Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и сопутствующие ему акты, нормативы и другие методические документы требуют подключение к ГосСОПКА объектов критической информационной инфраструктуры.
Напомним, в ноябре 2019 года НКЦИКИ (ФСБ России) и сервис-провайдер тиражируемых услуг ИБ Angara Professional Assistance подписали соглашение о взаимодействии в области обнаружения, предупреждения и ликвидации компьютерных атак в рамках ГосСОПКА.
ГосСОПКА – это Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации – единый централизованный территориально-распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. Концепция предполагает создание центров обнаружения, предупреждения и ликвидации последствий компьютерных атак нескольких уровней: от федерального до корпоративного.
Приобретая услугу оперативного мониторинга и подключения к ГосСОПКА через Центр киберустойчивости Angara Cyber Resilience Center (ACRC), клиент делегирует решение следующих задач:
- сбор и хранение журналов событий программно-аппаратных и программных средств заказчика, поиск по журналам событий,
- выявление, классификацию и расследование инцидентов ИБ и компьютерных атак на объекты КИИ, анализ и ранжирование событий ИБ и компьютерных атак,
- оповещение ответственных лиц о выявлении инцидентов ИБ в соответствии с классификацией,
- предоставление возможностей визуализации, а именно визуальных панелей, содержащих статистические сведения о событиях подключенных источников, обеспечение регулярной отчетности,
- предоставление рекомендаций по улучшению системы обеспечения ИБ и восстановлению безопасного состояния СЗИ.
Кроме того подключение через Центр киберустойчивости ACRC обеспечит выполнение полного цикла взаимодействия с НКЦКИ в области обнаружения, предупреждения и ликвидации последствий кибератак на объекты КИИ:
- подготовка информации для предоставления,
- контроль сроков передачи в соответствии с требованиями ФЗ,
- сбор требуемой дополнительной информации,
- информирование НКЦКИ о проведенных мероприятиях по реагированию на инциденты и мерах по ликвидации последствий компьютерных атак, результатах этих мероприятий,
- регистрация принимаемой для заказчика информации о методах и способах проведения кибератак и новых угрозах информационной безопасности.
Согласование с клиентом и отправка подтвержденных инцидентов происходит в специализированном интерфейсе в несколько кликов. Интерфейс согласования также содержит перечни подтвержденных инцидентов, ожидающих согласования, и ранее согласованных и направленных в НКЦКИ.
На стороне Центра киберустойчивости ACRC используется система «АЦРЦ Платформ» (Свидетельство о государственной регистрации программы для ЭВМ №2018660748 от 28 августа 2018 г.) – собственная разработка с применением свободно распространяемых (Open Source) компонентов, что защищает от возможных ограничений на использование от иностранных правительств.
«АЦРЦ Платформ» включает в себя средства мониторинга и управления событиями ИБ, управления индикаторами компрометации – систему MISP и средства защищенной отправки данных в НКЦКИ с использованием API ЛК ГосСОПКА.
Кроме сбора событий с использованием сетевых транспортных протоколов и распространенных в SIEM системах стандартов, таких как Syslog, CEF, JSON, JDBC, система поддерживает опрос событий приложений с использованием REST API.
На основании анализа инцидентов и всех имеющихся данных эксперты Angara Professional Assistance производят расследование подтвержденных инцидентов ИБ и оказывают консультации по выполнению оперативных действий и устранению отрицательного влияния инцидента для персонала клиента. А также прорабатывают рекомендации по недопущения подобных инцидентов в будущем.
