Задачи операционной безопасности объектов КИИ в рамках функционирования центров ГосСОПКА v1.1(2019)

Задачи операционной безопасности объектов КИИ в рамках функционирования центров ГосСОПКА v1.1(2019)

В 2017 году, то есть в исторической перспективе — совсем недавно, мы опубликовали статью «Задачи операционной безопасности объектов КИИ в рамках функционирования центров ГосСОПКА». В ней мы рассматривали задачи центров ГосСОПКА по обеспечению безопасности объектов критической информационной инфраструктуры (КИИ) и взаимодействия с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а также возможные инструменты для их решения. Материал был выпущен ещё до выхода открытых приказов ФСБ России, регламентирующих работу ГосСОПКА. И сейчас, когда все приказы зарегистрированы в Минюсте, мы хотим провести оценку того, насколько видение государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, обозначенное нами ранее, соответствует наступившей реальности.

 

  1. Введение
  2. ГосСОПКА
    1. 2.1. Общее описание структуры
    2. 2.2. Стадии создания ГосСОПКА
  3. Задачи в рамках функционирования центра ГосСОПКА
    1. 3.1. Определение зоны ответственности и состояния защищенности
    2. 3.2. Инструментарий центра ГосСОПКА
    3. 3.3. Кадровые вопросы центра и требования к квалификации
    4. 3.4. Функции центра ГосСОПКА
  4. Выводы

 

Введение

С момента выхода нашей статьи Федеральный закон от 26 июля 2017 года №187-ФЗ («О безопасности критической информационной инфраструктуры Российской Федерации») уже вступил в силу. Согласно ему, помимо непосредственного обеспечения безопасности критической информационной инфраструктуры, субъекты последней должны непрерывно взаимодействовать с ГосСОПКА.

Наши тезисы о необходимости мониторинга штатного функционирования ИТ-ресурсов, АСУ, телеком-оборудования, выявления и прогнозирования угроз ИБ подтвердились со вступлением в действие приказов ФСТЭК России № 235 и 239, которые обязывают владельцев значимых объектов КИИ обеспечить мониторинг и регистрацию событий безопасности (АУД), а также реагирование на компьютерные инциденты (ИНЦ).

Для обеспечения непрерывности, в том числе при ограниченных кадровых ресурсах, можно привлекать коммерческие организации, которые лицензированы в сфере защиты информации и имеют соглашение с НКЦКИ о присвоении статуса центра ГосСОПКА.

 

ГосСОПКА

Общее описание структуры

В 2017 году, уже после выхода нашей статьи, обновился список документов, на которых базируется регулирование ГосСОПКА:

  • Указ Президента РФ от 15 января 2013 года №31с («О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»).
  • Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации (утверждены Президентом РФ 3 февраля 2012 года №803).
  • Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (№К 1274 от 12 декабря 2014 года).
  • Стратегия развития информационного общества в Российской Федерации на 2017—2030 годы (№203 от 9 мая 2017 года).
  • Федеральный закон №187-ФЗ от 26 июля 2017 года «О безопасности критической информационной инфраструктуры Российской Федерации».
  • Указ Президента РФ №620 от 22 декабря 2017 года «О совершенствовании ГосСОПКА».

Также уже вышли все необходимые приказы и нормативные правовые акты, которые регуляторы обязаны были выпустить в соответствии с законом №187-ФЗ, и сейчас деятельность участников ГосСОПКА подпадает под действие следующих документов:

  • Набор методических рекомендаций по созданию и организации процессов ведомственных и корпоративных центров ГосСОПКА от Центра защиты информации и специальной связи ФСБ России.
  • Требования к персоналу и должностным лицам субъектов ГосСОПКА.
  • Приказ ФСБ России №366 от 24 июля 2018 года «О НКЦКИ».
  • Приказ ФСБ России №367 от 24 июля 2018 года «Об утверждении Перечня информации и Порядка представления информации в ГосСОПКА».
  • Приказ ФСБ России №368 от 24 июля 2018 года «Об утверждении Порядка обмена информацией о компьютерных инцидентах и Порядка получения субъектами КИИ информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения».
  • Приказ ФСБ России №196 от 6 мая 2019 года «Об утверждении требований к средствам ГосСОПКА».
  • Приказ ФСБ России №281 от 19 июня 2019 года «Об утверждении ТУ установки и эксплуатации средств ГосСОПКА».
  • Приказ ФСБ России №282 от 19 июня 2019 года «Об утверждении порядка информирования НКЦКИ и реагирования на компьютерные инциденты».

