- •Основы проектирования защищенных инфокоммуникационных систем
- •ГосСОПКА Нормативные требования и рекомендации
- •На основании этих документов была создана Государственная система обнаружения, предупреждения и ликвидации последствий
- •Что такое ГосСОПКА?
- •Причины возникновения ГосСОПКА
- •Примеры аналогичных систем
- •Системы IPS/IDS
- •Виды IDS по принципу действия
- •IDS, основанные на аномалиях
- •IDS на основе правил
- •Различия типов технологий IDS
- •Архитектура и технология IDS
- •Альтернатива сетевым системам — хостовые. Такие системы устанавливаются на один хост внутри сети
- •Системы IPS
- •Целью IPS систем является не только выявление несанкционированной деятельности, но и предотвращение доступа
- •Создание ГосСОПКА
- •Концепция ГосСОПКА
- •ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, создаваемая в
- •Структура системы ГосСОПКА
- •Структура системы ГосСОПКА
- •ГосСОПКА — территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения
- •Структура центров ГосСОПКА
- •Ведомственные и корпоративные сегменты ГосСОПКА
- •Направления деятельности ведомственного сегмента ГосСОПКА
- •Задачи ведомственного сегмента ГосСОПКА
- •Задачи корпоративного сегмента ГосСОПКА
- •Направления деятельности корпоративного сегмента ГосСОПКА
- •Требования к взаимодействию с главным центром ГосСОПКА
- •Порядок обработки сообщений от главного центра ГосСОПКА и ведомственного сегмента ГосСОПКА
- •Порядок предоставления сведений главному центру ГосСОПКА
- •Перечень передаваемой информации о зоне ответственности ведомственного центра ГосСОПКА
- •Перечень предоставляемой информации об информационных ресурсах
- •Перечень передаваемой информации о компьютерных атаках
- •Обязанности владельца объекта КИИ
- •При формулировании этих норм законодатель руководствовался обычным здравым смыслом. В соответствии с законом,
- •На практике это означает, что организация добровольно принимает на себя ряд обязанностей, установленных
- •Юридические лица и индивидуальные предприниматели, имеющие лицензии ФСТЭК и ФСБ, также имеют право
- •Ктаким задачам относятся:
- •Не секрет, что при создании информационных систем разработка моделей угроз сводится к простой
- •Таким образом, работа центра ГосСОПКА строится на принципах самосовершенствования: допустима неудача в реагировании
- •При этом государство в лице НКЦКИ выступает гарантом добросовестности центров ГоСОПКА, устанавливая требования
- •Подключение субъекта КИИ к инфраструктуре ГосСОПКА
- •Где и в каких случаях создавать Центры мониторинга инцидентов ИБ? Во-первых, необходимость возникает
- •Что должно измениться после создания Центра мониторинга?
При этом государство в лице НКЦКИ выступает гарантом добросовестности центров ГоСОПКА, устанавливая требования к их деятельности, осуществляя надзор этой деятельностью и даже непосредственно участвуя в реагировании на некоторые атаки. Подход, в рамках которого создается ГосСОПКА, нов не только для России, но и для западных стран, на опыт которых часто ссылаются в вопросах информационной безопасности: подобный уровень государственно- частного партнерства пока нигде не практиковался. Поэтому сейчас трудно судить об эффективности и перспективах ГосСОПКА, учитывая, что первые центры еще только начинают свою работу и пока охватывают своей деятельностью лишь незначительную часть критической информационной инфраструктуры. Радует, что в теме противодействия компьютерным атакам регуляторы не стали зацикливаться на формальной стороне вопроса: нет такого набора требований, выполнение которых могло бы считаться достаточным для субъекта КИИ. Вместо этого и в требования ФСТЭК России к процедурам создания системы защиты, и в требования ФСБ к деятельности центов ГосСОПКА заложен принцип адаптивности. Ошибаться могут все, и инциденты, в том числе связанные с неэффективностью принятых мер защиты, будут случаться всегда, и это нормально. Оба регулятора требуют лишь, чтобы субъекты анализировали собственные ошибки и использовали их для совершенствования своих систем защиты.
Подключение субъекта КИИ к инфраструктуре ГосСОПКА
Подключение субъекта КИИ к инфраструктуре ГосСОПКА возможно двумя способами:
-заключить договор с уже созданным центром ГосСОПКА, оказывающим свои услуги на основании лицензии;
-разработать свой корпоративный (ведомственный) сегмент, взаимодействующий с главным центром ГосСОПКА.
Подключение субъекта КИИ к инфраструктуре ГосСОПКА оеспечивает:
-эффективное выявление и быстрое реагирование на компьютерные инциденты, а также полное устранение возможных последствий;
-взаимодействие c правоохранительными и другими государственными органами, владельцами информационных ресурсов РФ, операторами связи, интернет-провайдерами и другими организациями на национальном и международном уровнях в области обнаружения компьютерных атак;
-выявление, сбор и анализ сведений об уязвимостях программного обеспечения и оборудования;
-оценка и анализ угроз безопасности, анализ защищенности, управление инцидентами и анализ сетевого трафика.
Где и в каких случаях создавать Центры мониторинга инцидентов ИБ? Во-первых, необходимость возникает там, где администраторы и
подразделения ИБ не справляются с объемом работы и уже не могут контролировать все защищаемые активы. Инциденты ИБ возникают все чаще, а время их решения и обработки все возрастает (а иногда и не хватает квалификации специалистов для их решения), потери и простои защищаемых систем увеличиваются до недопустимых значений. Когда чувство потери контроля над вашей ИТ-инфраструктурой увеличивается с каждым днем.
В малых и средних предприятиях, как правило, смысла в построении таких Центров обычно нет (хотя применение систем по мониторингу имеет смысл, но сами процессы мониторинга отладить скорей всего не получится в силу отсутствия свободного персонала), а вот уже в компаниях среднего размера и крупных организациях – Центр мониторинга инцидентов ИБ либо обязательно должен быть, либо данную задачу должна выполнять подрядная организация, оказывающая данный вид услуг.
Большинство организаций, являющихся крупными заказчиками в области ИТ/ИБ-услуг в России уже либо построили у себя Центры мониторинга инцидентов ИБ, либо заключили контракты на оказание услуг мониторинга с внешними организациями.
Во-вторых, почти во всех обязательных и рекомендательных нормативных актах, стандартах России в области информационной безопасности, есть пункты о необходимости и важности выполнения мониторинга событий и инцидентов информационной безопасности.
Что должно измениться после создания Центра мониторинга?
При успешной реализации проекта по созданию Центра мониторинга инцидентов информационной безопасности на предприятии должен появиться выстроенный, контролируемый процесс мониторинга инцидентов информационной безопасности. Операционная эффективность взаимодействия сотрудников, входящих в команду Центра, повысится и перейдет на следующий уровень зрелости.
Решаемые задачи при построении Центра мониторинга инцидентов информационной безопасности:
Своевременно обнаруживать и предупреждать возникновение инцидентов ИБ Ликвидировать последствия инцидентов ИБ Постоянно вырабатывать меры по исключению повторения инцидентов ИБ и улучшению защитных мер.
Что изменится после создания Центра для руководства предприятия? Процесс мониторинга инцидентов информационной безопасности станет
основным видом деятельности подразделения ИБ, который будет приносить наибольшую ценность для вашего предприятия. Среди этих ценностей:
-прозрачность работы подразделения ИБ для руководства предприятия;
-оперативное получение статистики и отчетов по инцидентам ИБ;
-понятная и простая визуализация сложных проблем и текущего состояния ваших систем;
-руководство подразделения ИБ/ИТ получит инструмент для быстрого выявления причин инцидентов.