BIS Journal №3(30)/2018

13 августа, 2018

Проводник для восхождения на ГосСОПКА

В октябре 2017 года компания «Перспективный мониторинг» (ГК «ИнфоТеКС») и ФСБ России заключили соглашение о взаимодействии в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагировании на компьютерные инциденты. С весны 2018 года подключаем заказчиков к ГосСОПКА.

НАЧАЛО СОТРУДНИЧЕСТВА

Главная задача, которую мы решаем в рамках услуги подключения к ГосСОПКА — передать данные об инцидентах информационной безопасности по вертикали иерархической структуры ГосСОПКА в форматах, отвечающих актуальным требованиям регулятора, и в установленные сроки. Но как мы узнаём об инциденте?

С технической (не процессной) точки зрения подключение к ГосСОПКА начинается с построения системы мониторинга ИБ. На стороне заказчика размещаются сетевые и хостовые средства обнаружения компьютерных атак. Данные с этих сенсоров могут поступать напрямую к нам в Центр мониторинга либо предварительно регистрироваться и анализироваться на стороне заказчика. Успешное выполнение условий правил корреляции событий приводит к фиксации инцидента информационной безопасности, в системе управления инцидентами заводится карточка инцидента, с которой происходит вся дальнейшая работа. Именно постоянный мониторинг и обработка (идентификация, классификация, информирование, сдерживание, расследование и устранение последствий) инцидентов помогают успешно выявлять компьютерные атаки и своевременно на них реагировать.

Когда мы общаемся с потенциальными заказчиками, нам часто задают вопрос в духе: «Мы субъект КИИ, похоже нам придётся подключиться к ГосСОПКА. Но с мониторингом у нас… не очень… Нет ни средств, ни людей. Что делать?». Увы, пока ответ один — комплекс средств мониторинга нужно будет приобрести (или взять в аренду при аутсорсинге) и развернуть.

АКТУАЛЬНОЕ СОСТОЯНИЕ

Вторая задача, определённая регулятором, — сформировать и поддерживать в актуальном состоянии информацию о контролируемых ресурсах. Эту задачу мы решаем двумя способами, которые дополняют друг друга. Сначала мы вместе с заказчиком определяем пул контролируемых ресурсов: от информационных систем (включая АСУ ТП) до конкретных сетевых узлов (АРМов, серверов, контроллеров, маршрутизаторов и т. д.). После этого мы получаем перечень установленного программного обеспечения на каждом из контролируемых узлов. Состав ПО загружается в нашу систему управления уязвимостями, которая отслеживает появление новых уязвимостей в публичном поле. Если версия установленных и зарегистрированных в системе программных пакетов совпадает с той, где есть уязвимость, владельцу информационного ресурса приходит уведомление с рекомендациями по устранению данной уязвимости или необходимыми компенсационными мерами.

По рекомендациям регулятора, контроль сведений об уязвимостях информационных ресурсов носит периодический и системный характер. Например, ежемесячно проводятся сетевое и системное сканирование ресурсов автоматизированными средствами и контроль выполнения требований безопасности. Проигнорировать найденные слабости в защите тоже не получится — раз в квартал нужно будет контролировать устранение ранее выявленных уязвимостей. А тестирование на проникновение проводится не реже одного раза в год, чтобы оценить эффективность системы защиты. Его мы тоже можем провести и смоделировать действия злоумышленника, дать оценку, сколько ресурсов и времени потребуется для успешной кибератаки на заказчика. Знание векторов атак даёт возможность подготовиться к ним и снизить негативные последствия.

ОТКУДА АТАКА?

Часто к нам обращаются заказчики с просьбой расследовать инцидент информационной безопасности и выяснить откуда «пришла» атака, каковы цели и мотивация атакующего, кто был вовлечён в проведение атаки со стороны жертвы, какие методы, уязвимости и инструменты использовал атакующий. Эти данные пригодятся для передачи информации об инциденте в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).

В случае выявления инцидента наш заказчик не останется один на один с проблемой. Мы поможем среагировать на инцидент, дадим рекомендации, что нужно сделать в первую очередь, чтобы снизить негативное влияние атаки, и как ликвидировать последствия. Мы также проанализируем результаты устранения последствий инцидентов.

СИЛЫ ГОССОПКА

Если посмотреть в нормативные документы, то там встречается понятие «силы ГосСОПКА». «Силы» — это кадровое обеспечение. Опыт общения с заказчиками наглядно показывает, что люди — одна из острых проблем. Их или нет, или их недостаточно, или у них недостаточно знаний и опыта. Мы обучаем и информируем заинтересованных лиц по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак, помогаем повысить осведомлённость пользователей в вопросах обеспечения безопасности информации.

В случае самостоятельного подключения к ГосСОПКА субъекту будет необходимо обеспечить взаимодействие с 8 Центром ФСБ России, выполнить организационные и технические требования в соответствии с нормативными правовыми актами и методическими рекомендациями, развернуть специализированные системы взаимодействия с технической инфраструктурой НКЦКИ (только для значимых объектов КИИ). В случае подключения через корпоративный центр ГосСОПКА «Перспективного мониторинга» — заключить с нами соглашение и уведомить НКЦКИ о включении своих информационных ресурсов в зону ответственности корпоративного центра.

Мы не хотим, чтобы потенциальные заказчики покупали «кота в мешке», поэтому даём возможность протестировать услуги Центра мониторинга во время месячного пилотного проекта. За это время мы вместе с заказчиком сможем оценить готовность инфраструктуры к подключению и понять необходимый на постоянной основе объём работ.

Остались вопросы? Пишите на info@amonitoring.ru.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.05.2024
Хакеры из Head Mare утверждают, что «положили» системы СДЭК
28.05.2024
СПЧ и МВД — о масштабах потерь от действий скамеров
28.05.2024
Узбекистан откалывается от «Мира»?
28.05.2024
«Росатом»: Регуляторика ИИ с чёткой логикой сегодня отсутствует
28.05.2024
В ходе дискуссии может появиться многогранная программа ИИ
28.05.2024
Существует неопределённость в толковании и применении правовых норм использования ИИ
28.05.2024
«РУССОФТ»: В ИИ-гонке выигрывает не тот, кто придумал, а тот, кто внедрил
28.05.2024
Хакеры грозят опубликовать ПДн клиентов аукционного дома Christie’s
27.05.2024
НКЦКИ запустит сервис бесплатной «скорой помощи» пострадавшим от киберинцидентов
27.05.2024
Банкиры спасли от скамеров два триллиона рублей своих клиентов

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных