Возможности Центра киберустойчивости ACRC по подключению объектов КИИ к ГосСОПКА

Возможности Центра киберустойчивости ACRC по подключению объектов КИИ к ГосСОПКА
36310003273a8008862950f6cc8c6055.jpg
Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и сопутствующие ему акты, нормативы и другие методические документы требуют подключение к ГосСОПКА объектов критической информационной инфраструктуры.

Напомним, в ноябре 2019 года НКЦИКИ (ФСБ России) и сервис-провайдер тиражируемых услуг ИБ Angara Professional Assistance подписали соглашение о взаимодействии в области обнаружения, предупреждения и ликвидации компьютерных атак в рамках ГосСОПКА.

ГосСОПКА – это Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации – единый централизованный территориально-распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. Концепция предполагает создание центров обнаружения, предупреждения и ликвидации последствий компьютерных атак нескольких уровней: от федерального до корпоративного.

Приобретая услугу оперативного мониторинга и подключения к ГосСОПКА через Центр киберустойчивости Angara Cyber Resilience Center (ACRC), клиент делегирует решение следующих задач:
  • сбор и хранение журналов событий программно-аппаратных и программных средств заказчика, поиск по журналам событий,
  • выявление, классификацию и расследование инцидентов ИБ и компьютерных атак на объекты КИИ, анализ и ранжирование событий ИБ и компьютерных атак,
  • оповещение ответственных лиц о выявлении инцидентов ИБ в соответствии с классификацией,
  • предоставление возможностей визуализации, а именно визуальных панелей, содержащих статистические сведения о событиях подключенных источников, обеспечение регулярной отчетности,
  • предоставление рекомендаций по улучшению системы обеспечения ИБ и восстановлению безопасного состояния СЗИ.
Кроме того подключение через Центр киберустойчивости ACRC обеспечит выполнение полного цикла взаимодействия с НКЦКИ в области обнаружения, предупреждения и ликвидации последствий кибератак на объекты КИИ:
  • подготовка информации для предоставления,
  • контроль сроков передачи в соответствии с требованиями ФЗ,
  • сбор требуемой дополнительной информации,
  • информирование НКЦКИ о проведенных мероприятиях по реагированию на инциденты и мерах по ликвидации последствий компьютерных атак, результатах этих мероприятий,
  • регистрация принимаемой для заказчика информации о методах и способах проведения кибератак и новых угрозах информационной безопасности.
Согласование с клиентом и отправка подтвержденных инцидентов происходит в специализированном интерфейсе в несколько кликов. Интерфейс согласования также содержит перечни подтвержденных инцидентов, ожидающих согласования, и ранее согласованных и направленных в НКЦКИ.

На стороне Центра киберустойчивости ACRC используется система «АЦРЦ Платформ» (Свидетельство о государственной регистрации программы для ЭВМ №2018660748 от 28 августа 2018 г.) – собственная разработка с применением свободно распространяемых (Open Source) компонентов, что защищает от возможных ограничений на использование от иностранных правительств.

«АЦРЦ Платформ» включает в себя средства мониторинга и управления событиями ИБ, управления индикаторами компрометации – систему MISP и средства защищенной отправки данных в НКЦКИ с использованием API ЛК ГосСОПКА.

Кроме сбора событий с использованием сетевых транспортных протоколов и распространенных в SIEM системах стандартов, таких как Syslog, CEF, JSON, JDBC, система поддерживает опрос событий приложений с использованием REST API.

На основании анализа инцидентов и всех имеющихся данных эксперты Angara Professional Assistance производят расследование подтвержденных инцидентов ИБ и оказывают консультации по выполнению оперативных действий и устранению отрицательного влияния инцидента для персонала клиента. А также прорабатывают рекомендации по недопущения подобных инцидентов в будущем.

Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group