Руководство по созданию Центров ГосСОПКА и Центров мониторинга инцидентов ИБ. Кому, зачем и почему это надо? Часть 1

Руководство по созданию Центров ГосСОПКА и Центров мониторинга инцидентов ИБ. Кому, зачем и почему это надо? Часть 1
Мы начинаем серию постов, посвященных созданию Центров ГосСОПКА и Центров мониторинга инцидентов информационной безопасности. В этой вводной части мы расскажем о том, кому зачем и почему необходимо заниматься созданием Центров мониторинга, ответим на наиболее часто задаваемые вопросы тех, кто только знакомится с данной тематикой.

Что такое мониторинг инцидентов информационной безопасности (ИБ) и для чего он нужен?



Мониторингом инцидентов информационной безопасности (ИБ) принято считать систему, включающую в себя людей, технологии и процессы их взаимодействия, позволяющую обнаруживать, предупреждать и ликвидировать отклонения от нормы или нарушения информационной безопасности от заданных политик и требований стандартов. Примерами отклонений и нарушений могут быть компьютерные атаки, несоблюдения работниками требований политик безопасности, несанкционированные действия пользователей, несоответствие организации принятым стандартам в области информационной безопасности.

Поскольку такие системы могут включать в себя большое количество людей и подсистем их принято называть Центрами мониторинга информационной безопасности (далее – Центры МИИБ) или, если такой Центр подключен к Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак, Центрами ГосСОПКА. За рубежом – «SOC» (Security Operations Center).
Основные задачи центров МИИБ и центров ГосСОПКА:
  • Своевременно обнаруживать и предупреждать возникновение инцидентов ИБ
  • Ликвидировать последствия инцидентов ИБ
  • Постоянно вырабатывать меры по исключению повторения инцидентов ИБ и улучшению защитных мер
Причины необходимости создания Центров мониторинга ИБ просты: чем насыщеннее и сложнее становится ИТ-инфраструктура организации, тем больше угроз, тем она уязвимее. Инструменты ее контроля позволяют сокращать время простоя, расследования инцидентов, устранения неполадок и несоответствий.
Простой пример:
  1. На предприятии N принято обмениваться файлами с внешними организациями через принадлежащий ей файлообменник, который доступен из Интернета.
  2. В 10:05 сотрудник отдела закупок не смог выложить на него файл (например, счет на закупку). Сотрудник решил, что это временный сбой и решил подождать. Через 2 часа в 12:32 он понимает, что сбой не временный и отправляет файл по почте.
  3. В 13:05 Администраторы файлообменника получают от сотрудника отдела закупок и еще от двух сотрудников предприятия сообщения о проблемах. Администраторы идут на обед, и потом начинают разбираться – с виду все работает, сервер доступен, сервисы файлообменника работоспособны. Решать такие проблемы без наличия единой системы, где можно увидеть данные о статусе и работе всех защищаемых систем, Администраторы предприятия N уже привыкли.
  4. В результате совместной работы с подразделением ИБ через 3,5 часа в 16:45 в логах межсетевого экрана и системы обнаружения вторжений обнаруживается причина – внешняя DDoS-атака на этот файлообменник, которую в результате отсекли.
В случае отлаженной работы Центра мониторинга инцидентов ИБ, Администраторы файлообменника и подразделение ИБ узнали бы о причине проблемы в 10:07. Время простоя файлообменника было бы сокращено до нескольких минут, а появившееся время можно использовать для установления источника компьютерной атаки, при желании, вплоть до заведения уголовного дела и abuse-письма провайдеру или хостингу по адресу источника.

Поэтому предприятия, которые стремятся избежать финансовых, репутационных и других видов потерь, вызванных сбоями и инцидентами ИБ в защищаемых системах, с готовностью принимают решение в пользу создания Центра мониторинга инцидентов информационной безопасности.

Проект по созданию такой центра будет не самым простым (зависит от сложности вашей ИТ-инфраструктуры), не самым дешевым (зависит от того, создаете ли вы систему внутри компании или подключаетесь к внешнему провайдеру услуг в области ИБ) и не быстрым (среднее время реализации таких проектов от одного года до нескольких лет). Достаточно много переменных и условий, влияющих на достижение успешного результата в срок.

Важно осознавать, что данный проект внесет огромные изменения в методы и процессы работы сотрудников подразделений ИБ и ИТ. А как известно, изменения всегда встречают препятствия со стороны персонала (только если им не повышают зарплату), поэтому важно подобрать такую команду людей, которая будет понимать важность данного проекта и всячески способствовать его реализации в вашей компании. Отсутствие такой команды приведет к тому, что вы потеряете много денег и времени.

