26 Апреля, 2019

КИИ. Подключение к ГосСОПКА

Сергей Борисов

В последнее время сталкиваюсь с большим количеством вопросов типа “у нас обычная организация, нет SOC-а, как нам технически подключится к ГосСОПКА?”. Так как раньше возможности такого подключения были описаны только в ДСП-шных документах, которые мог получить только лицензиат, то приходилось отправлять их либо в коммерческий центр ГосСОПКА, либо за получением лицензии.
Но наконец, по материалам одной из недавних конференций информация появилась и в публичных источниках. Ей и спешу свами поделиться. Озвучено было 3 варианта подключения к технической инфратструктуре ГосСОПКА:
1.       Купить новое клиентское ПО VipNet Client КС3. Подключить его в сеть НКЦКИ. Цена вопроса – до 10 тыс. рублей

2.       Купить новый шлюз VipNet Coordinator или HW. Подключить его в сеть НКЦКИ. Цена вопроса – 60-200 тыс. рублей в зависимости от шлюза

3.       Связать уже имеющуюся у вас сеть VipNet с сетью НКЦКИ с помощью межсетевого. Без доп. затрат  

Как видно из выдержки презентации, подключившись к технической инфраструктуре ГосСОПКА, мы сможем работать в личном кабинете по адресу portal.cert.local и вносить данные через web. Также вероятно будет возможность импортировать инцидент из файла. И ещё один способ взаимодействия: связать систему учета инцидентов организации и систему учета инцидентов НКЦКИ через API.
Кроме того, в приказах ФСБ России №367 и 368 озвучивается возможность, при отсутствии технического подключения к НКЦКИ, передавать информацию в ГосСОПКА посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на сайте http://cert.gov.ru . Сейчас там указаны: телефон +7 (916) 901-07-42 и почта gov-cert@gov-cert.ru
Кроме того есть web-форма для сообщения об инциденте http://cert.gov.ru/abuse/index.html Но состав полей этой web формы не совпадает с составом информации, которую нужно предоставлять в ГосСОПКА в соответствии с приказом ФСБ №.

Собрал все возможные варианты (без участия сторонних SOC) передачи сведений в ГосСОПКА на одной картинке:


PS: под вопросом пока остается минимальный или рекомендованный набор данных об инциденте или атаке, которые достаточно передавать в НКЦКИ, а также форматы файлов. Надеюсь по нему также будут публичные разъяснения.