систем разработка моделей угроз сводится к простой
- •Таким образом, работа центра ГосСОПКА строится на принципах самосовершенствования: допустима неудача в реагировании
- •При этом государство в лице НКЦКИ выступает гарантом добросовестности центров ГоСОПКА, устанавливая требования
- •Подключение субъекта КИИ к инфраструктуре ГосСОПКА
- •Где и в каких случаях создавать Центры мониторинга инцидентов ИБ? Во-первых, необходимость возникает
- •Что должно измениться после создания Центра мониторинга?
ГосСОПКА — территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
Зона ответственности — совокупность информационных ресурсов, в отношении которых субъектом
ГосСОПКА обеспечиваются обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты.
Субъекты ГосСОПКА — государственные органы Российской Федерации, российские юридические лица и индивидуальные предприниматели в силу закона или на основании заключенных с ФСБ России соглашений
осуществляющие обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты.
Центр ГосСОПКА — структурная единица ГосСОПКА, представляющая совокупность подразделений и должностных лиц субъекта ГосСОПКА, которые принимают участие в обнаружении, предупреждении и ликвидации
последствий компьютерных атак и реагирование на компьютерные инциденты в своей зоне ответственности.
Структура центров ГосСОПКА
Ведомственные и корпоративные сегменты ГосСОПКА
Ведомственные сегменты ГосСОПКА создаются органами государственной власти, а также организациями, осуществляющими лицензируемую деятельность в области защиты информации, действующими в интересах органов государственной власти. Зоной ответственности ведомственных сегментов ГосСОПКА являются информационные ресурсы органов государственной власти.
Корпоративные сегменты ГосСОПКА создаются государственными корпорациями, операторами связи и иными организациями, осуществляющими лицензируемую деятельность в области защиты информации, в собственных интересах, а также для оказания услуг по предупреждению, обнаружению и ликвидации последствий компьютерных атак. Зона ответственности корпоративного сегмента ГосСОПКА определяется организацией, создавшей сегмент ГосСОПКА, на основании решения руководителя организации, внутренних нормативных актов и заключенных договоров.
Направления деятельности ведомственного сегмента ГосСОПКА
•нормативное правовое регулирование деятельности по созданию и обеспечению функционирования системы информационной безопасности контролируемых информационных ресурсов;
•разработка и утверждение требований по обеспечению информационной безопасности контролируемых информационных ресурсов, включая требования к количеству и квалификации персонала, непосредственно обеспечивающему функционирование, безопасность и эксплуатацию контролируемых информационных ресурсов;
•методическое обеспечение деятельности персонала информационных систем и информационно-телекоммуникационных сетей по повышению уровня защищенности информационных ресурсов;
•мониторинг степени защищенности контролируемых информационных ресурсов и выполнения требований по обеспечению информационной безопасности контролируемых информационных ресурсов;
•обнаружение компьютерных атак и компьютерных инцидентов, координация действий персонала по реагированию на инциденты и ликвидации их последствий;
•обеспечение мероприятий по прогнозированию развития угроз безопасности.
Задачи ведомственного сегмента ГосСОПКА
•обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы ведомства, включая информационные ресурсы, принадлежащие территориальным структурным подразделениям и организациям ведомственного подчинения (далее — информационные ресурсы ведомства);
•обеспечения взаимодействия владельцев информационных ресурсов ведомства и главного центра ГосСОПКА при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;
•сбора и анализа данных о состоянии информационной безопасности в контролируемых информационных ресурсах;
•контроля степени защищенности информационных ресурсов ведомства от компьютерных атак;
•установления причин компьютерных инцидентов, связанных с функционированием информационных ресурсов ведомства;
•информирования заинтересованных лиц ведомственного сегмента по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак.