Однако, мы уверены, что тщательное и внимательное выполнение рекомендуемых стадий и этапов работы по построению эффективной системы мониторинга ИБ, изложенных в следующем посте (Часть 2), позволит успешно завершить ваш проект. Это сильно трансформирует и преобразит работу подразделений ИБ и ИТ. Создание центра мониторинга ИБ улучшит их взаимодействие и эффективность, переведет на более высокий уровень зрелости.


Что такое «Центр ГосСОПКА» и для чего он нужен?



15 января 2013 года был подписан Указ Президента Российской Федерации «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».

12 декабря 2014 года Президентом Российской Федерации была утверждена «Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» (№ К 1274).

На основании этих документов была создана Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА, Система ГосСОПКА), которая представляет собой совокупность объединенных между собой центров мониторинга инцидентов информационной безопасности в пределах России. Цель создания данной государственной Системы – обеспечить сбор и обмен информацией о компьютерных атаках между сотрудниками центров, включенными в данную Систему. Это должно позволить более оперативно реагировать на возникающие киберугрозы в государственном масштабе. Главным управляющим центром ГосСОПКА является «Национальный координационный Центр по компьютерным инцидентам» (далее – НКЦКИ) ФСБ России .

В рамках Системы ГосСОПКА предусмотрено создание органами государственной власти ведомственных центров ГосСОПКА, а государственными корпорациями, операторами связи и другими организациями, осуществляющими лицензируемую деятельность в области защиты информации, корпоративных центров ГосСОПКА.

Ведомственные Центры мониторинга инцидентов информационной безопасности создаются органами государственной власти, а также организациями, действующими в интересах органов государственной власти. Как правило, данные Центры создаются по инициативе, исходящей от ФСБ России и получают официальное приглашение о создании Центра ГосСОПКА и подключении его к Системе ГосСОПКА.

Корпоративные Центры мониторинга инцидентов информационной безопасности создаются, как правило, в рамках коммерческих (и не только) предприятий по их собственной инициативе, они не обязаны подключаться к Системе ГосСОПКА, но могут подать заявку в ФСБ России на подключение в соответствии с разработанными ФСБ России «Временным порядком включения корпоративных центров в Систему ГосСОПКА» и «Методические рекомендации по созданию Центров ГосСОПКА». В таком случае корпоративный Центр будет принимать участие в общем обмене информации между Центрами.

В 2017 году компания ФГУП «НПП «Гамма» получила лицензию ФСТЭК России на предоставление услуг по мониторингу информационной безопасности средств и систем информатизации. Нашими специалистами был создан собственный корпоративный Центр мониторинга инцидентов информационной безопасности и, по согласованию с ФСБ России, подключен к Системе ГосСОПКА.

Если в Вашем предприятии планируется создание или уже функционирует Центр мониторинга инцидентов информационной безопасности и у Вас есть вопросы по необходимости его подключения к Системе ГосСОПКА, наши аналитики окажут Вам консультацию, проинформируют о положительных возможностях и рисках данного решения, опишут порядок подключения, расскажут, как выглядит обмен информацией между Центрами ГосСОПКА после подключения.


Где и в каких случаях создавать Центры мониторинга инцидентов ИБ?

Во-первых, необходимость возникает там, где администраторы и подразделения ИБ не справляются с объемом работы и уже не могут контролировать все защищаемые активы. Инциденты ИБ возникают все чаще, а время их решения и обработки все возрастает (а иногда и не хватает квалификации специалистов для их решения), потери и простои защищаемых систем увеличиваются до недопустимых значений. Когда чувство потери контроля над вашей ИТ-инфраструктурой увеличивается с каждым днем.

В малых и средних предприятиях, как правило, смысла в построении таких Центров обычно нет (хотя применение систем по мониторингу имеет смысл, но сами процессы мониторинга отладить скорей всего не получится в силу отсутствия свободного персонала), а вот уже в компаниях среднего размера и крупных организациях – Центр мониторинга инцидентов ИБ либо обязательно должен быть, либо данную задачу должна выполнять подрядная организация, оказывающая данный вид услуг.

Большинство организаций, являющихся крупными заказчиками в области ИТ/ИБ-услуг в России уже либо построили у себя Центры мониторинга инцидентов ИБ, либо заключили контракты на оказание услуг мониторинга с внешними организациями.

