Телефон: 8-800-350-22-65
WhatsApp: 8-800-350-22-65
Telegram: sibac
Прием заявок круглосуточно
График работы офиса: с 9.00 до 18.00 Нск (5.00 - 14.00 Мск)

Статья опубликована в рамках: Научного журнала «Студенческий» № 7(27)

Рубрика журнала: Информационные технологии

Скачать книгу(-и): скачать журнал часть 1, скачать журнал часть 2, скачать журнал часть 3

Библиографическое описание:
Ванцева И.О., Медведева О.О. ГОСУДАРСТВЕННАЯ СИСТЕМА ОБНАРУЖЕНИЯ, ПРЕДУПРЕЖДЕНИЯ И ЛИКВИДАЦИИ ПОСЛЕДСТВИЙ КОМПЬЮТЕРНЫХ АТАК // Студенческий: электрон. научн. журн. 2018. № 7(27). URL: https://sibac.info/journal/student/27/102286 (дата обращения: 29.03.2024).

ГОСУДАРСТВЕННАЯ СИСТЕМА ОБНАРУЖЕНИЯ, ПРЕДУПРЕЖДЕНИЯ И ЛИКВИДАЦИИ ПОСЛЕДСТВИЙ КОМПЬЮТЕРНЫХ АТАК

Ванцева Ирина Олеговна

магистрант, кафедра «Информационные технологии и защита информации, УрГУПС,

РФ, Екатеринбург

Медведева Оксана Олеговна

магистрант, кафедра «Информационные технологии и защита информации, УрГУПС,

РФ, Екатеринбург

Последние годы вопросам информационной безопасности на уровне государства уделяется очень много внимания, проводится целый комплекс мероприятий по усилению цифровых рубежей. Одним из важнейших шагов в этом направлении стало принятие федерального закона № 187 «О безопасности критической информационной инфраструктуры Российской Федерации» и запуск глобальной системы по борьбе с компьютерными атаками — Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА).

Закон о безопасности критической информационной инфраструктуры (далее - КИИ) предписывает ключевым организациям, к которым относятся органы государственной власти, государственные учреждения и ключевые предприятия основных отраслей экономики Российской Федерации, обеспечить безопасность своих информационных систем, сетей связи и технологических систем. В списке затронутых сфер экономики оказались: энергетика, в том числе атомная, транспорт, связь, наука, здравоохранение, банковский и финансовый секторы, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность [1].

Инциденты безопасности на ключевых предприятиях страны могут иметь серьезные последствия масштаба города и даже целого региона, и не важно, что станет их причиной — целенаправленные хакерские атаки или случайные ошибки персонала. Для предотвращения возможных инцидентов и выполнения требований государства организации должны создать систему безопасности КИИ, обеспечить ее функционирование и подключиться к системе ГосСОПКА.

ГосСОПКА — это глобальная система сбора и обмена информацией о компьютерных атаках на территории Российской Федерации, за ее создание отвечает 8-ой центр Федеральной службы безопасности  Российской Федерации (далее – ФСБ РФ). Основная цель — предотвращать и противодействовать атакам, в первую очередь внешним, за счет непрерывного мониторинга инцидентов ИБ и своевременной выработки мер. Для достижения этой цели создается сеть корпоративных и ведомственных центров ГосСОПКА, которая должна охватить все ключевые компании. В органах государственной власти строятся ведомственные центры, в государственных корпорациях — корпоративные центры. Многие крупные интеграторы и производители решений информационной безопасности начали создавать коммерческие корпоративные центры ГосСОПКА и готовы на договорной основе оказывать полный комплекс услуг по мониторингу, реагированию и т.д. организациям, которые не планируют создавать собственный центр. При подключении к ГосСОПКА организации принимают на себя обязательства по незамедлительной отправке сообщений в случае обнаружения компьютерных атак и по реагированию в случае получения информации о возможной атаке. Обнаружив атаку, центр ГосСОПКА должен передать информацию в главный центр, который в свою очередь передаст эту информацию другим центрам уже с рекомендациями по противодействию. Такой подход существенно повышает степень готовности и, как следствие, уровень защищенности организаций.

Нормативно-методологическая база, необходимая для создания центров ГосСОПКА, все еще разрабатывается, и на данный момент больше вопросов, чем ответов. Но главный центр ГосСОПКА на базе 8-го центра ФСБ РФ уже создан и функционирует, а многие организации начали строить необходимую инфраструктуру.

