Концепция ГосСОПКА
При разработке концепции ГосСОПКА был принят следующий подход. Государство не берет на себя обязанность защитить кого-либо от атак, такая защита по-прежнему остается проблемой владельца защищаемой системы. Вместо этого создается система центров компетенции, которые обслуживают субъектов КИИ. Такой центр берет на себя часть функций безопасности, необходимых для противодействия атакам на информационные системы субъектов КИИ. Как правило, к таким функциям относится:
-выявление и анализ уязвимостей обслуживаемых информационных систем, координация действий по устранению таких уязвимостей;
-анализ событий, регистрируемых компонентами информационных систем, для поиска признаков атак, направленных на эти системы;
-координация действий по реагированию на обнаруженную атаку, а если атака привела к инциденту — по ликвидации последствий такого инцидента;
-расследование инцидентов и ретроспективный анализ атак, которые не удалось предотвратить;
-информирование персонала обслуживаемых информационных систем, проведение киберучений.
ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, создаваемая в целях предотвращения и устранения последствий компьютерных атак на критическую информационную инфраструктуру Российской Федерации.
Она представляет собой иерархически взаимодействующие государственные и коммерческие центры, которые непрерывно делятся информацией о зафиксированных инцидентах и способах противодействия им.
К субъектам КИИ относят организации:
-здравоохранения;
-науки;
-транспорта;
-связи;
-энергетики;
-банковской сферы;
-горнодобывающей, металлургической и химической промышленности. Состав участников ГосСОПКА неограничен. Она предназначена для всех
информационных ресурсов Российской Федерации, вне зависимости от объемов ресурсов, принадлежности к классам и категориям.
Структура системы ГосСОПКА
ГосСОПКА — территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
Зона ответственности — совокупность информационных ресурсов, в отношении которых субъектом ГосСОПКА обеспечиваются обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты.
Субъекты ГосСОПКА — государственные органы Российской Федерации, российские юридические лица и индивидуальные предприниматели в силу закона или на основании заключенных с ФСБ России соглашений осуществляющие обнаружение, предупреждение и ликвидацию последствий компьютерных атак и реагирование на компьютерные инциденты.
Центр ГосСОПКА — структурная единица ГосСОПКА, представляющая совокупность подразделений и должностных лиц субъекта, которые принимают участие в обнаружении, предупреждении и ликвидации последствий компьютерных атак и реагирование на компьютерные инциденты в своей зоне ответственности.
Структура центров ГосСОПКА
Ведомственные и корпоративные сегменты ГосСОПКА
Ведомственные сегменты ГосСОПКА создаются органами государственной власти, а также организациями, осуществляющими лицензируемую деятельность в области защиты информации, действующими в интересах органов государственной власти. Зоной ответственности ведомственных сегментов являются информационные ресурсы органов государственной власти.
Корпоративные сегменты ГосСОПКА создаются государственными корпорациями, операторами связи и иными организациями, осуществляющими лицензируемую деятельность в области защиты информации, в собственных интересах, а также для оказания услуг по предупреждению, обнаружению и ликвидации последствий компьютерных атак. Зона ответственности корпоративного сегмента ГосСОПКА определяется организацией, создавшей сегмент, на основании решения руководителя организации, внутренних нормативных актов и заключенных договоров.
Направления деятельности ведомственного сегмента ГосСОПКА
•нормативное правовое регулирование деятельности по созданию и обеспечению функционирования системы информационной безопасности контролируемых информационных ресурсов;
•разработка и утверждение требований по обеспечению информационной безопасности контролируемых информационных ресурсов, включая требования к количеству и квалификации персонала, непосредственно обеспечивающему функционирование, их безопасность и эксплуатацию;
•методическое обеспечение деятельности персонала информационных систем и информационно-телекоммуникационных сетей по повышению уровня защищенности информационных ресурсов;
•мониторинг степени защищенности контролируемых информационных ресурсов и выполнения требований по обеспечению их информационной безопасности;
•обнаружение компьютерных атак и компьютерных инцидентов, координация действий персонала по реагированию на инциденты и ликвидации их последствий;
•обеспечение мероприятий по прогнозированию развития угроз безопасности.
Задачи ведомственного сегмента ГосСОПКА
•обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы ведомства, включая информационные ресурсы, принадлежащие территориальным структурным подразделениям и организациям ведомственного подчинения (далее — информационные ресурсы ведомства);
•обеспечения взаимодействия владельцев информационных ресурсов ведомства и главного центра ГосСОПКА при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;
•сбора и анализа данных о состоянии информационной безопасности в контролируемых информационных ресурсах;
•контроля степени защищенности информационных ресурсов ведомства от компьютерных атак;
•установления причин компьютерных инцидентов, связанных с функционированием информационных ресурсов ведомства;
•информирования заинтересованных лиц ведомственного сегмента по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак.
Задачи корпоративного сегмента ГосСОПКА
В задачи корпоративного сегмента ГосСОПКА помимо обеспечения безопасности в зоне ответственности входит агрегация информации о защищенности и происходящих инцидентах у всех подведомственных организаций. В его задачи также входит аналитика на основании полученных данных, выявление общих трендов или актуальных векторов и передача информации о них в нижестоящие центры.
Направления деятельности корпоративного сегмента ГосСОПКА
•прогнозирование ситуации в области обеспечения информационной безопасности РФ;.
•обеспечение взаимодействия владельцев информационных ресурсов, при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;
•осуществление контроля степени защищенности информационных ресурсов РФ от компьютерных атак;
•Расследование компьютерных инцидентов.
Порядок обработки сообщений от главного центра ГосСОПКА и ведомственного сегмента ГосСОПКА
Главный центр ГосСОПКА направляет, а ведомственный сегмент принимает и обрабатывает следующие типы информационных сообщений:
•сведения об актуальных угрозах;
•сведения об актуальных уязвимостях;
•сведения о признаках компьютерных инцидентов на объектах в зоне деятельности ведомственного сегмента;
•сведения об индикаторах компрометации информационных ресурсов;
•изменения и дополнения к методическим рекомендациям;
•запросы на предоставления дополнительной информации событиям ИБ. Ведомственный сегмент ГосСОПКА направляет, а главный центр
принимает и обрабатывает следующие типы информационных сообщений:
•информацию о зоне ответственности ведомственного сегмента, включая результаты инвентаризации;
•данные о компьютерных атаках;
•данные о компьютерных инцидентах;
•общую информацию о защищенности информационных ресурсов;
•детальную информацию о защищенности информационных ресурсов, доступных из сети Интернет;
•статистические данные об актуальных для ведомственного сегмента угрозах;
•сведения о самостоятельно обнаруженных индикаторах компрометации информационных ресурсов.