Вчера на сайте ФСБ была опубликована выписка из документа “Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации” утвержденного Президентом РФ 12.12.2014 № К 1274.
Давайте посмотрим, какая есть ещё публичная информация по ГосСОПКе и представим её общую картину:
·
Презентация выступления Юдина Сергея Николаевича из ФСБ на 7 уральском форуме IB-Bankот 17.02.2015
·
Указ Президента Российской Федерации от 15 января 2013 г. N 31с г. Москва "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"
На всякий случай взглянем на:
·
замороженный проект ФЗ РФ“о безопасности критической информационной инфраструктуры Российской Федерации” в котором упоминается ГосСОПКА
В соответствии с указом №31с область защиты:
“информационные ресурсы Российской Федерации - информационные системы и информационно-телекоммуникационные сети, находящиеся на территории Российской Федерации и в дипломатических представительствах и консульских учреждениях Российской Федерации за рубежом”
В соответствии с концепцией территориальная структура ГосСОПКА имеет вид:
Область ответственности центров ГосСОПКА отображена на следующей схеме:
Сертифицированные последнее время в ФСБ средства обнаружения компьютерных атак должны иметь возможность интеграции с ГосСОПКА. В требованиях по созданию ГИС в последнее время также указывается необходимость применения СОВ с возможностью интеграции с ГосСОПКА.
Таким образом, можно предположить что в качестве так называемых “технические средства, предназначенные для поиска признаков компьютерных атак в сообщениях электросвязи” будет выступать любое сертифицированное в ФСБ IPS, которое будет оправлять информацию об атаках и инцидентах по syslogв специальном формате, а ГосСОПКА представляет из себя в таком случае большой распределенный SOC.
С учетом этого, а так-же функций приведенных в Концепции, получается следующая схема взаимодействия ГосСОПКА
Если верить Концепции, должны быть разработаны ещё следующие нормативно-правовые акты:
·
порядок фиксации и обмена информацией между субъектами Системы о компьютерных атаках на информационные ресурсы РФ и вызванных ими компьютерных инцидентах;
·
порядок осуществления деятельности субъектов Системы в области обнаружения, предупреждения и ликвидации последствий компьютерных атак;
·
порядок и периодичность проведения мероприятий по оценке степени защищенности критической информационной инфраструктуры РФ от компьютерных атак;
·
порядок обмена информацией между органами государственной власти и международными организациями о компьютерных инцидентах.