Задачи корпоративного сегмента ГосСОПКА
В задачи корпоративного сегмента ГосСОПКА помимо обеспечения безопасности в зоне ответственности входит агрегация информации о защищенности и происходящих инцидентах у всех подведомственных организаций. В его задачи также входит аналитика на основании полученных данных, выявление общих трендов или актуальных векторов и передача информации о них в нижестоящие центры. В итоге получаемая информация о видах вредоносных программ и используемых сценариях атаки позволяет корпоративному сегменту ГосСОПКА в роли «информационного хаба» проводить аналитику актуальности векторов для других подключенных организаций и в режиме информационного взаимодействия сформировать адресный сигнал субъектам критической информационной инфраструктуры для организации превентивной защиты.
Корпоративный сегмент ГосСОПКА также может исполнять свои функции в отношении информационных ресурсов органов государственной власти на основании договоров, заключаемых с владельцами указанных информационных ресурсов и (или) с операторами соответствующих государственных информационных систем.
Направления деятельности корпоративного сегмента ГосСОПКА
•прогнозирование ситуации в области обеспечения информационной безопасности РФ;.
•обеспечение взаимодействия владельцев информационных ресурсов, при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;
•осуществление контроля степени защищенности информационных ресурсов РФ от компьютерных атак;
•Расследование компьютерных инцидентов.
Требования к взаимодействию с главным центром ГосСОПКА
Взаимодействие ведомственного сегмента ГосСОПКА и главного центра ГосСОПКА осуществляется на основании соглашения о взаимодействии, которое определяет права и обязанности сторон, данные контактных пунктов, каналы связи и используемые криптографические средства защиты информации.
Ведомственный центр ГосСОПКА является основным субъектом в ведомственном сегменте по взаимодействию с главным центром ГосСОПКА. Ведомственный центр ГосСОПКА взаимодействует с главным центром
ГосСОПКА посредством:
•постоянного канала связи через сеть Интернет;
•телефонной связи;
•периодического документооборота через почту (фельдъегерскую службу).
Врамках обмена через сеть Интернет поддерживаются следующие способы взаимодействия:
•обмен информацией через специализированные системы, такие как портал, или автоматизированный обмен данными автоматизированных подсистем и компонентов ГосСОПКА;
•обмен информацией и получение доступа к справочной информации через сайт ведомственного сегмента и главного центра ГосСОПКА;
•переписка по электронной почте.
Порядок обработки сообщений от главного центра ГосСОПКА и ведомственного сегмента ГосСОПКА
Главный центр ГосСОПКА направляет, а ведомственный сегмент принимает и обрабатывает следующие типы информационных сообщений:
•сведения об актуальных угрозах;
•сведения об актуальных уязвимостях;
•сведения о признаках компьютерных инцидентов на объектах в зоне деятельности ведомственного сегмента;
•сведения об индикаторах компрометации информационных ресурсов;
•изменения и дополнения к методическим рекомендациям;
•запросы на предоставления дополнительной информации событиям ИБ. Ведомственный сегмент ГосСОПКА направляет, а главный центр
принимает и обрабатывает следующие типы информационных сообщений:
•информацию о зоне ответственности ведомственного сегмента, включая результаты инвентаризации;
•данные о компьютерных атаках;
•данные о компьютерных инцидентах;
•общую информацию о защищенности информационных ресурсов;
•детальную информацию о защищенности информационных ресурсов, доступных из сети Интернет;
•статистические данные об актуальных для ведомственного сегмента угрозах;
•сведения о самостоятельно обнаруженных индикаторах компрометации информационных ресурсов.
Порядок предоставления сведений главному центру ГосСОПКА
Взаимодействие осуществляется:
•инициативно — инициирующая сторона направляет информацию (сообщение, справочную и иную информацию);
•по запросу (ответ на запрос) — в рамках запрошенного объема и установленных сроков;
•без регламентации — при доступе к базам знаний и порталу, системам, предполагающим возможность удаленного доступа, по мере необходимости;
•в соответствии с планом предоставления информации (ежедневно, еженедельно, ежемесячно, ежеквартально, ежегодно или с иной периодичностью);
•автоматизированно — для сопряженных систем постоянного обмена фактической и статистической информацией об угрозах и состоянии ИБ контролируемых объектов.