- •Основы проектирования защищенных инфокоммуникационных систем
- •ГосСОПКА Нормативные требования и рекомендации
- •Что такое ГосСОПКА?
- •Примеры аналогичных систем Системы IPS/IDS
- •Виды IDS по принципу действия
- •Система анализирует работу сети в текущий момент, сравнивает с аналогичным периодом и выявляет
- •Различия типов технологий IDS
- •Архитектура и технология IDS
- •Альтернатива сетевым системам — хостовые. Такие системы устанавливаются на один хост внутри сети
- •Системы IPS
- •Концепция ГосСОПКА
- •ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, создаваемая в
- •Структура системы ГосСОПКА
- •ГосСОПКА — территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения
- •Структура центров ГосСОПКА
- •Ведомственные и корпоративные сегменты ГосСОПКА
- •Направления деятельности ведомственного сегмента ГосСОПКА
- •Задачи ведомственного сегмента ГосСОПКА
- •Задачи корпоративного сегмента ГосСОПКА
- •Порядок обработки сообщений от главного центра ГосСОПКА и ведомственного сегмента ГосСОПКА
- •Порядок предоставления сведений главному центру ГосСОПКА
- •Перечень передаваемой информации о зоне ответственности ведомственного центра ГосСОПКА
- •Перечень предоставляемой информации об информационных ресурсах
- •Перечень передаваемой информации о компьютерных атаках
- •Обязанности владельца объекта КИИ
- •При формулировании этих норм законодатель руководствовался обычным здравым смыслом. В соответствии с законом,
- •На практике это означает, что организация добровольно принимает на себя ряд обязанностей, установленных
- •Юридические лица и индивидуальные предприниматели, имеющие лицензии ФСТЭК и ФСБ, также имеют право
- •Выявление уязвимостей является ключевым элементом противодействия атакам, и речь идет не только об
- •Подключение субъекта КИИ к инфраструктуре ГосСОПКА
- •Где и в каких случаях создавать Центры мониторинга инцидентов ИБ? Во-первых, необходимость возникает
Порядок предоставления сведений главному центру ГосСОПКА
Взаимодействие осуществляется:
•инициативно — инициирующая сторона направляет информацию (сообщение, справочную и иную информацию);
•по запросу (ответ на запрос) — в рамках запрошенного объема и установленных сроков;
•без регламентации — при доступе к базам знаний и порталу, системам, предполагающим возможность удаленного доступа, по мере необходимости;
•в соответствии с планом предоставления информации (ежедневно, еженедельно, ежемесячно, ежеквартально, ежегодно или с иной периодичностью);
•автоматизированно — для сопряженных систем постоянного обмена фактической и статистической информацией об угрозах и состоянии ИБ контролируемых объектов.
Перечень передаваемой информации о зоне ответственности ведомственного центра ГосСОПКА
Ведомственный центр ГосСОПКА поддерживает в актуальном состоянии и передает в главный центр при изменении информацию о зоне ответственности ведомственного центра ГосСОПКА, а именно:
•перечень информационных ресурсов;
•перечень используемых средств защиты, в том числе компонентов ГосСОПКА;
•перечень ресурсов, маршрутизируемых в сети Интернет;
•перечень доменных имен;
•территориальную привязку информационных ресурсов;
•сведения о подключении информационных ресурсов к другим объектам информационной инфраструктуры;
•наименование провайдера, оказывающего услуги связи;
•перечень организаций, осуществляющих разработку, эксплуатацию, поддержку и (или) администрирование информационных ресурсов (название организации, ИНН, КПП, юридический адрес, контакты ответственных лиц).
Перечень предоставляемой информации об информационных ресурсах
В рамках взаимодействия по вопросам предоставления информации об информационных ресурсах ведомственный центр ГосСОПКА предоставляет следующую информацию:
•перечень уникальных средств вычислительной техники; моделей и количество телекоммуникационного оборудования; используемого общесистемного программного и прикладного обеспечения;
•среднее время обновления общесистемного программного обеспечения при обнаружении в нем критически опасной уязвимости; прикладного программного обеспечения при обнаружении в нем критически опасной уязвимости после доработки ПО разработчиком;
•перечень уникальных средств защиты, установленных на серверном оборудовании; сопряженных сетей; АСУ ТП (при их наличии); парольной политики, принятые в организации;
•правила проведения инвентаризации;
•модель угроз и модель нарушителя (злоумышленника);
•правила установки обновлений.
Перечень передаваемой информации о компьютерных атаках
В рамках взаимодействия по вопросам обмена информацией о компьютерных атаках передается следующая информация:
•дата и время начала и окончания компьютерной атаки;
•IP-адреса источников компьютерных атак;
•географическое расположение источника компьютерных атак (страна, город);
•тип компьютерной атаки (перебор паролей, сканирование портов, сканирование директорий веб-приложений, фишинг, распространение ВПО, деятельность бот-сети, рассылка спама, эксплуатация уязвимостей, DDoS- атака и т. п.);
•способ выявления компьютерной атаки;
•название информационного ресурса, на который направлена компьютерная атака;
•IP-адрес и (или) доменное имя информационного ресурса, на который направлена компьютерная атака;
•описание компьютерной атаки (перечень полей описания совпадает с перечнем полей в соответствующем типе компьютерного инцидента);
•предпринятые меры.
Обязанности владельца объекта КИИ
В соответствии с приказом ФСТЭК № 239, владелец объекта должен самостоятельно провести анализ актуальных угроз и определить, как должны быть реализованы базовые меры защиты, а если их окажется недостаточно то самостоятельно усилить базовые меры или разработать дополнительные. В нормативной базе КИИ отсутствует привычное по государственным информационным системам требование об обязательной сертификации средств защиты — такое требование установлено только для государственных информационных систем, являющихся объектами КИИ. Остальные организации вправе использовать любые средства защиты при условии, что их соответствие требованиям безопасности проверено в результате испытаний или приемки, которые субъект КИИ может провести самостоятельно. Исчезло также понятие аттестации информационной системы на соответствие требованиям безопасности информации — подобная аттестация часто воспринимается владельцами информационных как индульгенция на случай инцидента. Вместо этого, в соответствии все с тем же приказом № 239, перед вводом информационной системы в эксплуатацию ее владелец должен провести анализ уязвимостей и убедиться, что все уязвимости устранены или не могут быть использованы нарушителем для реализации угроз.
При формулировании этих норм законодатель руководствовался обычным здравым смыслом. В соответствии с законом, владелец значимого объекта КИИ свободен самостоятельно решать, как именно он будет защищать систему от компьютерных атак, т. е. предотвращать возможность проведения атак, обнаруживать атаки и локализовывать их, не давая перерасти в инцидент. Но эта свобода длится ровно до того момента, пока не произойдет инцидент, т. е. пока субъект не окажется неспособен справиться с атакой. В этом случае он обязан уведомить об инциденте ФСБ и должен выполнять предписания ведомства по реагированию на атаку.
С этого момента помощь субъекту в реагировании на атаку становится задачей ГосСОПКА. Участниками (в терминологии нормативных документов ФСБ — центрами) ГосСОПКА являются органы власти, юридические лица и (теоретически) индивидуальные предприниматели, которые в рамках этой системы занимаются противодействием компьютерным атакам.
Обнаруживать атаки и реагировать на них можно по-разному, но в рамках ГосСОПКА противодействие атакам означает выполнение участником системы определенного набора функций, о которых скажем чуть позже. Для выполнения этих функций каждый субъект создает в своем составе центр ГосСОПКА — одно или несколько структурных подразделений, которые и обеспечивают выполнение этих функций.
На практике это означает, что организация добровольно принимает на себя ряд обязанностей, установленных в нормативных документах, в том числе — обязанность выполнять функции центра ГосСОПКА. Эти обязанности закрепляются соглашением, которое организация заключает с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), и с момента заключения такого соглашения организация становится субъектом ГосСОПКА, а именно центром ГосСОПКА, имеющим право оказывать услуги по противодействию компьютерным атакам субъектам КИИ. Но это не является его обязанностью: в нормативных документах подобного требования нет. К обязанностям, установленным законом, относятся необходимость информировать НКЦКИ об инцидентах (в том числе телефонным звонком и официальным письмом) и оказывать содействие сотрудникам этого ведомства.
Все это субъекты КИИ могут делать и не становясь субъектами ГосСОПКА. Субъектов можно разделить на несколько видов, у каждого из которых свои мотивы принимать участие в ГосСОПКА: Органы власти участвуют по распоряжению Правительства, т. е. их участие в системе обязательно. Государственные корпорации создают центры ГосСОПКА по решению государства. Прочие корпорации, относящиеся к критической информационной инфраструктуре, имеют право с согласия ФСБ создавать центры ГосСОПКА и становиться участниками системы.
Это решение принимается добровольно: централизация мер защиты целесообразна экономически и позволяет использовать ограниченное количество специалистов для обеспечения защиты большого количества информационных систем.
Юридические лица и индивидуальные предприниматели, имеющие лицензии ФСТЭК и ФСБ, также имеют право с согласия создавать центры ГосСОПКА, подключаться и оказывать услуги по противодействию компьютерным атакам в рамках этой системы. Это позволяет распространить деятельность ГосСОПКА на субъектов КИИ, неспособных самостоятельно обеспечить противодействие компьютерным атакам в объеме предусмотренном нормативными документами ФСБ. Таким образом, в контексте ФЗ-187 ГосСОПКА охватывает три категории организаций:
-субъекты ГосСОПКА, т. е. организации, которые самостоятельно обеспечивают противодействие компьютерным атакам в объеме, предусмотренном нормативными документами ФСБ, создали собственные центры ГосСОПКА и, при желании, способны оказывать услуги по противодействую атакам другим организациям;
-субъекты КИИ, которые не могут самостоятельно обеспечить требуемый уровень противодействия компьютерным атакам, но могут привлекать для решения этой задачи субъектов ГосСОПКА;
-ФСБ России в лице НКЦКИ, который является головным центром
ГосСОПКА и «единым окном» для взаимодействия субъектов КИИ с ГосСОПКА при возникновении инцидентов.
Функции центров ГосСОПКА Центр ГосСОПКА создается как структурное подразделение организации, ориентированное на решение определенного набора задач по противодействию компьютерным атакам.
Выявление уязвимостей является ключевым элементом противодействия атакам, и речь идет не только об устранении предпосылки для проведения атаки, использующей такую уязвимость. Не всякую уязвимость можно устранить в короткие сроки: иногда для этого требуется заменить уязвимые устройства которых в инфраструктуре могут быть десятки тысяч.
Инвентаризация предусматривает сбор подробной технической информации о каждом сервере, каждом персональном компьютере и каждом телекоммуникационном устройстве в защищаемой инфраструктуре, включая определение моделей аппаратного обеспечения, состава установленных программных средств и обновлений безопасности. Центр ГосСОПКА оценивает архитектуру и состав защищаемых информационных систем с позиций нападающей стороны и определяет, какие атаки могут быть проводиться на них при их текущем состоянии. Для этого используются как результаты выявления уязвимостей, так и накопленный опыт в реагировании на предыдущие атаки на другие информационные системы. При реагировании на атаки центр ГосСОПКА сочетает в себе роли координатора и экспертной группы. Для атак, с которыми центру уже приходилось сталкиваться, разрабатываются сценарии реагирования, определяющие необходимые действия персонала по локализации атаки и ликвидации ее последствий.
Если с атакой раньше сталкиваться не приходилось, центр формирует рабочую группу из представителей персонала защищаемой системы и своих экспертов, и решения вырабатываются непосредственно в процессе реагирования.
Подключение субъекта КИИ к инфраструктуре ГосСОПКА
Подключение субъекта КИИ к инфраструктуре ГосСОПКА возможно двумя способами:
-заключить договор с уже созданным центром ГосСОПКА, оказывающим свои услуги на основании лицензии;
-разработать свой корпоративный (ведомственный) сегмент, взаимодействующий с главным центром ГосСОПКА.
Подключение субъекта КИИ к инфраструктуре ГосСОПКА
обеспечивает:
-эффективное выявление и быстрое реагирование на компьютерные инциденты, а также полное устранение возможных последствий;
-взаимодействие c правоохранительными и другими государственными органами, владельцами информационных ресурсов РФ, операторами связи, интернет-провайдерами и другими организациями на национальном и международном уровнях в области обнаружения компьютерных атак;
-выявление, сбор и анализ сведений об уязвимостях программного обеспечения и оборудования;
-оценка и анализ угроз безопасности, анализ защищенности, управление инцидентами и анализ сетевого трафика.