- •Основы проектирования защищенных инфокоммуникационных систем
- •ГосСОПКА Нормативные требования и рекомендации
- •На основании этих документов была создана Государственная система обнаружения, предупреждения и ликвидации последствий
- •Что такое ГосСОПКА?
- •Причины возникновения ГосСОПКА
- •Примеры аналогичных систем
- •Системы IPS/IDS
- •Виды IDS по принципу действия
- •IDS, основанные на аномалиях
- •IDS на основе правил
- •Различия типов технологий IDS
- •Архитектура и технология IDS
- •Альтернатива сетевым системам — хостовые. Такие системы устанавливаются на один хост внутри сети
- •Системы IPS
- •Целью IPS систем является не только выявление несанкционированной деятельности, но и предотвращение доступа
- •Создание ГосСОПКА
- •Концепция ГосСОПКА
- •ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, создаваемая в
- •Структура системы ГосСОПКА
- •Структура системы ГосСОПКА
- •ГосСОПКА — территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения
- •Структура центров ГосСОПКА
- •Ведомственные и корпоративные сегменты ГосСОПКА
- •Направления деятельности ведомственного сегмента ГосСОПКА
- •Задачи ведомственного сегмента ГосСОПКА
- •Задачи корпоративного сегмента ГосСОПКА
- •Направления деятельности корпоративного сегмента ГосСОПКА
- •Требования к взаимодействию с главным центром ГосСОПКА
- •Порядок обработки сообщений от главного центра ГосСОПКА и ведомственного сегмента ГосСОПКА
- •Порядок предоставления сведений главному центру ГосСОПКА
- •Перечень передаваемой информации о зоне ответственности ведомственного центра ГосСОПКА
- •Перечень предоставляемой информации об информационных ресурсах
- •Перечень передаваемой информации о компьютерных атаках
- •Обязанности владельца объекта КИИ
- •При формулировании этих норм законодатель руководствовался обычным здравым смыслом. В соответствии с законом,
- •На практике это означает, что организация добровольно принимает на себя ряд обязанностей, установленных
- •Юридические лица и индивидуальные предприниматели, имеющие лицензии ФСТЭК и ФСБ, также имеют право
- •Ктаким задачам относятся:
- •Не секрет, что при создании информационных систем разработка моделей угроз сводится к простой
- •Таким образом, работа центра ГосСОПКА строится на принципах самосовершенствования: допустима неудача в реагировании
- •При этом государство в лице НКЦКИ выступает гарантом добросовестности центров ГоСОПКА, устанавливая требования
- •Подключение субъекта КИИ к инфраструктуре ГосСОПКА
- •Где и в каких случаях создавать Центры мониторинга инцидентов ИБ? Во-первых, необходимость возникает
- •Что должно измениться после создания Центра мониторинга?
Перечень передаваемой информации о зоне ответственности ведомственного центра ГосСОПКА
Ведомственный центр ГосСОПКА поддерживает в актуальном состоянии и передает в главный центр ГосСОПКА при изменении информацию о зоне ответственности ведомственного центра ГосСОПКА, а именно:
•перечень информационных ресурсов;
•перечень используемых средств защиты, в том числе компонентов ГосСОПКА;
•перечень ресурсов, маршрутизируемых в сети Интернет;
•перечень доменных имен;
•территориальную привязку информационных ресурсов;
•сведения о подключении информационных ресурсов к другим объектам информационной инфраструктуры;
•наименование провайдера, оказывающего услуги связи;
•перечень организаций, осуществляющих разработку, эксплуатацию, поддержку и (или) администрирование информационных ресурсов (название организации, ИНН, КПП, юридический адрес, контакты ответственных лиц).
Перечень предоставляемой информации об информационных ресурсах
В рамках взаимодействия по вопросам предоставления информации об информационных ресурсах ведомственный центр ГосСОПКА предоставляет следующую информацию:
•перечень уникальных средств вычислительной техники;
•перечень моделей и количество телекоммуникационного оборудования;
•перечень используемого общесистемного программного обеспечения;
•перечень используемого прикладного программного обеспечения;
•среднее время обновления общесистемного программного обеспечения при обнаружении в нем критически опасной уязвимости;
•среднее время обновления прикладного программного обеспечения при обнаружении в нем критически опасной уязвимости после доработки ПО разработчиком;
•перечень уникальных средств защиты, установленных на серверном оборудовании;
•перечень сопряженных сетей;
•перечень АСУ ТП (при их наличии);
•правила парольной политики, принятые в организации;
•правила проведения инвентаризации;
•модель угроз и модель нарушителя (злоумышленника);
•правила установки обновлений.
Перечень передаваемой информации о компьютерных атаках
В рамках взаимодействия по вопросам обмена информацией о компьютерных атаках передается следующая информация:
•дата и время начала компьютерной атаки;
•дата и время окончания компьютерной атаки;
•IP-адреса источников компьютерных атак;
•географическое расположение источника компьютерных атак (страна, город);
•тип компьютерной атаки (перебор паролей, сканирование портов, сканирование директорий веб-приложений, фишинг, распространение ВПО, деятельность бот-сети, рассылка спама, эксплуатация уязвимостей, DDoS- атака и т. п.);
•способ выявления компьютерной атаки;
•название информационного ресурса, на который направлена компьютерная атака;
•IP-адрес и (или) доменное имя информационного ресурса, на который направлена компьютерная атака;
•описание компьютерной атаки (перечень полей описания совпадает с перечнем полей в соответствующем типе компьютерного инцидента);
•предпринятые меры.
Обязанности владельца объекта КИИ
В соответствии с приказом ФСТЭК № 239, владелец объекта должен самостоятельно провести анализ актуальных угроз и определить, как должны быть реализованы базовые меры защиты, а если их окажется недостаточно то самостоятельно усилить базовые меры или разработать дополнительные. В нормативной базе КИИ отсутствует привычное по государственным информационным системам требование об обязательной сертификации средств защиты — такое требование установлено только для государственных информационных систем, являющихся объектами КИИ. Остальные организации вправе использовать любые средства защиты при условии, что их соответствие требованиям безопасности проверено в результате испытаний или приемки, которые субъект КИИ может провести самостоятельно. Исчезло также понятие аттестации информационной системы на соответствие требованиям безопасности информации — подобная аттестация часто воспринимается владельцами информационных как индульгенция на случай инцидента. Вместо этого, в соответствии все с тем же приказом № 239, перед вводом информационной системы в эксплуатацию ее владелец должен провести анализ уязвимостей и убедиться, что все уязвимости устранены или не могут быть использованы нарушителем для реализации угроз.
Таким образом, государственные регуляторы тщательно подчеркивают, что защита объекта КИИ от компьютерных атак — обязанность самого субъекта КИИ: государство не намерено разделять с ним эту ответственность, каким- либо образом подтверждая достаточность принятых субъектом мер защиты.
При формулировании этих норм законодатель руководствовался обычным здравым смыслом. В соответствии с законом, владелец значимого объекта КИИ свободен самостоятельно решать, как именно он будет защищать систему от компьютерных атак, т. е. предотвращать возможность проведения атак, обнаруживать атаки и локализовывать их, не давая перерасти в инцидент. Но эта свобода длится ровно до того момента, пока не произойдет инцидент, т. е. пока субъект не окажется неспособен справиться с атакой. В этом случае он обязан уведомить об инциденте ФСБ и должен выполнять предписания ведомства по реагированию на атаку.
С этого момента помощь субъекту в реагировании на атаку становится задачей ГосСОПКА. Участниками (в терминологии нормативных документов ФСБ — центрами) ГосСОПКА являются органы власти, юридические лица и (теоретически) индивидуальные предприниматели, которые в рамках этой системы занимаются противодействием компьютерным атакам.
Обнаруживать атаки и реагировать на них можно по-разному, но в рамках ГосСОПКА противодействие атакам означает выполнение участником системы определенного набора функций, о которых скажем чуть позже. Для выполнения этих функций каждый субъект создает в своем составе центр ГосСОПКА — одно или несколько структурных подразделений, которые и обеспечивают выполнение этих функций.
На практике это означает, что организация добровольно принимает на себя ряд обязанностей, установленных в нормативных документах, в том числе — обязанность выполнять функции центра ГосСОПКА. Эти обязанности закрепляются соглашением, которое организация заключает с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), и с момента заключения такого соглашения организация становится субъектом ГосСОПКА, а именно центром ГосСОПКА, имеющим право оказывать услуги по противодействию компьютерным атакам субъектам КИИ. Но это не является его обязанностью: в нормативных документах подобного требования нет. К обязанностям, установленным законом, относятся необходимость информировать НКЦКИ об инцидентах (в том числе телефонным звонком и официальным письмом) и оказывать содействие сотрудникам этого ведомства.
Все это субъекты КИИ могут делать и не становясь субъектами ГосСОПКА. Субъектов можно разделить на несколько видов, у каждого из которых свои мотивы принимать участие в ГосСОПКА: Органы власти участвуют по распоряжению Правительства, т. е. их участие в системе обязательно. Государственные корпорации создают центры ГосСОПКА по решению государства. Прочие корпорации, относящиеся к критической информационной инфраструктуре, имеют право с согласия ФСБ создавать центры ГосСОПКА и становиться участниками системы.
Это решение принимается добровольно: централизация мер защиты целесообразна экономически и позволяет использовать ограниченное количество специалистов для обеспечения защиты большого количества информационных систем.
Юридические лица и индивидуальные предприниматели, имеющие лицензии ФСТЭК и ФСБ, также имеют право с согласия создавать центры ГосСОПКА, подключаться и оказывать услуги по противодействию компьютерным атакам в рамках этой системы. Это позволяет распространить деятельность ГосСОПКА на субъектов КИИ, неспособных самостоятельно обеспечить противодействие компьютерным атакам в объеме предусмотренном нормативными документами ФСБ. Таким образом, в контексте ФЗ-187 ГосСОПКА охватывает три категории организаций:
-субъекты ГосСОПКА, т. е. организации, которые самостоятельно обеспечивают противодействие компьютерным атакам в объеме, предусмотренном нормативными документами ФСБ, создали собственные центры ГосСОПКА и, при желании, способны оказывать услуги по противодействую атакам другим организациям;
-субъекты КИИ, которые не могут самостоятельно обеспечить требуемый уровень противодействия компьютерным атакам, но могут привлекать для решения этой задачи субъектов ГосСОПКА;
-ФСБ России в лице НКЦКИ, который является головным центром
ГосСОПКА и «единым окном» для взаимодействия субъектов КИИ с ГосСОПКА при возникновении инцидентов.
Функции центров ГосСОПКА Центр ГосСОПКА создается как структурное подразделение организации, ориентированное на решение определенного набора задач по противодействию компьютерным атакам.
Ктаким задачам относятся:
-инвентаризация;
-выявление уязвимостей;
-анализ угроз;
-регистрация инцидентов; реагирование на инциденты; расследование инцидентов;
-анализ результатов реагирования на инцидент.
Выявление уязвимостей является, наверное, ключевым элементом противодействия атакам, и речь идет не только об устранении предпосылки для проведения атаки, использующей такую уязвимость. Не всякую уязвимость можно устранить в короткие сроки: иногда для этого требуется заменить уязвимые устройства которых в инфраструктуре могут быть десятки тысяч.
Знание уязвимости позволяет определить возможные способы ее использования нарушителем, следы, которые он при этом оставит, а главное — заранее спланировать действия по реагированию. Выявление уязвимостей требует хорошего знания защищаемой инфраструктуры, и для этого требуется инвентаризация. Инвентаризация предусматривает сбор подробной технической информации о каждом сервере, каждом персональном компьютере и каждом телекоммуникационном устройстве в защищаемой инфраструктуре, включая определение моделей аппаратного обеспечения, состава установленных программных средств и обновлений безопасности.
Такая информация позволяет быстро реагировать на некоторые виды атак. Анализ угроз также является необходимой составляющей подготовки к реагированию.
Не секрет, что при создании информационных систем разработка моделей угроз сводится к простой формальности, и многие актуальные угрозы при создании системы защиты не рассматриваются. Центр ГосСОПКА оценивает архитектуру и состав защищаемых информационных систем с позиций нападающей стороны и определяет, какие атаки могут быть проводиться на них при их текущем состоянии. Для этого используются как результаты выявления уязвимостей, так и накопленный опыт в реагировании на предыдущие атаки на другие информационные системы. При реагировании на атаки центр ГосСОПКА сочетает в себе роли координатора и экспертной группы. Для атак, с которыми центру уже приходилось сталкиваться, разрабатываются сценарии реагирования, определяющие необходимые действия персонала по локализации атаки и ликвидации ее последствий.
Если с атакой раньше сталкиваться не приходилось, центр формирует рабочую группу из представителей персонала защищаемой системы и своих экспертов, и решения вырабатываются непосредственно в процессе реагирования. Не на каждую атаку удается отреагировать адекватно. Решения, принятые в спешке в случае неизвестной атаки, не всегда оказываются удачными, даже в случае известных атак готовые плейбуки не всегда оказываются адекватными. Поэтому после каждого реагирования проводится разбор полетов, по итогам которого принимаются решения о совершенствовании защиты информационных систем и работы собственно центра ГосСОПКА.
Таким образом, работа центра ГосСОПКА строится на принципах самосовершенствования: допустима неудача в реагировании на отдельный инцидент, но каждая такая неудача должна приводить к совершенствованию защиты. Субъект КИИ обязан незамедлительно проинформировать об инциденте ФСБ, а точнее — НКЦКИ. Если субъект КИИ поднадзорен Банку России, то он обязан также проинформировать ФинЦЕРТ Банка России. На практике это означает следующее: Субъект КИИ может сообщить об инциденте в НКЦКИ любым из доступных способов. Субъект КИИ, являющийся субъектом ГосСОПКА, сообщает об инциденте с помощью специальных средств взаимодействия, напрямую подключающихся к инфраструктуре НКЦКИ. Субъект КИИ, поднадзорный Банку России, может сообщить об инциденте в ФинЦЕРТ, и оно будет передано в НКЦКИ. Субъект КИИ, обслуживаемый центром ГосСОПКА, может сообщить об инциденте в этот центр ГосСОПКА, и оно будет передано в НКЦКИ. Таким образом, центры ГосСОПКА выступают в роли посредников между субъектами КИИ и НКЦКИ.
Таким образом, структура ГосСОПКА порождает своеобразное частно- государственное партнерство в вопросах противодействия компьютерным атакам. Угроза хакерских атак актуальна и для органов власти, и для бизнеса, но в сферах, определенных законом, они представляют особую опасность для общества. Самостоятельно защищаться от таких атак способны далеко не все. В рамках ГосСОПКА обеспечивается концентрация компетенций, необходимых для предотвращения атак и реагирования на них, и воспользоваться такими компетенциями могут как представители крупного бизнеса, так и небольшие компании и даже индивидуальные предприниматели.