 

Рисунок 1. Иерархия ГосСОПКА

 Иерархия ГосСОПКА

 

Кроме того, из обихода и лексикона участников системы вышло такое понятие, как «Главный центр»: со временем он объединился с НКЦКИ. Также постепенно уходит и разделение на «Ведомственные» и «Корпоративные» центры ГосСОПКА, хотя в разработанных ранее документах оно иногда встречается. Недавно вышедшее постановление Правительства РФ оперирует доселе неизвестной сущностью «Отраслевой центр ГосСОПКА», что пока не находит понимания в рядах участников системы.

 

Стадии создания ГосСОПКА

Глобально принципы создания сегмента ГосСОПКА в организации не изменились и включают следующие стадии:

  • определение зоны ответственности, текущего состава и состояния защищаемых инфраструктур, модели угроз;
  • запуск или адаптация инструментов, требуемых для обеспечения функций центра;
  • обеспечение выполнения функций ГосСОПКА.

 

Рисунок 2. Структура и основные направления деятельности ГосСОПКА

 Структура и основные направления деятельности ГосСОПКА

 

В части инцидентов и анализа защищённости с 2017 года сохраняется фокус на внешнем нарушителе, то есть киберпреступнике. Это видно в том числе и по особо выделяемым категориям и типам инцидентов, перечень которых в целом существенно изменился.

 

Таблица 1. Сравнение категорий и типов инцидентов

Было

Стало

 

Тип

Категория

Тип

 

ВПО (включая APT и бот-агент)

ЦУ бот-сети

Внедрение ВПО

Заражение ВПО

 

Распространение ВПО

Использование российского ресурса для распространения ВПО

Попытки внедрения модулей ВПО

 

DoS / DDoS

 

Нарушение или замедление работы контролируемого информационного ресурса

Компьютерная атака типа «отказ в обслуживании»

 

Распределённая компьютерная атака типа «отказ в обслуживании»

 

Несанкционированный вывод системы из строя

 

Непреднамеренное отключение системы (без злого умысла)

 

Несанкционированный доступ

Эксплуатация уязвимости

Несанкционированный доступ в систему

Успешная эксплуатация уязвимости

Компрометация учетной записи

 
 

Попытки несанкционированного доступа в систему или к информации

Попытки эксплуатации уязвимости

 

Перебор паролей

Сбор сведений с использованием ИКТ

Попытки авторизации в информационном ресурсе

 

Сканирование ресурсов

Сканирование информационного ресурса

 

Прослушивание (захват) сетевого трафика

 

Социальная инженерия

 

Нарушение политики безопасности

Нарушение безопасности информации

Несанкционированное разглашение информации

 

Несанкционированное изменение информации

 

Вредоносный ресурс

Распространение информации с неприемлемым содержимым

Рассылка российским ресурсом спам-сообщений

 

Запрещённый контент (нарушение прав)

Спам

Публикация запрещённой законодательством РФ информации

 

Фишинг (мошенничество)

Мошенничество с использованием ИКТ

Злоупотребление при использовании информационного ресурса

 

Публикация мошеннического информационного ресурса

 

Другое

Наличие уязвимости или недостатков конфигурации

 

 

 

Задачи в рамках функционирования центра ГосСОПКА

Определение зоны ответственности и состояния защищённости

Стартовые задачи по созданию сегмента остались прежними и применимы к любому проекту по информационной безопасности:

  • определение перечня информационных систем и инфраструктур, которые требуют защиты (инвентаризация), отдельно — доступных из интернета;
  • определение модели угроз (компьютерных инцидентов, от которых мы планируем защищаться и на которые планируем реагировать);
  • определение фактических возможностей текущей инфраструктуры — как выстроить защиту от инцидентов, указанных в модели угроз;
  • определение инструментов и ресурсной (кадровой) базы, которая потребуется для реализации защиты.

