Ситуация в мире
Анализ ежегодного отчета по информационной безопасности компании Verizon за 2017 год показывает, что, несмотря на некоторые колебания по отраслям, целям и способам проведения компьютерных атак, общее количество киберпреступлений остается примерно одинаковым. Таким образом, обеспечение защиты информационных систем и ресурсов по-прежнему остается важнейшей задачей и головной болью их владельцев.
По данным отчета компании Positive Technologies «Актуальные киберугрозы» за 1 квартал 2017 года наибольшее количество компьютерных атак (19%) были направлены против государственных организаций, органов государственной власти и местного самоуправления. При этом они, как правило, обладают специально созданными защищёнными информационными системами.
Процесс построения защищенной информационной системы состоит из следующих этапов:
- Аудит информационной системы
- Выявление и оценка угроз информационной безопасности
- Проектирование подсистемы защиты информации (ПЗИ)
- Закупка, установка и настройка средств защиты информации
- Эксплуатация ПЗИ и мониторинг информационной безопасности
И если с первым-четвёртым этапами большинство организаций худо-бедно справляются своими силами или с привлечением сторонних исполнителей, то эксплуатация ПЗИ и мониторинг информационной безопасности ложатся на плечи организаций, зачастую не имеющих персонала соответствующей компетенции.
- В течение рабочего дня специалисты по информационной безопасности способны обрабатывать только 56% поступающих сообщений об угрозах.
- По данным компании Cisco подозрительным является примерно 1 событие из 5000, то есть 0.02%. Специалисты по информационной безопасности ежедневно анализируют тысячи событий. Задачу просмотра и фильтрации такого количества данных можно решить только за счет автоматизации.
- Одними из основных препятствий на пути внедрения передовых процессов и технологий безопасности в организациях являются бюджетные ограничения и нехватка обученного персонала.
- Компании и организации применяют большое количество различных средств защиты информации (см. рисунок ниже).
Количество СЗИ применяемых компаниями (проценты округлены до целых чисел)
Это приводит к трудностям в настройке, эксплуатации и контролю результатов работы указанных средств. Существует проблема дефицита квалифицированного персонала, способного грамотно анализировать состояние безопасности. Одним из наиболее популярных решений указанной проблемы является использование услуг сторонних организаций (аутсорсинг).
Ситуация в России
В нашей стране также отмечается рост популярности аутсорсинга информационной безопасности, что подтверждается и тем, что в последнее время органы государственной власти (включая ФСБ и ФСТЭК России) также обратили свое внимание на данный вопрос.
Так 15 января 2013 года был подписан Указ Президента Российской Федерации «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».
12 декабря 2014 года Президентом Российской Федерации была утверждена «Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» (№ К 1274).
15 июня 2016 года вышло постановление Правительства Российской Федерации № 541 «О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности». Указанное постановление внесло изменения в постановление Правительства Российской Федерации от 3 февраля 2012 года № 79 «О лицензировании деятельности по технической защите конфиденциальной информации». В перечень услуг, подлежащих лицензированию, были добавлены услуги по мониторингу информационной безопасности средств и систем информатизации. В соответствии с внесенными изменениями ФСТЭК России выпустила ряд ведомственных нормативно-правовых актов, определяющих требования к материально-техническому оснащению и персоналу при осуществлении услуг по мониторингу информационной безопасности средств и систем информатизации.
В рамках Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА) предусмотрено создание органами государственной власти ведомственных центров ГосСОПКА, а государственными корпорациями, операторами связи и другими организациями, осуществляющими лицензируемую деятельность в области защиты информации, корпоративных центров ГосСОПКА.
ФСБ России подготовила ряд документов, определяющих требования к организациям, создающим Центры мониторинга ГосСОПКА, в т.ч. и по аутсорсингу информационной безопасности.
Раньше, когда организация принимала решение о передаче мониторинга информационной безопасности на аутсорсинг, то перед ней остро вставал вопрос выбора надежной компании, обладающей достаточной квалификацией.
Раньше, когда организация принимала решение о передаче мониторинга информационной безопасности на аутсорсинг, то перед ней остро вставал вопрос выбора надежной компании, обладающей достаточной квалификацией. Теперь, российские регуляторы рынка информационной безопасности взяли часть «головной боли» заказчиков услуг аутсорсинга на себя: в рамках работ по лицензированию (ФСТЭК России) и заключению соглашения о взаимодействии (ФСБ России) проводится проверка и контроль организаций, желающих оказывать услуги аутсорсинга информационной безопасности. Заказчик, таким образом, может быть уверен в надежности организации, предлагающей свои услуги. Рынок аутсорсинга информационной безопасности становится более упорядоченным и доверенным.
Компетенции ФГУП «НПП «Гамма» в области мониторинга ИБ
Одной из организаций, функционирующей на рынке аутсорсинга информационной безопасности, является Федеральное государственное унитарное предприятие «Научно-производственное предприятие «Гамма» (ФГУП «НПП «Гамма»).
Для ФГУП «НПП «Гамма» направление мониторинга информационной безопасности и создание корпоративных центров ГосСОПКА являются одним из приоритетных. Предприятие имеет лицензию ФСТЭК России на оказание услуг по мониторингу информационной безопасности средств и систем информатизации, а также является корпоративным Центром ГосСОПКА, о чем с ФСБ России заключено соответствующее соглашение.
ФГУП «НПП «Гамма» имеет компетенции, которые позволяют как строить заказчикам их собственные центры мониторинга, так и осуществлять подключение информационных систем заказчиков к корпоративному центру мониторинга ФГУП «НПП «Гамма» с целью их мониторинга и аутсорсинга информационной безопасности.
В рамках указанных компетенций ФГУП «НПП «Гамма» осуществляет:
- Инвентаризацию информационных ресурсов заказчика
- Выявление уязвимостей информационных ресурсов заказчика
- Анализ угроз и рисков информационной безопасности
- Анализ данных о событиях безопасности
- Регистрацию инцидентов информационной безопасности
- Реагирование на инциденты и ликвидацию их последствий
- Установление причин инцидентов
- Анализ результатов устранения последствий инцидентов и выработку рекомендаций
- Построение центров мониторинга на территории заказчика с возможностью подключения их к ГосСОПКА
Предприятие, помимо центрального офиса в Москве, имеет широкую филиальную сеть, развернутую в следующих городах: Владивосток, Волгоград, Екатеринбург, Нижний Новгород, Новосибирск, Ростов-на-Дону, Санкт-Петербург, Севастополь, Симферополь, Хабаровск, что позволяет подключать клиентов по всей стране.
В процессе работы специалисты Центра мониторинга ФГУП «НПП «Гамма» используют, в том числе, и продукты собственного производства:
- Платформу мониторинга событий информационной безопасности Visor (свидетельство о государственной регистрации программы для ЭВМ № 2016663174 от 29.11.2016 г.)
- Систему обнаружения вторжений «Кречет» – средство, предназначенное для обнаружения компьютерных атак на основе сигнатурного анализа сетевого трафика
- Межсетевой экран «Кречет МЭ-А» – программно-аппаратный комплекс межсетевого экрана уровня сети (тип «А»).
Все вышеперечисленные средства интегрированы между собой, позволяют обмениваться информацией и управляющими командами.
Важнейшее преимущество применения средств собственной разработки – возможность их оперативной доработки под требования конкретного заказчика, либо по рекомендациям аналитиков Центра мониторинга ФГУП «НПП «Гамма», эксплуатирующих средства в «боевом» режиме.
Таким образом, ФГУП «НПП «Гамма» может в полной мере удовлетворить потребности заказчиков, принявших решение об организации мониторинга информационной безопасности в организации.
Ссылки:
1–
2–
3–