В ближайшее время будут выпущены разрабатываемые ФСБ РФ «Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». Данные методические рекомендации определяют основной перечень функций, мер и решений по созданию центров ГосСОПКА. В документ еще могут вноситься правки, но уже можно говорить об общей концепции. Известно, что система ГосСОПКА будет иметь древовидную иерархическую структуру, где центральным узлом является главный центр ГосСОПКА на базе 8-го центра ФСБ РФ, а ведомственные и корпоративные центры находятся в подчиненном положении. Взаимодействие между центрами осуществляется по вертикали. При этом ведомственные и корпоративные центры могут объединяться, также образовывая иерархическую структуру с головным центром ГосСОПКА во главе. Структура системы ГосСОПКА показана на рисунке 1.

 

Рисунок 1. Иерархическая структура ГосСОПКА

 

На центры ГосСОПКА возлагаются две основные задачи. Первая — обеспечение безопасности своих информационных ресурсов, в том числе осуществление контроля защищенности, обнаружение атаки, постоянное улучшение применяемых мер по защите. Вторая — своевременный обмен информацией о компьютерных атаках с головным центром (в случае подчинения головному центру) или с главным центром ГосСОПКА. Для реализации этих задач в рамках корпоративных и ведомственных центров должны быть построены полноценные центры управления инцидентами ИБ SOC (Security Operation Center), со всей необходимой технической и процессной базой.

Для эффективного функционирования системы ГосСОПКА корпоративные и ведомственные центры должны обеспечивать выполнение ряда функций, которые определены в разрабатываемых ФСБ РФ методических рекомендациях:

  1. проводить регулярную инвентаризацию информационных ресурсов с целью контроля всех изменений;
  2. систематически проводить комплекс мероприятий по выявлению уязвимостей, которые могут быть использованы злоумышленниками, в том числе осуществлять сканирование, внутренние и внешние пентесты, анализировать настройки и т.д. Далее вырабатывать меры по устранению и, основное, контролировать выполнение этих мер, чтобы избежать ситуации, как с нашумевшими шифровальщиками WannaCry и Petya, когда даже после выпуска обновлений, необходимых для закрытия уязвимостей, жертвами вирусов стали десятки компаний, так как эти обновления не были своевременно установлены;
  3. на основе результатов инвентаризации и выявленных уязвимостей выполнять анализ актуальных угроз и возможных атак и разрабатывать меры по противодействию;
  4. постоянно повышать квалификацию специалистов, участвующих в процессах обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также повышать осведомленность сотрудников, чтобы предотвратить атаки социальной инженерии. Кто предупрежден, тот вооружен. Никогда не будет лишним напомнить сотрудникам, что нельзя переходить по ссылкам в письмах от неизвестных отправителей и куда нужно обращаться, если все же открыли, и что-то пошло не так;
  5. должен быть выстроен процесс приема сообщений об инцидентах от сотрудников. Особое внимание нужно уделять сообщениям, которые носят массовый характер;
  6. для обнаружения атак различной направленности центры ГосСОПКА должны обеспечить централизованный сбор событий ИБ с ИТ- и ИБ-инфраструктуры, осуществлять анализ этих событий и корреляцию;
  7. в случае выявления атаки должно осуществляться оперативное противодействие путем координации ресурсов и непосредственного применения контрмер;
  8. необходимо проводить расследования подтвердившихся инцидентов, анализировать причины и последствия. Очень важно понять, почему этот инцидент в принципе стал возможен, как отработала команда, как улучшить меры защиты, сделать выводы о реализованных мерах ИБ и работе специалистов;
  9. ну и в завершение, центры ГосСОПКА должны осуществлять регулярное плановое взаимодействие с головным или главным центром по вопросам инвентаризации, выявления уязвимостей и т.д. и, самое важное, оперативно уведомлять в случае обнаружения атак и оперативно реагировать в случае получения информации о возможных атаках.

Для реализации всех этих функций необходим целый комплекс технических средств:

  • средства взаимодействия с персоналом. Если в компании уже есть call-центр и ServiсeDesk, можно использовать их как базу, а также стандартные способы коммуникации: телефон, почта, web-форма;
  • средства автоматизированного взаимодействия с главным центром ГосСОПКА. Для решения этой задачи некоторые российские производители уже разработали специализированное программное обеспечение, своего рода порталы. Они позволяют осуществлять двустороннее взаимодействие в части приема и передачи информации об активах, инцидентах, атаках и угрозах, автоматически заполнять карточки инцидента по форме регулятора;
  • система сбора, анализа и корреляции событий информационной безопасности (SIEM), позволяющая организовать единую точку сбора информации о подозрительных событиях и инцидентах ИБ;
  • сканеры уязвимости, необходимые для оценки защищенности информационных систем, что позволяет коррелировать события ИБ с данными о реальных уязвимостях ИТ-инфраструктуры;
  • средства защиты, позволяющие обнаруживать компьютерные атаки на уровне сети, на уровне приложений и т.д., передавать информацию о событиях ИБ в SIEM для корреляции, предотвращать и активно противодействовать атакам. В качестве базового набора таких средств мы видим решения IDS/IPS, системы WAF, межсетевые экраны, антивирусное ПО, средства защиты от DDoS;
  • также для генерации событий ИБ на информационных ресурсах (ОС, сетевом оборудовании, серверах приложений, web-сервисах и БД) необходимо настроить штатные механизмы аудита[2].

Особых требований к техническим средствам пока не предъявляется, за исключением ПО, необходимого для непосредственного взаимодействия с головными и главным центрами ГосСОПКА — оно должно быть в реестре отечественного ПО. С выходом нормативной документации скорее всего ситуация изменится, и появятся дополнительные условия. Состав технических средств для каждой организации определяется индивидуально, в рамках работ по проектированию, учитывается специфика информационной инфраструктуры на предприятии, уже имеющиеся средства защиты и процессы обеспечения ИБ. Как правило, значительная часть технических решений, необходимая для создания корпоративных и ведомственных центров, уже есть в организациях.

И если со средствами защиты особых проблем нет, куда сложнее обстоит вопрос с необходимыми кадровыми ресурсами. Реализация процессов, внедрение и эксплуатация технических средств требуют команды опытных и квалифицированных специалистов. Нужны специалисты по взаимодействию с пользователями, операторы мониторинга, группа реагирования на инциденты, специалисты по обслуживанию технических средств (администраторы средств защиты, администраторы SIEM), специалисты по оценке защищенности (по пентестам, по сканированию), аналитики ИБ для разработки сценариев выявления инцидентов, технические эксперты, юристы и т.д. По большей части под задачи ГосСОПКА требуются узкопрофильные специалисты, найти которых на рынке непросто, поэтому кадровая проблема становится основной проблемой при построении центров ГосСОПКА.

Создание ведомственных и корпоративных центров ГосСОПКА требует тщательного подхода, необходима серьезная проработка процессного обеспечения, серьезная проработка технического обеспечения и экспертная команда специалистов. Нужно провести обследование инфраструктуры, определить необходимые технические средства, архитектуру, требования к настройкам, сценарии выявления инцидентов. Далее внедрить и настроить необходимые средства защиты, разработать организационно-распорядительную документацию, включая порядок реагирования, порядок обработки и расследования инцидентов ИБ, порядок взаимодействия с главным центром ГосСОПКА, и основное — обеспечить реализацию всех требуемых функций по обеспечению ИБ, мониторингу и реагированию, желательно в круглосуточном режиме. Фронт работы огромный, и организация, принявшая решение о подключении к ГосСОПКА, может выбрать следующие варианты:

1. Построить собственный центр ГосСОПКА на базе своих кадровых ресурсов. Такой подход требует огромных временных, ресурсных и финансовых затрат, зато позволит получить полный контроль над всеми процессами и существенно повысит роль организации в системе ГосСОПКА. Целесообразно для крупных ведомств и корпораций, которые планируют исполнять функции ГосСОПКА в отношении дочерних предприятий. В территориально распределенных компаниях при формировании команды рекомендуется привлекать региональных сотрудников — это позволит добиться существенной экономии, так как заработные платы в регионах ниже и за счет разницы часовых поясов можно получить большее временное покрытие.

2. Привлечь внешних специалистов под отдельные задачи. Не всегда имеет смысл пытаться объять необъятное. Так и при построении центра ГосСОПКА передача части задач на аутсорсинг может стать оптимальным решением проблем с кадрами и сроками реализации. Согласно методическим рекомендациям, возможность аутсорсинга отдельных функций предусмотрена и для ведомственных, и для корпоративных центров ГосСОПКА. Целесообразно передавать на аутсорсинг простые и ресурсоемкие задачи первой линии, например, мониторинг и обнаружение инцидентов, сопровождение средств защиты. Такие работы легко зафиксировать в договоре, разграничить зоны ответственности, согласовать SLA (Service Level Agreement), удобно контролировать их исполнение. Это позволит избавиться от рутины и существенно разгрузить собственный персонал. Также имеет смысл привлекать внешних специалистов для решения задач третьей линии, например, для аналитики и разработки сценариев обнаружения инцидентов, разработки политик для средств защиты. Эти экспертные задачи требуют узкопрофильных специалистов, которых, во-первых, сложно найти, а во-вторых, не всегда есть возможность обеспечить им fulltime-загрузку и содержать их в штате может быть экономически нецелесообразно. Для аутсорсинга отдельных задач, как правило, привлекают системных интеграторов и компании, оказывающие профессиональные сервисы ИБ.

3. Переложить все функции на головной ведомственный центр или коммерческий корпоративный центр. Актуально для организаций, которые должны подключиться к ГосСОПКА, но в силу отсутствия людей и компетенций не готовы строить собственную инфраструктуру. Такая схема взаимодействия будет распространена в крупных корпорациях, где практикуется централизованное управление ИБ ресурсами головной организации. В этом случае дочерние компании не строят свой SOC, а подключают свои информационные ресурсы к SOC головного центра, который на договорной основе может исполнять все необходимые функции по обеспечению безопасности, мониторингу, реагированию и обмену информацией. Аналогичная схема взаимодействия подразумевается при использовании услуг коммерческих корпоративных центров, которые будут строиться на базе интеграторов и производителей решений ИБ. На стороне компании останется только функция контроля и определенный объем работ по адаптации внутренних процессов ИБ к функционированию в рамках системы ГосСОПКА, выстраиванию процессов взаимодействия с головным центром, обеспечению готовности ИТ- и ИБ-специалистов принимать активное участие в расследовании и ликвидации последствий инцидентов.

Подключение к системе ГосСОПКА и построение корпоративных и ведомственных центров позволит значительно повысить уровень зрелости ИБ и реальную защищенность информационных ресурсов ключевых российских компаний. Создание такой системы должно стать стремительным скачком вперед в вопросах ИБ, многие организации сегодня только осваивают базовые меры безопасности, но уже с 1 января 2018 г., момент вступления в силу закона о безопасности КИИ, должны перейти к технологии SOC. И несмотря на то что процесс этот сложный, требующий много усилий, польза от таких мероприятий очевидна. И здесь в первую очередь важен результат: безопасность ключевых предприятий РФ. Формальный подход по закрытию навязанных требований применить не получится, так как в том числе и в УК РФ внесены поправки, устанавливающие серьезные наказания не только для атакующих (наказание до 10 лет лишения свободы за кибератаки), но и для лиц, ответственных за защиту КИИ (наказание до 6 лет лишения свободы за нарушений правил эксплуатации)[3]. Возможно, это жесткие меры, но цена инцидентов ИБ на ключевых предприятиях страны может быть слишком велика.

 

Список литературы:

  1. О безопасности критической информационной инфраструктуры Российской Федерации: от 26.07.2017 N 187-ФЗ (последняя редакция) // Консультант Плюс. Законодательство. ВерсияПроф [Электронный ресурс] / АО «Консультант Плюс». – М., 2018.
  2. Сюртукова Е. Восхождение на ГосСОПКА // Jet Info: ежемесячное деловое издание – 2017. – №7-8. URL: http://www.jetinfo.ru/author/ekaterina-syurtukova/voskhozhdenie-na-gossopka (дата обращения: 10.03.2018).
  3. Уголовный кодекс Российской Федерации: от 13.06.1996 № 63-ФЗ (ред. от 19.02.2018) // Консультант Плюс. Законодательство. ВерсияПроф [Электронный ресурс] / АО «Консультант Плюс». – М., 2018.

Оставить комментарий

Форма обратной связи о взаимодействии с сайтом
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.