Как и 2 года назад, даже первая часть задачи — «нарисовать» периметр — на деле нередко оказывается крайне сложной. Потенциальные сегменты ГосСОПКА часто представляют собой территориально распределённые комплексные инфраструктуры, и понять, какие существуют каналы выхода в интернет, какие сервисы за годы работы компании оказались на периметре и с какой целью — весьма трудоёмкая задача. Радует появление и постоянное развитие специализированных SGRC-средств, позволяющих автоматизировать этот процесс.

Как правило, к данному этапу уже приходят с пониманием того, какие объекты КИИ есть в инфраструктуре. Речь идёт о категории значимости объектов, от которой напрямую зависят требования к мерам защиты информации и к скорости реагирования. Так, в приказе ФСБ России №282 определено, что субъекты, не владеющие значимыми объектами КИИ, должны информировать НКЦКИ об инцидентах в течение 24 часов с момента их обнаружения.

Совсем другие требования предъявляются к владельцам значимых объектов КИИ. Такие субъекты должны разработать план по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак. Для непосредственного решения названных задач (реагирование и ликвидация) владельцам КИИ даже дают возможность привлекать профильные подразделения и должностных лиц ФСБ России. В этом случае план разрабатывается совместно с НКЦКИ и согласовывается с теми, кого предполагается привлечь. Необходимо минимум раз в год отрабатывать положения плана на киберучениях.

Но самое главное требование к субъектам КИИ, отражённое в приказе №282, — информировать НКЦКИ о случившихся инцидентах в течение 3-х часов с момента их обнаружения. Выполнить такое требование без круглосуточной дежурной смены или передачи этих функций в партнёрский центр ГосСОПКА практически невозможно.

 

Инструментарий центра ГосСОПКА

Ранее, рассматривая техническую основу центра ГосСОПКА, мы выделили следующие средства защиты информации:

  • активные средства (защита периметра и антивирус на хостах);
  • система обнаружения атак (фиксация попыток эксплуатации уязвимостей);
  • система защиты от DDoS;
  • сканер уязвимостей;
  • система сбора и корреляции событий — SIEM (фиксация сканирований, брутфорсов и фактов несанкционированного доступа);
  • система диспетчерской службы (service desk) и информационного взаимодействия (замкнутое управление циклом инцидентов и передачи информации в вышестоящий центр ГосСОПКА).

В мае 2019 года вышел приказ ФСБ России №196, содержащий требования к средствам ГосСОПКА. Таким образом регулятор утвердил минимально необходимый набор инструментов, которыми должен оперировать центр ГосСОПКА для защиты КИИ. В него вошли средства:

  • обнаружения (читай: SIEM),
  • предотвращения (инвентаризация и сканер уязвимостей),
  • ликвидации последствий (IRP и взаимодействие с НКЦКИ),
  • криптографической защиты информации,
  • визуализации.

Есть и общие требования для всех средств ГосСОПКА:

  • исключать возможности несанкционированного удалённого управления, несанкционированной передачи обрабатываемой информации, влияния на объекты критической информационной инфраструктуры;
  • модернизироваться, обеспечиваться гарантийной и технической поддержкой только российскими организациями с российскими собственниками.

Список получился короче нашего изначального, но этого и следовало ожидать, так как и требования, и сама необходимость установки средств защиты информации от несанкционированного доступа, антивирусов, средств обнаружения вторжений и систем противодействия DoS / DDoS регламентируется документами ФСТЭК, а не ФСБ России.

 

Кадровые вопросы центра и требования к квалификации персонала

В части кадрового обеспечения мы опирались на методические рекомендации по созданию центров ГосСОПКА. С тех пор вышли «Требования к персоналу и должностным лицам субъектов ГосСОПКА», где эти вопросы остались практически неизменными. Ранее мы выпустили отдельную статью, полностью посвящённую кадрам: «Каков оптимальный состав команды Центра ГосСОПКА».

 

Функции центра ГосСОПКА

Функции центра ГосСОПКА — это те самые процессы, которые являются краеугольным камнем построения любого SOC и которым регулятор придаёт первостепенное значение.

Почему первостепенное? Это прямо следует из идеи о том, что информационная безопасность является процессом, и ежедневная работа всех служб ИБ — реагировать на вызовы постоянно меняющейся внешней и внутренней обстановки, свойственные любой организации, потому что невозможно единожды настроить защиту и никогда не возвращаться к ней до момента вывода информационной системы из эксплуатации.

Для полностью замкнутых и изолированных систем (где разрешено очень ограниченное количество ПО, нет выхода в интернет и контролируется каждый бит исполняемых файлов и файлов конфигурации) такой подход возможен. Именно он применяется в системах с гостайной, но с ними работает очень специфический, готовый к ограничениям контингент.

Нам с вами посчастливилось работать в условиях, где степень свободы больше, но за такой инфраструктурой надо усиленно наблюдать, выделяя обособленное подразделение, которое будет заниматься мониторингом в режиме 24х7. Только с помощью такого центра обнаружения и реагирования на компьютерные инциденты вы сможете противостоять целенаправленным атакам.

Регулятор обновил функции центра ГосСОПКА, и теперь они выглядят так:

  • формирование и поддержание в актуальном состоянии детализированной информации об информационных ресурсах, находящихся в зоне ответственности ведомственного центра (инвентаризация информационных ресурсов);
  • эксплуатация средств ГосСОПКА;
  • анализ событий информационной безопасности;
  • регистрация компьютерных атак и компьютерных инцидентов, а также приём сообщений об инцидентах от персонала и пользователей информационных ресурсов;
  • составление перечня компьютерных инцидентов;
  • проведение мероприятий по оперативному реагированию на компьютерные атаки и вызванные ими компьютерные инциденты, а также по ликвидации последствий данных компьютерных инцидентов в информационных ресурсах;
  • анализ результатов ликвидации последствий инцидентов;
  • расследование и установление причин компьютерных инцидентов;
  • анализ угроз ИБ, составление и актуализация перечня угроз, прогнозирование их развития и направление в НКЦКИ результатов;
  • принятие управляющих решений по обеспечению информационной безопасности информационных ресурсов;
  • разработка документов, регламентирующих процессы обнаружения, предупреждения и ликвидации последствий компьютерных инцидентов и реагирования на компьютерные инциденты;
  • выявление, сбор и анализ сведений об уязвимостях, а также проведение мероприятий по оценке защищённости от компьютерных атак и вирусных заражений информационных ресурсов;
  • формирование предложений по повышению уровня защищённости информационных ресурсов;
  • взаимодействие с НКЦКИ по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак;
  • предоставление дополнительной информации о компьютерных инцидентах в информационно-телекоммуникационных сетях, находящихся в зоне ответственности ведомственного центра, по запросам НКЦКИ;
  • информационно-аналитическое и прогностическое обеспечение функционирования ГосСОПКА, предоставление в НКЦКИ сведений о состоянии защищённости информационных ресурсов;
  • направление в НКЦКИ предложений по совершенствованию средств ГосСОПКА.

 

Выводы

Общий вывод остался прежним. Защита КИИ и ГосСОПКА — это не история о формальном выполнении формальных требований, когда можно закупить некоторое количество аппаратных и программных средств, провести аттестацию, заполнить сейф бумагами, лицензиями и сертификатами и считать задачу выполненной. Основной момент, который больше всего волнует регулятора, — это реально выстроенные процессы обнаружения и реагирования на компьютерные инциденты в заданное им (регулятором) время. Именно ради обеспечения этих процессов существуют методические документы и общие требования к кадровому составу и техническим средствам. Если же говорить о практике выполнения требований и рекомендаций регулятора, то наш итоговый вывод подтверждается временем. Всё больше субъектов КИИ под действием кадрового голода, недостатка собственной экспертизы и финансирования прибегают к сервисной модели с привлечением коммерческих центров ГосСОПКА.

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru