С целью исполнения Федерального закона № 187 «О безопасности критической информационной инфраструктуры РФ» субъектам КИИ необходимо обеспечить взаимодействие с ГосСОПКой (Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы).
Мы решили кратко рассказать, что такое ГосСОПКА как взаимодействовать с ней.
Что такое ГосСОПКА?
ГосСОПКА это единая государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, направленных на информационные ресурсы Российской Федерации. Цель системы — объединить усилия для предотвращения и противодействия кибератакам на критически важные информационные инфраструктуры. Для этого создан Национальный координационный центр по компьютерным инцидентам (НКЦКИ), который организует сбор и обмен информацией об инцидентах между субъектами КИИ, координирует мероприятия по реагированию, предоставляет методические рекомендации по предупреждению компьютерных атак.
Если проще, то ГосСОПКА это совокупность специализированных центров мониторинга инцидентов в сфере информационной безопасности, которые взаимосвязаны между собой. Данные центры, как правило, организованы территориальным и ведомственным принципам.
Главной функцией ГосСОПКИ является обеспечение защищенности информационных ресурсов РФ от кибератак и поддерживать штатную работоспособность данных ресурсов, в случае успешной атаки.
Субъекты критической информационной инфраструктуры могут взаимодействовать с ГосСОПКой двумя путями:
Нужно ли обязательно подключаться к инфраструктуре НКЦКИ для передачи информации в ГосСОПКУ?
Порядок информирования регулируется приказом ФСБ № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации».
Согласно пункту 3 данного приказа: «Информирование осуществляется путем направления информации в НКЦКИ в соответствии с определенными форматами представления информации о компьютерных инцидентах в ГосСОПКА с использованием технической инфраструктуры НКЦКИ, предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами КИИ, а также с иными, не являющимися субъектами КИИ, органами и организациями, в том числе иностранными и международными. В случае, если отсутствует возможность подключения к технической инфраструктуре информация можете передаваться: почтой, факсом либо на e-mail, указанные на оф. сайте.
Вторым моментом является, что для значимых объектов КИИ субъекту необходимо создать и обеспечить систему, одной из задач которой является непрерывное взаимодействие с ГосСОПКА (п. 4 ч. 2 ст. 10 Федерального закона от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации").
Также приказ ФСБ России № 282 устанавливает срок, в который субъект КИИ должен передать информацию в ГосСОПКА (проинформировать НКЦКИ):
Таким образом, обязанность по передаче информации в ГосСОПКА распространяется на все субъекты КИИ, независимо от вида принадлежащих им объектов.
И кроме нормативных актов, нужно понимать, что обнаруживать и предотвращать компьютерные атаки, а также хранить и накапливать информацию об инцидентах, проще и быстрее передавая в ГосСОПКУ, с использованием технических средств. Так как ГосСОПКА, не только собирает, но и предоставляет актуальные данные из НКЦКИ об атаках на ресурсы субъектов и другую необходимую для обеспечения безопасности объектов КИИ информацию, получить которую лучше оперативно.
Как подключится к инфраструктуре ГосСОПКи?
Изначально для подключения к НКЦКИ организации могли использовать только оборудование ViPNet, но такой ограниченный выбор был неудобен тем, кто уже использовал несовместимые с VipNet решения. Поэтому спустя некоторое время появились альтернативные решения от других компаний, таких как «Код Безопасности» и Positive technologies. Во всех случаях используются программно-аппаратные комплексы с классом защиты КС3. Рассмотрим подробнее.
ViPNet
Для подключения к технической инфраструктуре НКЦКИ организация может использовать уже действующую у неё сеть ViPNet. В этом случае потребуется просто организовать межсетевое взаимодействие с сетью НКЦКИ.
«Континент»
Второй вариант — организовать подключение с помощью линейки продуктов АПКШ «Континент» компании «Код Безопасности». Он реализуется также через межсетевое взаимодействие (наименование сети — НКЦКИ).
«С-Терра»
Подключиться к НКЦКИ теперь можно и с помощью ПАК «С-Терра Шлюз» версии 4.1 и выше. В очередной раз используется аналог межсети, то есть происходит обмен сертификатами между НКЦКИ и подключающимся заказчиком.
Услуги центра ГосСОПКА (коммерческие центры)
Альтернативный вариант для заказчика — воспользоваться услугами центра мониторинга (центр ГосСОПКА), заключившего соглашение с НКЦКИ. В этом случае центр мониторинга не только выполняет функции по обнаружению, предупреждению и ликвидации последствий компьютерных атак, но и осуществляет взаимодействие с НКЦКИ, передавая данные об инцидентах. Заказчику не нужно самостоятельно организовывать межсетевой взаимодействие и тратить свои ресурсы на поддержку собственной сети. Например, специалисты, занимающиеся администрированием, мониторингом и реагированием на инциденты, на рынке труда стоят очень дорого, к тому же найти квалифицированные кадры крайне сложно.
Требуются ли лицензия в области защиты информации для взаимодействия с ГосСОПКОЙ.
Для взаимодействия с ГосСОПКА субъекту КИИ лицензии не требуются, все осуществляется в рамках ФЗ-187 "О безопасности критической информационной инфраструктуры Российской Федерации".
Если же субъект КИИ намерен создать свой ведомственный центр (корпоративный центр), в рамках своего юридического лица никаких лицензий в области защиты информации также не требуются.