ГОССОПКА

ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, создаваемая в целях предотвращения и устранения последствий компьютерных атак на критическую информационную инфраструктуру Российской Федерации.

Она представляет собой иерархически взаимодействующие государственные и коммерческие центры, которые непрерывно делятся информацией о зафиксированных инцидентах и способах противодействия им.

Концепция ГосСОПКА появилась с целью защиты критической информационной инфраструктуры (КИИ) Российской Федерации.

Нормативные правовые акты в области защиты КИИ устанавливают требования и определяют субъекты, для которых исполнение данных требований носит обязательный характер.

К субъектам КИИ относят организации:

• здравоохранения
• науки
• транспорта
• связи
• энергетики
• банковской сферы
• горнодобывающей, металлургической и химической промышленности

Участники КИИ обязаны уведомлять в НКЦКИ об обнаруженных компьютерных инцидентах, которые относятся к объектам КИИ.

Сообщать о происшествии возможно путем телефонной связи, а также посредством факсимильной и электронной почты, а при подключении к инфраструктуре ГосСОПКА, путем использования их инфраструктуры, но не позднее, чем через 3 часа после выявления инцидента в значимых объектах КИИ и не позднее, чем через 24 часа после выявления инцидента на иных объектах КИИ.

Субъекты значимых объектов КИИ обязаны через 90 дней со дня включения их объектов в реестр ЗО КИИ разработать план действий на реагирование возможных инцидентов, который обязан быть одобрен Федеральной Службой Безопасности РФ.

Подключение субъекта КИИ к инфраструктуре ГосСОПКА возможно двумя способами:

• Заключить договор с уже созданным центром ГосСОПКА, оказывающим свои услуги на основании лицензии
• Разработать свой корпоративный (ведомственный) сегмент, взаимодействующий с главным центром ГосСОПКА

Эффективное выявление и быстрое реагирование на компьютерные инциденты, а также полное устранение возможных последствий.

Взаимодействие c правоохранительными и другими государственными органами, владельцами информационных ресурсов РФ, операторами связи, интернет-провайдерами и другими организациями на национальном и международном уровнях в области обнаружения компьютерных атак.

Выявление, сбор и анализ сведений об уязвимостях программного обеспечения и оборудования.

Оценка и анализ угроз безопасности, анализ защищенности, управление инцидентами и анализ сетевого трафика.

Главный центр ГосСОПКА (НКЦКИ) является наивысшим органом в иерархической структуре. Создан ФСБ России.

Ведомственные центры ГосСОПКА – органы государственной власти Российской Федерации, которые регулируют работу Корпоративных центров.

Корпоративный центр ГосСОПКА – организации, имеющие лицензии на предоставление услуг в области информационной безопасности.

Средства обнаружения

Цель: Обнаружение компьютерных инцидентов из событий, поступающих от операционных систем, средств обнаружения вторжений, межсетевых экранов, антивирусного ПО и иных эксплуатируемых средств защиты.

Что для этого используется: Решения класса SIEM, которые на сегодняшний день обширно представлены на отечественном рынке продуктами Positive Technologies, Fortinet и иными производителями.

Средства предупреждения

Цель: Сведение к нулю угроз безопасности на основе собранной информации о контролируемой инфраструктуре, уязвимостях и недостатках в настройке используемого программного обеспечения.

Средства ликвидации последствий

Цель: управление процессами ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, в том числе, передача информации об инцидентах в НКЦКИ.

Средства расшифровки (ППКА)

Цель: анализ сетевого трафика в режиме реального времени, хранение сетевого трафика для возможности расследования инцидентов.

Средства обмена информацией и сертифицированные средства криптографической защиты информации

Цель: гарантия защищенного канала связи для информирования об инцидентах.

В результате анализа поступающей в НКЦКИ информации было выявлено более 350 компьютерных инцидентов. Сведения о них оперативно доведены до владельцев информационных ресурсов, а также предложены рекомендации по реагированию.

Совместная работа позволяет не допустить негативных последствий для владельцев информационных ресурсов. В Российском информационном пространстве за 2019 год было заблокировано функционирование более 5,5 тысяч вредоносных ресурсов.

Мы предлагаем внедрение готовых решений для создания корпоративного или ведомственного центра ГосСОПКА, подключение ГосСОПКА и обеспечения взаимодействия с главным или территориальным центрами ГосСОПКА.

Внедряем продукты:

• СЗИ от НСД: SecretNet
• СКЗИ: АПКШ Континент
• Межсетевые экраны: Usergate / Континент / Fortigate / CheckPoint
• Продукты класса SIEM: MaxPatrol SIEM

Решаем задачи:

1. Разрабатываем регламент и инжиниринг процесса информирования об инцидентах и работы с инцидентами ИБ внутри организации
2. Оказываем помощь в разработке официального запроса в НКЦКИ о необходимости информирования об инцидентах информационной безопасности
3. Проектируем и настраиваем конфигурирование средств подключения к ГосСОПКА;
4. Разрабатываем и настраиваем правила и отчетность по инцидентам информационной безопасности для отправки в ГосСОПКА
5. Подключаем к тестовой среде ГосСОПКА
6. Подключаем к продуктивной среде ГосСОПКА

Источник: https://ntcneptunit.ru/blog/gossopka