26 Сентября, 2017

Материалы про ГосСОПКА с прошедшего мероприятия

Andrey Prozorov
На прошлой неделе прошло небольшое (всего на 80 человек) мероприятие, посвященное практике построения ведомственных и корпоративных центров ГосСОПКА, а также организации информационного обмена. 
Ключевым докладчиком стал Алексей Новиков, представитель 8го Центра ФСБ России, который больше часа рассказывал про ГосСОПКА и отвечал на вопросы слушателей. 

Мне разрешили выложить презентации с мероприятия, однако вторую (про практику построения системы защиты и подключения к ГосСОПКА для одного крупного гос.проекта/ИС) попросили обезличить (в выложенной версии убраны наименования заказчика и исполнителя, а также детальная схема защиты). Презентации опубликовал в своей группе в ВКонтакте -  https://vk.com/isms8020  (кстати, подписывайтесь):
  1. Процессы и средства ведомственных и корпоративных центров, необходимые для решения задач ГосСОПКА
  2. Опыт практической реализации
  3. Подход к решению задач построения и эксплуатации ведомственных и коммерческих центров мониторинга
Вообще, коллеги из ФСБ России планируют продолжить популяризовать тему ГосСОПКА, ожидаем в других выступлений по теме в ближайшие месяцы, например, на очередном SOC-FORUM . Как сказал Алексей Новиков: "Мы выходим из тени". Ну, ждем... Кстати, напоминаю, что после принятия ФЗ о КИИ, в ближайшие месяцы мы увидим много новых подзаконных актов (про категорирование и реестр объектов, безопасность, подключение к ГосСОПКА и пр.), часть из которых готовит именно ФСБ России. 

Еще решил добавить в заметку несколько идей и моментов, которые отметил для себя во время выступления Алексея Новикова и последующей за ним сессии с вопросами и ответами:
  • Упомянули, что многие сравнивают ГосСОПКА с CERT, CSIRT, SOC, MSSP и новой сущностью MDR ( про MDR я писал тут ). Но именно сравнение с SOC является наиболее близким. 

  • Рассказали про "портфель" сервисов классического SOC (начинать стоит с этого, это минимальный обязательный набор, необходимый для выявления и предотвращения компьютерных атак) и современного SOC (к этому стоит стремиться). В частности, современный SOC должен уметь работать с фидами и помогать при реагировании на инциденты. Красным отмечены автоматизированные системы и средства, а синим то, что требует наличие квалифицированных кадров, и без них не работает... Выделяют 3 класса автоматизированных средств: SIEM (или аналоги), системы учета и обработки инцидентов и средства анализа защищенности. Отдельно упоминали про средства, позволяющие работать с фидами и проводить инвентаризацию.
  • Наибольшее значение при построении и эксплуатации центров ГосСОПКА имеют процессы и специалисты, а не технологии. Именно "процессов" сейчас не хватает в требованиях и рекомендациях по ИБ, "Сейчас назрела ситуация, когда в нормативке не хватает регулирования процессов. Сейчас есть указания как создать, аттестовать и уничтожить систему, но нет указаний как эксплуатировать."
  • Требования к коммерческим центрам (которые могут оказывать услуги) до конца не определены, но точно появятся. "Может ли ведомственный центр отдавать на аутсорсинг? Наверное часть можно." Конкретно какие сервисы можно, а какие нельзя пока не готовы сказать, но работают над этим. 
  • Критерии и порядок отнесения к КИИ - зона ответственности ФСТЭК России. Упомянули, что на этой неделе будет опубликован проект критериев. Так и произошло -  http://regulation.gov.ru/projects#npa=73423  
  • Положение о ГосСОПКА сейчас находится в Совете Безопасности РФ. Скоро будет утверждено.
  • Основной формат обмена данными с ГосСОПКА - JSON, но и "эксельки" пока работают. В октябре будет описание API к личным кабинетам участников обмена, а в ноябре планируют их запустить.
  • Очень хотят уйти от модели взаимодействия напрямую с ГЦ, но сейчас пока еще можно так подключиться. 
comments powered by Disqus