Во-вторых, почти во всех обязательных и рекомендательных нормативных актах, стандартах России в области информационной безопасности, есть пункты о необходимости и важности выполнения мониторинга событий и инцидентов информационной безопасности:

ДокументТребование, выдержка
Приказы ФСТЭК № 21 и 17 об организации мер безопасности персональных данных

«8.14. Меры по выявлению инцидентов и реагированию на них должны обеспечивать обнаружение, идентификацию, анализ инцидентов в системе, а также принятие мер по устранению и предупреждению инцидентов».

ФЗ № 187 «О безопасности критической информационной инфраструктуры Российской Федерации»

«ст. 9, п. 2. 1) незамедлительно информировать о компьютерных инцидентах федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в установленном указанным федеральным органом исполнительной власти порядке…».
ГОСТ Р ИСО/МЭК 18044-2007. Менеджмент инцидентов информационной безопасности
«4.1 В качестве основы общей стратегии ИБ организации необходимо использовать структурный подход к менеджменту инцидентов ИБ. Целями такого подхода является обеспечение следующих условий:
– события ИБ должны быть обнаружены и эффективно обработаны, в частности, определены как относящиеся или не относящиеся к инцидентам ИБ;
– идентифицированные инциденты ИБ должны быть оценены, и реагирование на них должно быть осуществлено наиболее целесообразным и результативным способом;…»

ФЗ №154 «Об информации, информационных технологиях и о защите информации»

Статья 16, пункт 4: «Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
…2) своевременное обнаружение фактов несанкционированного доступа к информации;
…6) постоянный контроль за обеспечением уровня защищенности информации;…»
СТО БР ИББС-1.0-2014
«5.23 Для поддержания системы защиты на должном уровне в качестве оперативной меры
используется мониторинг событий и инцидентов в СИБ. Менеджмент событий и инцидентов
безо пасности, полученных в результате мониторинга ИБ, позволяет избежать деградации и
обеспечить требуемый уровень безопасности активов.»

Доктрина информационной безопасности Российской Федерации от 05.11.2016
«34. … г) достаточность сил и средств обеспечения информационной безопасности, определяемая в том числе посредством постоянного осуществления мониторинга информационных угроз;…»
Следует отметить, что большинство зарубежных и международных стандартов и законов в области ИБ так же указывают на необходимость выполнения мониторинга инцидентов ИБ.

Подробно процесс создания и организации Центров мониторинга инцидентов информационной безопасности описан в следующих документах:
Мы настоятельно рекомендуем изучить их содержание перед инициацией проекта по созданию Центров мониторинга инцидентов информационной безопасности на вашем предприятии, даже в том случае, если требования данных документов не является для Вас обязательными.


Что должно измениться после создания Центра мониторинга инцидентов ИБ для предприятия?


При успешной реализации проекта по созданию Центра мониторинга инцидентов информационной безопасности на вашем предприятии должен появиться выстроенный, контролируемый процесс мониторинга инцидентов информационной безопасности. Операционная эффективность взаимодействия сотрудников, входящих в команду Центра, повысится и перейдет на следующий уровень зрелости.

Решаемые задачи при построении Центра мониторинга инцидентов информационной безопасности:
  • Своевременно обнаруживать и предупреждать возникновение инцидентов ИБ
  • Ликвидировать последствия инцидентов ИБ
  • Постоянно вырабатывать меры по исключению повторения инцидентов ИБ и улучшению защитных мер
Что изменится после создания Центра для руководства предприятия?
Процесс мониторинга инцидентов информационной безопасности станет основным видом деятельности подразделения ИБ, который будет приносить наибольшую ценность для вашего предприятия. Среди этих ценностей:
  • Прозрачность работы подразделения ИБ для руководства предприятия
  • Оперативное получение статистики и отчетов по инцидентам ИБ
  • Понятная и простая визуализация сложных проблем и текущего состояния ваших систем
  • Руководство подразделения ИБ/ИТ получит инструмент для быстрого выявления причин инцидентов

Что это поменяет для ИТ/ИБ подразделений?

Руководство по созданию Центров ГосСОПКА и Центров мониторинга инцидентов ИБ. Кому, зачем и почему это надо? Часть 1
Posted on 12/01/2018


В следующем посте (Часть 2) мы расскажем об основных этапах и стадиях создания Центров ГосСОПКА и Центров мониторинга инцидентов информационной безопасности.
SOC информационная безопасность. ГосСОПКА мониторинг
Alt text

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться