Начальник ФинЦЕРТ Банка России Артём Калашников выступил на SOC Форуме «Практика противодействия компьютерным атакам и построения центров мониторинга ИБ», который прошел 19-20 ноября в Москве.
«Наша задача сегодня – пояснить вам, как выглядит информационный обмен в финансовом секторе, на какие вещи стоит обращать внимание при построении SOC и использования функции мониторинга и о каких вещах необходимо в рамках Федеральных законов и нормативных актов Банка России сообщать регулятору», - отметил начальник ФинЦЕРТ Банка России.
Существует 187-ой Федеральный закон, который необходимо выполнять. «Мы в этом отношении находимся на той же позиции, что и поднадзорные Банку России организации, - подчеркнул Артём Калашников, - только нам, наверное, тяжелее, поскольку мы не только собираем информацию об инцидентах, мы также о своих инцидентах сообщаем в ГосСОПКА».
Эксперт рассказал, что спектр функций по взаимодействию и реагированию расширился, в настоящее время среди этих функций можно выделить следующие: анализ поступающего от участников информационного обмена ВПО и подозрительных URL-ссылок; классификация атаки; определение необходимости выпуска технического бюллетеня с индикаторами компрометации (IOS); подготовка бюллетеня и отправка его участникам.
Среднее время реагирования на инциденты и подготовка бюллетеня – 40-90 минут.
Артём Калашников в своем выступлении отдельно остановился на взаимодействии с зарубежными коллегами. Помимо внутренних инцидентов, возникающих в российской юрисдикции, есть атаки, которые происходят из-за рубежа, и с ними надо бороться. Для этого ФинЦЕРТ Банка России взаимодействует со своими зарубежными коллегами. Налажены взаимоотношения со многими национальными банками различных стран мира. В чем смысл этого обмена? Все то, что происходит на российской стороне, может перетечь за пределы РФ и такую информацию ФинЦЕРТ отправляет своим иностранным коллегам. В свою очередь, от них также получает информацию, которая может быть полезна. «Иностранные группы реагирования помогают нам во многих вопросах», - отметил Артём Калашников.
В АСОИ ФинЦЕРТ как в системе, которая отвечает за информационный обмен, появилась очень удобная функция – это API-функция. «Был разработан соответствующий механизм и сейчас мы ее предоставляем для использования, тестирования, - рассказал Начальник ФинЦЕРТ Банка России. – Мы увидели, что есть организации, которые дают возможность нашим поднадзорным работать через свою инфраструктуру и для таких организаций мы сейчас разрабатываем механизм, который позволит тестировать разные форматы, тестировать использование API и выдавать качественный сервис тем, у кого есть договорные отношения с такими организациями».
«В перспективе мы хотели бы понять, насколько участникам обмена информацией удобен существующий интерфейс, насколько необходима функция составления «предправил» для внедрения в SIEM, насколько качественно готовится информация, которая выходит со стороны ФинЦЕРТ и какие функции еще нужны, чтобы качественно и эффективно ими пользоваться», - отметил начальник ФинЦЕРТ Банка России.