Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001, profile picture
Uploaded byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
PDF, PPTX1,907 views

пр Обзор Методических рекомендаций по ГосСОПКА

Документ содержит методические рекомендации ФСБ России по созданию государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы. Основные направления включают повышение защищенности критической информационной инфраструктуры и обеспечение взаимодействия между государственными и частными организациями. Рекомендации ориентированы на органы власти и организации, занимающиеся защитой информации, с акцентом на создание и функционирование ведомственных и корпоративных центров госсопка.

Embed presentation

Download as PDF, PPTX
Обзор Методических рекомендаций ФСБ России по созданию ГосСОПКА Подготовил Прозоров Андрей, CISM, руководитель экспертного направления Solar Security Октябрь 2017
Содержание 1. Нормативное обеспечение 2. Общие положения 3. Методические рекомендации 4. Процессы, люди, технологии 5. Взаимодействие и обмен информацией 6. Итого
1. Нормативное обеспечение
Доктрина ИБ (2016) 23. Основными направлениями обеспечения информационной безопасности в области государственной и общественной безопасности являются: • ... • в) повышение защищенности критической информационной инфраструктуры и устойчивости ее функционирования, развитие механизмов обнаружения и предупреждения информационных угроз и ликвидации последствий их проявления, повышение защищенности граждан и территорий от последствий чрезвычайных ситуаций, вызванных информационно-техническим воздействием на объекты критической информационной инфраструктуры; • г) повышение безопасности функционирования объектов информационной инфраструктуры, в том числе в целях обеспечения устойчивого взаимодействия государственных органов, недопущения иностранного контроля за функционированием таких объектов, обеспечение целостности, устойчивости функционирования и безопасности единой сети электросвязи Российской Федерации, а также обеспечение безопасности информации, передаваемой по ней и обрабатываемой в информационных системах на территории Российской Федерации;
Стратегия развития ИТ Указ Президента Российской Федерации от 09.05.2017 № 203 "О Стратегии развития информационного общества в Российской Федерации на 2017 - 2030 годы» 29. Для устойчивого функционирования информационной инфраструктурыРоссийской Федерации необходимо: … е) обеспечить комплексную защиту информационной инфраструктуры Российской Федерации, в том числе с использованием государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы и системы критической информационной инфраструктуры ж) проводить непрерывный мониторинг и анализ угроз, возникающих в связи с внедрением новых информационных технологий, для своевременногореагированияна них
Закон о безопасности КИИ Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации» Ст.5 «Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации представляет собой единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.» + общая информация про силы и средства, а также ответственные стороны
Ранние нормативные документы • Указ Президента РФ от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» • «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации» (утв. Президентом РФ 03.02.2012 № 803) • «Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» (утв. Президентом РФ 12.12.2014 № К 1274)
Если кратко Указ : • Определяет основные задачи ГосСОПКА • Возлагает на ФСБ России полномочия по созданию ГосСОПКА и конкретизирует их Концепция: • Определяет Назначение, функции, принципы создания и функционирования ГосСОПКА • Определяет организационные основы ГосСОПКА (структуру центров) • Определяет нормативно-правовое, научно-техническое, информационно-аналитическое, кадровое и организационно- штатное обеспечение создания и функционирования ГосСОПКА
2. Общие положения
Термин ГосСОПКА Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) — единый централизованный, территориально распределенный комплекс, включающий силы и средства обнаружения, предупреждения и ликвидации последствий компьютерных атак и федеральный орган исполнительной власти, уполномоченный в области создания и обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
Назначение ГосСОПКА «Основным назначением Системы является обеспечение защищенности информационных ресурсов Российской Федерации от компьютерных атак и штатного функционирования данных ресурсов в условиях возникновения компьютерных инцидентов, вызванных компьютерными атаками.»
Функции ГосСОПКА а) выявление признаков проведения компьютерных атак, определение их источников, методов, способов и средств осуществления и направленности, а также разработка методов и средств обнаружения, предупреждения и ликвидации последствий компьютерных атак; б) формирование и поддержание в актуальном состоянии детализированной информации об информационных ресурсах Российской Федерации, находящихся в зонеответственности субъектов Системы; в) прогнозирование ситуации в области обеспечения информационной безопасности Российской Федерации, включая выявленные и прогнозируемыеугрозы и их оценку; г) организация и осуществление взаимодействия с правоохранительными органами и другими государственными органами, владельцами информационных ресурсов Российской Федерации, операторами связи, интернет-провайдерами и иными заинтересованными организациями на национальном и международном уровнях в области обнаружения компьютерных атак и установления их источников, включая обмен информацией о выявленных компьютерных атаках и вызванных ими компьютерных инцидентах, а также обмен опытом в сфере выявления и устранения уязвимостей программного обеспечения и оборудования и реагирования на компьютерные инциденты; д) организация и проведение научных исследований в сфере разработки и применения средств и методов обнаружения, предупреждения и ликвидации последствий компьютерных атак; е) осуществление мероприятий по обеспечению подготовки и повышения квалификации кадров, требующихся для создания и функционирования Системы; ж) сбор и анализ информации о компьютерных атаках и вызванных ими компьютерных инцидентах в отношении информационных ресурсов Российской Федерации, а также о компьютерных инцидентах в информационных системах и информационно-телекоммуникационных сетях других стран, с которыми взаимодействуют владельцы информационных ресурсов Российской Федерации; з) осуществление мероприятий по оперативному реагированию на компьютерные атаки и вызванные ими компьютерные инциденты, а также по ликвидации последствий данных компьютерных инцидентов в информационных ресурсах Российской Федерации; и) выявление, сбор и анализ сведений об уязвимостях программного обеспечения и оборудования; к) мониторинг степени защищенности информационных систем и информационно-телекоммуникационных сетей на всех этапах создания, функционирования и модернизации информационных ресурсов Российской Федерации, а также разработка методических рекомендаций по организации защиты информационных ресурсов Российской Федерации от компьютерных атак; м) организация и осуществление антивирусной защиты; н) совершенствование оперативно-тактического взаимодействия сил и средств обнаружения, предупреждения и ликвидации последствий компьютерных атак.
Структура центров по Концепции
Термины про центры ГосСОПКА • 26. Главный центр ГосСОПКА – наивысшая структура в иерархии ГосСОПКА, осуществляющая нормативное и методическое сопровождение ГосСОПКА. • 27. Головной центр ГосСОПКА – наивысшая структура в иерархии центров, объединенных по ведомственному или организационному признакам. • 28. Подчиненный центр ГосСОПКА – центр ГосСОПКА, имеющий структурное подчинение головному центру ГосСОПКА. «Для решения задач ГосСОПКА заключается соглашение между главным и головным центрами ГосСОПКА.»
Центры ГосСОПКА • Ведомственные сегменты (центры) ГосСОПКА создаются органами государственной власти, а также организациями, осуществляющими лицензируемую деятельность в области защиты информации, действующими в интересах органов государственной власти. • Корпоративные сегменты (центры) ГосСОПКА создаются государственными корпорациями, операторами связи и иными организациями, осуществляющими лицензируемую деятельность в области защиты информации, в собственных интересах, а также для оказания услуг по предупреждению, обнаружению и ликвидации последствий компьютерныхатак. • Корпоративный сегмент ГосСОПКА может исполнять свои функции в отношении информационных ресурсов органов государственной власти на основании договоров, заключаемых с владельцами указанных информационных ресурсов и (или) с операторами соответствующих государственных информационных систем.
Задачи центров ГосСОПКА • а) обнаружение, предупреждение и ликвидация последствий компьютерных атак, направленных на контролируемые информационные ресурсы; • б) проведение мероприятий по оценке степени защищенности контролируемых информационных ресурсов; • в) проведение мероприятий по установлению причин компьютерных инцидентов, вызванных компьютерными атаками на контролируемые информационные ресурсы; • г) сбор и анализ данных о состоянии информационной безопасности в контролируемых информационных ресурсах; • д) осуществление взаимодействиямеждуцентрами; • е) информирование заинтересованных лиц и субъектов Системы по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак. • + из рекомендаций: ж) формирование и поддержание в актуальном состоянии информации о контролируемых информационных ресурсах.
3. Методические рекомендации
Метод.рекомендации по созданию ГосСОПКА Будут и еще документы…
Назначение документа Настоящие методические рекомендации описывают назначение, функции и принципы создания структурных элементов ГосСОПКА в части, касающейся деятельности ведомственных и корпоративных центров ГосСОПКА. Документ детализирует порядок создания центров ГосСОПКА, их функции, а также технические и организационные меры защиты информации, применяемые в ходе реализации этих функций.
Для кого рекомендации? • Для органов государственной власти, принявших решение о создании ведомственных центров ГосСОПКА • Для государственных корпораций, операторов связи и других организаций, осуществляющих лицензируемую деятельность в области защиты информации и принявших решение о создании корпоративных центров ГосСОПКА
Базовые термины • 1. Информационные ресурсы РФ — любая информация, зарегистрированная тем или иным образом на объекте информатизации (в информационной системе, в информационно- телекоммуникационной сети), находящемся на территории РФ и в дипломатических представительствах и консульских учреждениях РФ за рубежом. • 3. Компьютерный инцидент — факт нарушения или прекращения функционирования объекта информационной инфраструктуры Российской Федерации и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе вызванный компьютерной атакой. • 15. Угроза (безопасности информации) — совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. • 17. Событие безопасности — идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности. • 18. Корреляция событий ИБ — взаимосвязь двух или более событий безопасности.
Термины про атаки • 2. Компьютерная атака — целенаправленное воздействие программными (программно-техническими) средствами на информационные системы, информационно-телекоммуникационные сети, средства связи и автоматизированные системы управления технологическими процессами, осуществляемое в целях нарушения (прекращения) их функционирования и (или) нарушения безопасности обрабатываемой ими информации. • 9. Обнаружение компьютерных атак — комплекс мероприятий по мониторингу и анализу функционирования информационных ресурсов с целью обнаружения компьютерных атак и компьютерных инцидентов. • 10. Предупреждение компьютерных атак — комплекс превентивных мероприятий, направленных на снижение количества компьютерных инцидентов и повышение уровня защищенности информационных ресурсов. • 11. Контроль (мониторинг) уровня (степени) защищенности информации (в информационной системе) — анализ и оценка функционирования системы защиты информации информационной системы, изменения угроз безопасности информации, защищенности информации, содержащейся в информационной системе. • 12. Ликвидация последствий компьютерных атак — комплекс мероприятий по восстановлению штатного режима функционирования информационных ресурсов после компьютерных инцидентов.
Меры защиты информации и ГосСОПКА 2.2.2. В отношении информационных ресурсов, находящихся в зоне ответственности сегмента ГосСОПКА, реализуются меры защиты информации... К мерам защиты информации, используемым при реализации ГосСОПКА относятся: • а) анализ угроз безопасности информации и рисков их реализации; • б) контроль (анализ) защищенности информации; • в) управление конфигурацией средств защиты; • г) регистрация и анализ событий безопасности; • д) выявление инцидентов и реагирование на них; • е) обеспечение действий в нештатных ситуациях; • ж) информирование и обучение персонала.
Функции ГосСОПКА • Инвентаризация информационных ресурсов • Выявление уязвимостей информационных ресурсов • Анализ угроз информационной безопасности • Повышение квалификации персонала информационных ресурсов • Прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов • Обеспечение процесса обнаружения компьютерных атак • Анализ данных о событиях безопасности • Регистрация инцидентов • Реагирование на инциденты и ликвидация их последствий • Установление причин инцидентов • Анализ результатов устранения последствий инцидентов
Сбор сведений (инвентаризация) • а) ФИО, должности и контактные данные лиц, ответственных за функционирование информационного ресурса; • б) доменные имена и сетевые адреса компонентов информационного ресурса (средств вычислительной техники, телекоммуникационного оборудования, виртуальных машин и т. п.) в соответствии с системой имен и сетевой адресацией информационного ресурса; • в) доменные имена и сетевые адреса компонентов информационного ресурса, доступные из сети Интернет, в соответствии с системой имен и сетевой адресацией сети Интернет, а также сведения о протоколах (включая параметры транспортного уровня взаимодействия), по которым разрешен доступ к этим компонентам. • г) сведения о сегментации и топологии локальных вычислительных сетей, правилах маршрутизации и коммутации, настройках средств межсетевого экранирования; • д) перечень программного обеспечения (прикладного и системного), установленного на каждом средстве вычислительной техники; • е) параметры настройки программного и аппаратного обеспечения информационного ресурса, существенные с точки зрения обеспечения безопасности информации; • ж) параметры настройки средств обеспечения информационной безопасности.
Способы выявления уязвимостей • а) выявление известных уязвимостей сетевых служб, доступных для сетевого взаимодействия, с применением автоматизированных средств анализа защищенности (сетевое сканирование); • б) выявление известных уязвимостей программного обеспечения информационных ресурсов путем анализа состава установленного программного обеспечения и обновлений безопасности с применением автоматизированных средств анализа защищенности (системное сканирование, исследование с использованием привилегированных учетных записей и (или) программных агентов), а также других средств защиты информации; • в) тестирование на проникновение в условиях, соответствующих условиям нарушителя, действующего со стороны сети Интернет и (или) со стороны информационных ресурсов, внешних по отношению к зоне ответственности сегмента ГосСОПКА; • г) тестирование на проникновение в условиях, соответствующих условиям нарушителя, действующего со стороны информационных ресурсов, входящих в зону ответственности сегмента ГосСОПКА; • д) тестирование устойчивости к атакам типа «отказ в обслуживании»; • е) контрольустранения ранее выявленных уязвимостей и недостатков; • ж) контроль выполнения требований безопасности информации, предъявляемых к контролируемой информационной системе; • з) анализ настроек программного и аппаратного обеспечения информационных систем, а также средств защиты информации; • и) анализ проектной, конструкторской и эксплуатационной документации информационных систем; • к) оценка соответствия применяемых мер защиты требованиям безопасности информации, предъявляемым к информационным ресурсам нормативными документами Российской Федерации и владельцев информационных ресурсов.
Анализ угроз по результатам инвентаризации и выявления уязвимостей Уточняютсяметодическиедокументы: • а) описания компьютерных атак, актуальных для информационных ресурсов, находящихся в зоне ответственности сегмента ГосСОПКА; • б) методические рекомендации по предупреждению, обнаружению и ликвидации последствий компьютерных атак; • в) решающие правила средств обнаружения компьютерных атак; • г) настройки средств обеспечения информационной безопасности; • д) политики обеспечения информационной безопасности; • е) нормативные правовые акты организации; • ж) дополнительные требования по обеспечению информационной безопасности для их включения в технические задания на создание новых, доработку и обслуживание существующих информационных ресурсов; • з) правила корреляции событий, направленные на определение попыток реализации угроз, связанных с проведением компьютерных атак; • и) инструкции для персонала информационных ресурсов по выявлению признаков проведения типовых компьютерных атак, порядку их обнаружения, действиямпо ликвидации ихпоследствий; • к) инструкции по действиям пользователей информационных ресурсов в случае возникновения инцидентов, связанных с компьютерными атаками; • л) требования к квалификации персонала и пользователей, необходимой для выполнения указанных выше инструкций.
Повышение квалификации персонала Повышение квалификации: • Ознакомление с методическими рекомендациями и инструкциями • Периодическая оценка готовности персонала к действиям по обнаружению, предупреждению и ликвидации последствий компьютерных атак • Проведения дополнительного обучения персонала • Рассылка дополнительных информационных материалов Оценка готовности персонала проводится: • а) путем периодической аттестации персонала в соответствии с трудовым законодательством • б) практической отработки действий персонала при имитации проведения компьютерных атак на информационные ресурсы
Управление инцидентами • Прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов • Обеспечение процесса обнаружения компьютерных атак • Анализ данных о событиях безопасности • Регистрация инцидентов • Реагирование на инциденты и ликвидация их последствий • Установление причин инцидентов • Анализ результатов устранения последствий инцидентов
Про безопасность SOC (да, только это) 6. Рекомендации по обеспечению безопасности информации сегмента ГосСОПКА 6.1. Безопасность информации, обрабатываемой техническими средствами сегмента ГосСОПКА, обеспечивается персоналом сегмента ГосСОПКА на всех стадиях (этапах) ее создания и в ходе эксплуатации. 6.2. Безопасность информации обеспечивается путем принятия организационных и технических (программно-технических) мер по защите информации в рамках системы защиты информации сегмента ГосСОПКА. 6.3. Система и средства защиты информации сегмента ГосСОПКА, а также программно-технические средства автоматизации взаимодействия должны соответствовать требованиям действующего законодательства Российской Федерации.
4. Процессы, люди, технологии
Процессы Люди Технологии
Базовые процессы 1. Инвентаризация информационных ресурсов 2. Выявление уязвимостей информационных ресурсов 3. Анализ угроз информационной безопасности 4. Повышение квалификации персонала информационных ресурсов 5. Управление инцидентами 6. Взаимодействие с ГЦ ГосСОПКА
Периодичность 1 № Функции Периодичность 1. Инвентаризация информационных ресурсов не реже одного раза в квартал Выявление уязвимостей 2. Выявление известных уязвимостей сетевых служб, доступных для сетевого взаимодействия, с применением автоматизированных средств анализа защищенности (сетевое сканирование) не реже одного раза в месяц 3. Выявление известных уязвимостей программного обеспечения информационных ресурсов путем анализа состава установленного программного обеспечения и обновлений безопасности с применением автоматизированных средств анализа защищенности (системное сканирование, исследование с использованием привилегированных учетных записей и (или) программных агентов), а также других средств защиты информации не реже одного раза в месяц 4. Тестирование на проникновение в условиях, соответствующих условиям нарушителя, действующего со стороны сети Интернет и (или) со стороны информационных ресурсов, внешних по отношению к зоне ответственности сегмента ГосСОПКА не реже одного раза в год 5. Тестирование на проникновение в условиях, соответствующих условиям нарушителя, действующего со стороны информационных ресурсов, входящих в зону ответственности сегмента ГосСОПКА не реже одного раза в год 6. Тестирование устойчивости к атакам типа «отказ в обслуживании» не реже одного раза в год
№ Функции Периодичность 7. Контроль устранения ранее выявленных уязвимостей и недостатков не реже одного раза в квартал 8. Контроль выполнения требований безопасности информации, предъявляемых к контролируемой информационной системе не реже одного раза в месяц 9. Анализ настроек программного и аппаратного обеспечения информационных систем, а также средств защиты информации не реже одного раза в месяц 10. Анализ проектной, конструкторской и эксплуатационной документации информационных систем перед вводом информационного ресурса в эксплуатацию и при каждом существенном изменении состава программных или аппаратных средств 11. Оценка соответствия применяемых мер защиты требованиям безопасности информации, предъявляемым к информационным ресурсам нормативными документами Российской Федерации и владельцев информационных ресурсов не реже одного раза в два года 12. Статический и динамический анализ исходного кода программного обеспечения информационных ресурсов (для программного обеспечения, поставляемого с исходными кодами) перед вводом информационного ресурса в эксплуатацию и при каждом изменении программного обеспечения, поставляемого с исходным кодом Периодичность 2
Роль Функции Специалисты первой линии Специалист по взаимодействию с персоналом и пользователями Прием сообщений персонала информационных ресурсов, взаимодействие с главным центром ГосСОПКА Специалист по обнаружению компьютерных атак и инцидентов Анализ событий безопасности, регистрация инцидентов Специалист по обслуживанию технических средств сегмента ГосСОПКА Обеспечение функционирования технических средств, размещаемых в центре ГосСОПКА, а также дополнительных средств защиты информационных систем Специалисты второй линии Специалист по оценке защищенности Проведение инвентаризации информационных ресурсов, анализ выявленных уязвимостей и угроз, установление соответствия требований по информационной безопасности принимаемым мерам Специалист по ликвидации последствий компьютерных инцидентов Координация действий при реагировании на компьютерные атаки Специалист по установлению причин компьютерных инцидентов Установление причин инцидентов, анализ последствий инцидентов Специалисты третьей линии Аналитик-методист Анализ информации, предоставляемой специалистами первой и второй линий; разработка нормативных документов и методических рекомендаций по выполнению функций сегмента ГосСОПКА; разработка рекомендаций по доработке нормативных и методических документов по вопросам информационной безопасности Технический эксперт Экспертная поддержка в соответствии со специализацией (вредоносное программное обеспечение, настройка средств защиты, применение специализированных технических средств, оценка защищенности и т. п.) Юрист Нормативно-правовое сопровождение деятельности сегмента ГосСОПКА Руководитель Управление деятельностью сегмента ГосСОПКА
Свой персонал или аутсорсинг 7.3.3. Деятельность центра ГосСОПКА может обеспечиваться: • а) путем назначения соответствующих ролей работникам структурных подразделений организации; • б) путем заключения договоров на выполнение сторонними организациями, осуществляющими лицензируемую деятельность в области защиты информации, соответствующих функций центра ГосСОПКА.
Технические средства 4.1. Функции сегмента ГосСОПКА могут быть выполнены с использованием следующих технических средств: • а) средства взаимодействия персонала; • б) средства взаимодействия с главным центром ГосСОПКА; • в) средства инвентаризации информационных систем; • г) средства выявления уязвимостей; • д) средства анализа событий безопасности; • е) средства учета и обработки инцидентов. При этом рекомендуется обеспечить интеграцию технических средств, указанных в пунктах в) – е).
Процессы Люди Технологии .Документы
Нормативное обеспечение 7.4.2.Минимальный комплект нормативной документации сегмента ГосСОПКА, необходимый для заключения соглашения о взаимодействии с ГосСОПКА, должен включать: • а) положение о сегменте ГосСОПКА; • б) штатное расписание сегмента ГосСОПКА; • в) должностные инструкции специалистов сегмента ГосСОПКА.
Методическое обеспечение 7.2.3. Основные положения организационно-методического обеспечения должны определять: • а)требования, выполнение которых необходимо для осуществления своевременного обнаружения, предупреждения и ликвидации последствий компьютерныхатак; • б) меры, обеспечивающие предотвращение и (или) снижение негативного влияния инцидентов на функционирование информационных ресурсов, находящихся в зоне ответственности сегмента ГосСОПКА; • в) порядок координации деятельности работников структурных подразделений сегмента ГосСОПКА в рамках процессов обнаружения, предупреждения и ликвидации последствий компьютерных атак; • г) порядок взаимодействия с Главным центром ГосСОПКА; • д) политику и регламенты выполнения структурными элементами сегмента ГосСОПКА их функций.
Методические документы… 2.4.2. Методические документы, формируемые сегментом ГосСОПКА, согласовываются с федеральным органом исполнительной власти, уполномоченным в области создания и функционирования ГосСОПКА. 2.4.3. При создании сегмента ГосСОПКА определяются основные типы компьютерных атак, предупреждение, обнаружение и ликвидация последствий которых обеспечиваются сегментом ГосСОПКА (далее — типовых компьютерных атак). Для указанных атак в ходе создания сегмента ГосСОПКА разрабатываются методические рекомендации, определяющие: • а) признаки, на основе которых производится обнаружение указанных атак и (или) регистрация инцидентов, связанных с их проведением (далее — индикаторы компрометации); • б) порядок действий персонала сегмента ГосСОПКА и информационных ресурсов, находящихся в зоне ответственности сегмента ГосСОПКА, при ликвидации последствий указанныхатак.
… и их совершенствование 2.4.4. При обнаружении и по итогам ликвидации последствий типовых компьютерных атак проводится оценка эффективности мер защиты информации, определяемых соответствующими методическими рекомендациями, и — при необходимости — доработка методов обнаружения и методических рекомендаций по их реализации. 2.4.5. По итогам ликвидации последствий инцидентов, вызванных компьютерными атаками, не относившихся к типовым на момент регистрации, проводится анализ способов проведения атаки, уязвимостей, использованных злоумышленником, а также, при необходимости, дополнительные исследования. На основе полученных результатов данный вид компьютерных атак включается в число типовых и для него также разрабатываются методические рекомендации.
5. Взаимодействие и обмен информацией
Общее про взаимодействие 2.4.6. В ходе взаимодействия сегментов ГосСОПКА с главным центром ГосСОПКА осуществляется обмен сведениями об инфраструктуре и компьютерных инцидентах, индикаторами компрометации и методическими рекомендациями по обнаружению, предупреждению и ликвидации последствий типовых компьютерных атак. 8.1.1. Взаимодействие сегмента ГосСОПКА и главного центра ГосСОПКА осуществляется на основании соглашения о взаимодействии и регламента взаимодействия. В данных документах определяются головные подразделения, выполняющие функции по взаимодействию, их обязанности, а также уточняются каналы связи и используемые криптографические средства защиты информации.
Каналы связи 8.1.3. Центр ГосСОПКА взаимодействует с главным центром ГосСОПКА посредством: • а) постоянного канала связи через сеть Интернет; • б) телефонной связи; • в) периодического документооборота через почту (фельдъегерскую службу). 8.1.4.В рамках обмена через сеть Интернет поддерживаются следующие способы взаимодействия: • а) обмен информацией через специализированные системы, такие как портал, или автоматизированный обмен данными автоматизированных подсистем и компонентов ГосСОПКА; • б) обмен информацией и получение доступа к справочной информации с использованием средств автоматизации взаимодействия; • в) переписка по электронной почте.
Про криптографию и гостайну 8.1.6.Все взаимодействие по сети Интернет осуществляется с использованием криптографических средств защиты информации, имеющих сертификаты ФСБ России. В рамках взаимодействия центра ГосСОПКА и главного центра ГосСОПКА посредством сети Интернет не допускается передача сведений, составляющих государственную тайну.
Формат данных об инцидентах При передаче информации о компьютерном инциденте в автоматическом режиме карточка инцидента передается в формате JSON или XML. Формат согласуется на этапе организации взаимодействия с каждым сегментом ГосСОПКА индивидуально.
ГЦ ГосСОПКА -> сегмент ГосСОПКА Главный центр ГосСОПКА направляет, а сегмент ГосСОПКА принимает и обрабатывает следующие типы информационных сообщений: • а) сведения об актуальных угрозах; • б) сведения об актуальных уязвимостях; • в) сведения о признаках компьютерных инцидентов на объектах в зоне деятельности сегмента ГосСОПКА; • г) сведения об индикаторах компрометации информационных ресурсов; • д) изменения и дополнения к методическим рекомендациям; • е) запросы на предоставление дополнительной информации по компьютерным инцидентам и другим событиям ИБ.
Возможность запросов 8.2.2. Главный центр ГосСОПКА должен иметь возможность направить запрос на предоставление детальной информации о защищенности информационных ресурсов, конкретном инциденте, признаке компьютерного инцидента или компьютерной атаке, а сегмент ГосСОПКА предоставить ответ на запрос.
Сегмент ГосСОПКА -> ГЦ ГосСОПКА 8.2.3. Сегмент ГосСОПКА направляет, а главный центр ГосСОПКА принимает и обрабатывает следующие типы информационных сообщений: • а) информацию о зоне ответственности сегмента ГосСОПКА, включая результаты инвентаризации; • б) данные о компьютерных атаках; • в) данные о компьютерных инцидентах; • г) общую информацию о защищенности информационных ресурсов; • д) детальную информацию о защищенности информационных ресурсов, доступных из сети Интернет; • е) статистические данные об актуальных для сегмента ГосСОПКА угрозах; • ж) сведения о самостоятельно обнаруженных индикаторах компрометации информационных ресурсов. Детализированный перечень!!!
Запрос содействия Главный центрГосСОПКА может оказывать следующее типы содействия: • передача информации об IP-адресах и доменных именах, осуществляющих вредоносные воздействия, уполномоченным организациям в различных странах мира для принятия мер по предотвращению вредоносной деятельности на ресурсы Российской Федерации; • прекращение вредоносной активности IP-адресов и доменных имен, находящихся в адресном пространстве Российской Федерации; • получение дополнительной информации об участниках КИ из специализированных источников и баз знаний главногоцентра ГосСОПКА; • анализ образцов вредоносного программного обеспечения для последующего выявления управляющих серверов и анализа его жизненного цикла; • анализ журналов, образов ОС и другой информации, полученной в рамках реагирования на компьютерные инциденты, с целью получения полной информации о КИ; • анализ КИ на связи с другими инцидентами; • консультации по предотвращению последствий КИ; • координация деятельности заинтересованных сторон по ликвидации КИ и предотвращению их последствий; • мероприятия по оценки защищенности.
Информация об инцидентах 1. Идентификатор инцидента (порядковый номер инцидента) 2. TLP (поле маркировки конфиденциальности) 3. Статус инцидента 4. Необходимость содействия 5. Тип инцидента 6. Опасность инцидента 7. Дата и время фиксирования инцидента (UTC+0). 8. Дата и время создания карточки инцидента (UTC+0). 9. Источник поступления информации об инциденте 10. Описание инцидента и комментарии (включая хронологию принятых мер). 11. Связь с другими инцидентами (по номеру идентификатора). 12. Контакты 13. Описание полей карточки инцидента, специфичной по типу инцидента
Типы инцидентов и их вес Тип инцидента (один инцидент может иметь комбинированный тип): Группа 1 (вес — 4): • ВПО (включая APT и бот-агент) • несанкционированный доступ • эксплуатация уязвимости Группа 2 (вес — 3): • DoS/DDoS • перебор паролей • ЦУ бот-сети Группа 3 (вес — 2): • фишинг (мошенничество) • вредоносный ресурс • запрещенный контент (нарушение прав) Группа 4 (вес — 1): • сканирование ресурсов • спам • нарушение политики безопасности другое (вес — 0).
Формула Опасности инцидента ИБ Опасность инцидента = Вес статуса + вес содействия + вес типа инцидента. Статус инцидента: • меры приняты, инцидент исчерпан (вес — 0) • меры приняты, инцидент не исчерпан (вес — 10) Необходимость содействия. Значение поля может быть: • необходимо содействие (вес — 10) • нет необходимости в содействии (вес — 0)
Формат взаимодействия Взаимодействие осуществляется: • а) инициативно — инициирующая сторона направляет информацию (сообщение, справочную и иную информацию); • б) по запросу (ответ на запрос) — в рамках запрошенного объема и установленных сроков; • в) без регламентации — при доступе к базам знаний и порталу, системам, предполагающим возможность удаленного доступа, по мере необходимости; • г) в соответствии с планом предоставления информации (ежедневно, еженедельно, ежемесячно, ежеквартально, ежегодно или с иной периодичностью); • д) автоматизированно — для сопряженных систем постоянного обмена фактической и статистической информацией об угрозах и состоянии ИБ контролируемых объектов.
Периодичность и сроки • При передаче информации о компьютерной атаке центр ГосСОПКА должен обеспечить хранение трафика, в котором была обнаружена компьютерная атака, а также всех событий информационной безопасности средств защиты и средств ГосСОПКА на срок не менее 6 (шести) месяцев. • Сведения о компьютерных атаках передаются в главный центр ГосСОПКА еженедельно. • Вне очереди направляются инциденты: • с запросом содействия; • по которым были приняты меры, но инцидент не исчерпан; • инциденты группы 1 и группы 2. • Остальные компьютерные инциденты направляются при их локализации (статус: меры приняты, инцидент исчерпан).
6. Итого
Что в итоге? • Это рекомендации, а не требования (но мы все понимаем). Очень много полезных детализированных рекомендаций. • Фокус на практическую безопасность (реальная защищенность, выявление и реагирование на инциденты). • Но и документы делать придется (положение о сегменте, штатное расписание, процедуры реагирования и взаимодействия, инструкции и методические рекомендации) • Представлен процессный подход с фокусом на результативность. Важно запустить процессы! • Процессы важнее технологий. Требования к средствам мониторинга и защиты информации минимальны. • Вопросы эффективности не рассматриваются (еще рано). • Отмечена высокая важность информационного обмена и накопления знаний. • Да, надо много взаимодействовать с ГЦ ГосСОПКА и согласовывать с ними.

More Related Content

PDF
пр Обзор законопроектов о КИИ
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Требования по иб фстэк (госис, пдн, асу тп) V.1
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Особенности обработки и защиты ПДн в медицине
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPT
пр1 про пп1119 и soiso 2013 03-14
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Актуальные вопросы защиты информации для государственных оранов
bySergey Borisov
 
PDF
Тенденции ИБ в РФ (Минск)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Политика обнаружения и реагирования на инциденты информационной безопасности
byEvgeniy Shauro
 
PDF
пр Iw про compliance 2013 03-05 16на9
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Обзор законопроектов о КИИ
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Особенности обработки и защиты ПДн в медицине
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр1 про пп1119 и soiso 2013 03-14
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Актуальные вопросы защиты информации для государственных оранов
bySergey Borisov
 
Тенденции ИБ в РФ (Минск)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Политика обнаружения и реагирования на инциденты информационной безопасности
byEvgeniy Shauro
 
пр Iw про compliance 2013 03-05 16на9
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

What's hot

PDF
требования по иб фстэк (госис, пдн, асу тп) V.1.1
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр стоимость утечки информации Iw для idc
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр про SOC для ФСТЭК
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Intro законодательство по иб и юр.практики 2014 09 small
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Лицензия ТЗКИ на мониторинг Small
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
5.про soc от jet
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Про SOC: Зачем это надо и когда начать думать про строительство
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
People-Centric security (intro) rus
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Практические аспекты проведения аудита информационной безопасности компании 2...
byDialogueScience
 
PDF
пр Спроси эксперта про прогнозы ИБ
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Data protection RU vs EU
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр Тренды ИБ в России 2016 (Прозоров)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
анализ соответствия ТБ и зПДн
bySergey Borisov
 
PDF
пр Актуальный ландшафт угроз ИБ 2015 08
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Attestation of personal data protection systems
byВячеслав Аксёнов
 
PDF
Нормативная база ИБ (кво, ксии, кии, асу)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
GDPR intro
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
пр про ПДн
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр стоимость утечки информации Iw для idc
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр про SOC для ФСТЭК
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Intro законодательство по иб и юр.практики 2014 09 small
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Лицензия ТЗКИ на мониторинг Small
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
5.про soc от jet
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
People-Centric security (intro) rus
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Практические аспекты проведения аудита информационной безопасности компании 2...
byDialogueScience
 
пр Спроси эксперта про прогнозы ИБ
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Data protection RU vs EU
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Тренды ИБ в России 2016 (Прозоров)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
анализ соответствия ТБ и зПДн
bySergey Borisov
 
пр Актуальный ландшафт угроз ИБ 2015 08
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Attestation of personal data protection systems
byВячеслав Аксёнов
 
Нормативная база ИБ (кво, ксии, кии, асу)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
GDPR intro
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр про ПДн
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Viewers also liked

PPTX
Дмитрий Безуглый. Архетипы системного мышления
byIT Spring
 
PPTX
ваши идеи
byБизнес-Школа ЧЕ-ЛИНК
 
PDF
Коучинг как бизнес-технология
bycoach-management
 
PPT
стратегия
byАнна Зосимова
 
PPT
Описание продажи
byАнна Зосимова
 
PPT
методология проведения диагностики ко
byАнна Зосимова
 
PPTX
Коучинг: маркетинг, брендинг, продажи - вводная лекция в ВШЭ
byAndrey Korolikhin
 
PDF
Простая инструкция по управлению временем
byПетр Козлов
 
PDF
коучинг 1.0 (coach 1.0)
byПетр Козлов
 
PPT
Atom to Universe - zoom-in and out
byAnar R Guliyev
 
PPTX
Коучинг на практике: рабочие примеры и техники
bySvetlana Mukhina ICP, -ATF, -BVA, - ACC, PSM I, CSPO
 
PDF
Презентация CoachMeFree.RU для шанинцев
byКоуч для женщин
 
PPTX
Как мотивировать себя и свою команду? Часть II
bySvetlana Mukhina ICP, -ATF, -BVA, - ACC, PSM I, CSPO
 
PPTX
Трансформационный календарь январь 2014
byНаталья Старжинская
 
PPTX
Трансформационный коучинг: развенчание мифов
byЛюдмила Прима
 
PPTX
Refuerzo quinto
bylucecitadll
 
PPT
Притворова Александра в формате Печа-Куча
byКоуч для женщин
 
PPT
Codefest 2011. Панкратов С., Орлов А. — Практикум работы с неконструктивными ...
byCodeFest
 
PPT
коучинг это
byАнна Зосимова
 
PPT
Принятие и поддержка управленческих решений
byRnD_SM
 
Дмитрий Безуглый. Архетипы системного мышления
byIT Spring
 
ваши идеи
byБизнес-Школа ЧЕ-ЛИНК
 
Коучинг как бизнес-технология
bycoach-management
 
стратегия
byАнна Зосимова
 
Описание продажи
byАнна Зосимова
 
методология проведения диагностики ко
byАнна Зосимова
 
Коучинг: маркетинг, брендинг, продажи - вводная лекция в ВШЭ
byAndrey Korolikhin
 
Простая инструкция по управлению временем
byПетр Козлов
 
коучинг 1.0 (coach 1.0)
byПетр Козлов
 
Atom to Universe - zoom-in and out
byAnar R Guliyev
 
Коучинг на практике: рабочие примеры и техники
bySvetlana Mukhina ICP, -ATF, -BVA, - ACC, PSM I, CSPO
 
Презентация CoachMeFree.RU для шанинцев
byКоуч для женщин
 
Как мотивировать себя и свою команду? Часть II
bySvetlana Mukhina ICP, -ATF, -BVA, - ACC, PSM I, CSPO
 
Трансформационный календарь январь 2014
byНаталья Старжинская
 
Трансформационный коучинг: развенчание мифов
byЛюдмила Прима
 
Refuerzo quinto
bylucecitadll
 
Притворова Александра в формате Печа-Куча
byКоуч для женщин
 
Codefest 2011. Панкратов С., Орлов А. — Практикум работы с неконструктивными ...
byCodeFest
 
коучинг это
byАнна Зосимова
 
Принятие и поддержка управленческих решений
byRnD_SM
 

Similar to пр Обзор Методических рекомендаций по ГосСОПКА

PPTX
КВО ТЭК - Обоснованные требования регулятора
byAlexey Kachalin
 
PPTX
Практический опыт мониторинга и анализа компьютерных атак
byAdvanced monitoring
 
PDF
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
byAleksey Lukatskiy
 
DOCX
Безопасность в Интернете
byMatevosyan Artur
 
PDF
Построение центров ГосСОПКА
byАльбина Минуллина
 
PDF
р газпром 4.2 0-002-2009
byevanat kinson
 
PDF
Концепция «Безопасный город» 11_2014
byVictor Gridnev
 
PPTX
Система безопасности значимых объектов КИИ
bysudmal
 
PPTX
Система безопасности значимых объектов КИИ
bysudmal
 
PPTX
Система безопасности значимых объектов КИИ
bysudmal
 
PPTX
Информационная безопасность
bySainaVika
 
PPTX
презентация доклада масановца
byMathmodels Net
 
DOC
Концепция Безгород с моими комментариями
bySergei Seleznev
 
PDF
Базовые нормативно-правовые акты в области защиты персональных данных
byПавел Семченко
 
PDF
Что нам ждать от законодательства по безопасности критической инфраструктуры
byAleksey Lukatskiy
 
PDF
Эффективный контроль административного доступа к АСУ ТП
byКомпания УЦСБ
 
PDF
Законопроект по безопасности критической инфраструктуры
byАйдар Гилязов
 
PPTX
Вводная лекция по ОПОИБ
byАлексей Кураленко
 
PPT
политика информационной безопасности организации
bytrenders
 
PDF
Новая триада законодательства по финансовой безопасности
byAleksey Lukatskiy
 
КВО ТЭК - Обоснованные требования регулятора
byAlexey Kachalin
 
Практический опыт мониторинга и анализа компьютерных атак
byAdvanced monitoring
 
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
byAleksey Lukatskiy
 
Безопасность в Интернете
byMatevosyan Artur
 
Построение центров ГосСОПКА
byАльбина Минуллина
 
р газпром 4.2 0-002-2009
byevanat kinson
 
Концепция «Безопасный город» 11_2014
byVictor Gridnev
 
Система безопасности значимых объектов КИИ
bysudmal
 
Система безопасности значимых объектов КИИ
bysudmal
 
Система безопасности значимых объектов КИИ
bysudmal
 
Информационная безопасность
bySainaVika
 
презентация доклада масановца
byMathmodels Net
 
Концепция Безгород с моими комментариями
bySergei Seleznev
 
Базовые нормативно-правовые акты в области защиты персональных данных
byПавел Семченко
 
Что нам ждать от законодательства по безопасности критической инфраструктуры
byAleksey Lukatskiy
 
Эффективный контроль административного доступа к АСУ ТП
byКомпания УЦСБ
 
Законопроект по безопасности критической инфраструктуры
byАйдар Гилязов
 
Вводная лекция по ОПОИБ
byАлексей Кураленко
 
политика информационной безопасности организации
bytrenders
 
Новая триада законодательства по финансовой безопасности
byAleksey Lukatskiy
 

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

PDF
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
pr ISMS Documented Information (lite).pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO Survey 2022: ISO 27001 certificates (ISMS)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
12 Best Privacy Frameworks
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Cybersecurity Frameworks for DMZCON23 230905.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
From NIST CSF 1.1 to 2.0.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO 27001 How to accelerate the implementation.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
How to use ChatGPT for an ISMS implementation.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
pr Privacy Principles 230405 small.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO 27001:2022 Introduction
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO 27005:2022 Overview 221028.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO 27001:2022 What has changed.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
ISO Survey 2021: ISO 27001.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Supply management 1.1.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Employee Monitoring and Privacy.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
GDPR RACI.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
pr ISMS Documented Information (lite).pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
12 Best Privacy Frameworks
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
From NIST CSF 1.1 to 2.0.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001 How to accelerate the implementation.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
How to use ChatGPT for an ISMS implementation.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
pr Privacy Principles 230405 small.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001:2022 Introduction
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27005:2022 Overview 221028.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO 27001:2022 What has changed.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISO Survey 2021: ISO 27001.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Supply management 1.1.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Employee Monitoring and Privacy.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
GDPR RACI.pdf
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

пр Обзор Методических рекомендаций по ГосСОПКА

  • 1.
  • 2.
    Содержание 1. Нормативное обеспечение 2. Общие положения 3.Методические рекомендации 4. Процессы, люди, технологии 5. Взаимодействие и обмен информацией 6. Итого
  • 3.
  • 4.
    Доктрина ИБ (2016) 23. Основными направлениямиобеспечения информационной безопасности в области государственной и общественной безопасности являются: • ... • в) повышение защищенности критической информационной инфраструктуры и устойчивости ее функционирования, развитие механизмов обнаружения и предупреждения информационных угроз и ликвидации последствий их проявления, повышение защищенности граждан и территорий от последствий чрезвычайных ситуаций, вызванных информационно-техническим воздействием на объекты критической информационной инфраструктуры; • г) повышение безопасности функционирования объектов информационной инфраструктуры, в том числе в целях обеспечения устойчивого взаимодействия государственных органов, недопущения иностранного контроля за функционированием таких объектов, обеспечение целостности, устойчивости функционирования и безопасности единой сети электросвязи Российской Федерации, а также обеспечение безопасности информации, передаваемой по ней и обрабатываемой в информационных системах на территории Российской Федерации;
  • 5.
    Стратегия развития ИТ Указ Президента РоссийскойФедерации от 09.05.2017 № 203 "О Стратегии развития информационного общества в Российской Федерации на 2017 - 2030 годы» 29. Для устойчивого функционирования информационной инфраструктурыРоссийской Федерации необходимо: … е) обеспечить комплексную защиту информационной инфраструктуры Российской Федерации, в том числе с использованием государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы и системы критической информационной инфраструктуры ж) проводить непрерывный мониторинг и анализ угроз, возникающих в связи с внедрением новых информационных технологий, для своевременногореагированияна них
  • 6.
    Закон о безопасности КИИ Федеральный закон от26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации» Ст.5 «Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации представляет собой единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.» + общая информация про силы и средства, а также ответственные стороны
  • 7.
    Ранние нормативные документы • Указ ПрезидентаРФ от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» • «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации» (утв. Президентом РФ 03.02.2012 № 803) • «Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» (утв. Президентом РФ 12.12.2014 № К 1274)
  • 8.
    Если кратко Указ : • Определяет основные задачи ГосСОПКА • Возлагает на ФСБ России полномочия по созданию ГосСОПКА и конкретизирует их Концепция: •Определяет Назначение, функции, принципы создания и функционирования ГосСОПКА • Определяет организационные основы ГосСОПКА (структуру центров) • Определяет нормативно-правовое, научно-техническое, информационно-аналитическое, кадровое и организационно- штатное обеспечение создания и функционирования ГосСОПКА
  • 9.
  • 10.
    Термин ГосСОПКА Государственная система обнаружения,предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) — единый централизованный, территориально распределенный комплекс, включающий силы и средства обнаружения, предупреждения и ликвидации последствий компьютерных атак и федеральный орган исполнительной власти, уполномоченный в области создания и обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
  • 11.
    Назначение ГосСОПКА «Основным назначением Системыявляется обеспечение защищенности информационных ресурсов Российской Федерации от компьютерных атак и штатного функционирования данных ресурсов в условиях возникновения компьютерных инцидентов, вызванных компьютерными атаками.»
  • 12.
    Функции ГосСОПКА а) выявление признаковпроведения компьютерных атак, определение их источников, методов, способов и средств осуществления и направленности, а также разработка методов и средств обнаружения, предупреждения и ликвидации последствий компьютерных атак; б) формирование и поддержание в актуальном состоянии детализированной информации об информационных ресурсах Российской Федерации, находящихся в зонеответственности субъектов Системы; в) прогнозирование ситуации в области обеспечения информационной безопасности Российской Федерации, включая выявленные и прогнозируемыеугрозы и их оценку; г) организация и осуществление взаимодействия с правоохранительными органами и другими государственными органами, владельцами информационных ресурсов Российской Федерации, операторами связи, интернет-провайдерами и иными заинтересованными организациями на национальном и международном уровнях в области обнаружения компьютерных атак и установления их источников, включая обмен информацией о выявленных компьютерных атаках и вызванных ими компьютерных инцидентах, а также обмен опытом в сфере выявления и устранения уязвимостей программного обеспечения и оборудования и реагирования на компьютерные инциденты; д) организация и проведение научных исследований в сфере разработки и применения средств и методов обнаружения, предупреждения и ликвидации последствий компьютерных атак; е) осуществление мероприятий по обеспечению подготовки и повышения квалификации кадров, требующихся для создания и функционирования Системы; ж) сбор и анализ информации о компьютерных атаках и вызванных ими компьютерных инцидентах в отношении информационных ресурсов Российской Федерации, а также о компьютерных инцидентах в информационных системах и информационно-телекоммуникационных сетях других стран, с которыми взаимодействуют владельцы информационных ресурсов Российской Федерации; з) осуществление мероприятий по оперативному реагированию на компьютерные атаки и вызванные ими компьютерные инциденты, а также по ликвидации последствий данных компьютерных инцидентов в информационных ресурсах Российской Федерации; и) выявление, сбор и анализ сведений об уязвимостях программного обеспечения и оборудования; к) мониторинг степени защищенности информационных систем и информационно-телекоммуникационных сетей на всех этапах создания, функционирования и модернизации информационных ресурсов Российской Федерации, а также разработка методических рекомендаций по организации защиты информационных ресурсов Российской Федерации от компьютерных атак; м) организация и осуществление антивирусной защиты; н) совершенствование оперативно-тактического взаимодействия сил и средств обнаружения, предупреждения и ликвидации последствий компьютерных атак.
  • 13.
  • 14.
    Термины про центры ГосСОПКА • 26. Главныйцентр ГосСОПКА – наивысшая структура в иерархии ГосСОПКА, осуществляющая нормативное и методическое сопровождение ГосСОПКА. • 27. Головной центр ГосСОПКА – наивысшая структура в иерархии центров, объединенных по ведомственному или организационному признакам. • 28. Подчиненный центр ГосСОПКА – центр ГосСОПКА, имеющий структурное подчинение головному центру ГосСОПКА. «Для решения задач ГосСОПКА заключается соглашение между главным и головным центрами ГосСОПКА.»
  • 15.
    Центры ГосСОПКА • Ведомственные сегменты(центры) ГосСОПКА создаются органами государственной власти, а также организациями, осуществляющими лицензируемую деятельность в области защиты информации, действующими в интересах органов государственной власти. • Корпоративные сегменты (центры) ГосСОПКА создаются государственными корпорациями, операторами связи и иными организациями, осуществляющими лицензируемую деятельность в области защиты информации, в собственных интересах, а также для оказания услуг по предупреждению, обнаружению и ликвидации последствий компьютерныхатак. • Корпоративный сегмент ГосСОПКА может исполнять свои функции в отношении информационных ресурсов органов государственной власти на основании договоров, заключаемых с владельцами указанных информационных ресурсов и (или) с операторами соответствующих государственных информационных систем.
  • 16.
    Задачи центров ГосСОПКА • а) обнаружение,предупреждение и ликвидация последствий компьютерных атак, направленных на контролируемые информационные ресурсы; • б) проведение мероприятий по оценке степени защищенности контролируемых информационных ресурсов; • в) проведение мероприятий по установлению причин компьютерных инцидентов, вызванных компьютерными атаками на контролируемые информационные ресурсы; • г) сбор и анализ данных о состоянии информационной безопасности в контролируемых информационных ресурсах; • д) осуществление взаимодействиямеждуцентрами; • е) информирование заинтересованных лиц и субъектов Системы по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак. • + из рекомендаций: ж) формирование и поддержание в актуальном состоянии информации о контролируемых информационных ресурсах.
  • 18.
  • 19.
  • 20.
    Назначение документа Настоящие методические рекомендацииописывают назначение, функции и принципы создания структурных элементов ГосСОПКА в части, касающейся деятельности ведомственных и корпоративных центров ГосСОПКА. Документ детализирует порядок создания центров ГосСОПКА, их функции, а также технические и организационные меры защиты информации, применяемые в ходе реализации этих функций.
  • 21.
    Для кого рекомендации? • Для органовгосударственной власти, принявших решение о создании ведомственных центров ГосСОПКА • Для государственных корпораций, операторов связи и других организаций, осуществляющих лицензируемую деятельность в области защиты информации и принявших решение о создании корпоративных центров ГосСОПКА
  • 22.
    Базовые термины • 1. Информационныересурсы РФ — любая информация, зарегистрированная тем или иным образом на объекте информатизации (в информационной системе, в информационно- телекоммуникационной сети), находящемся на территории РФ и в дипломатических представительствах и консульских учреждениях РФ за рубежом. • 3. Компьютерный инцидент — факт нарушения или прекращения функционирования объекта информационной инфраструктуры Российской Федерации и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе вызванный компьютерной атакой. • 15. Угроза (безопасности информации) — совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. • 17. Событие безопасности — идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности. • 18. Корреляция событий ИБ — взаимосвязь двух или более событий безопасности.
  • 23.
    Термины про атаки • 2. Компьютернаяатака — целенаправленное воздействие программными (программно-техническими) средствами на информационные системы, информационно-телекоммуникационные сети, средства связи и автоматизированные системы управления технологическими процессами, осуществляемое в целях нарушения (прекращения) их функционирования и (или) нарушения безопасности обрабатываемой ими информации. • 9. Обнаружение компьютерных атак — комплекс мероприятий по мониторингу и анализу функционирования информационных ресурсов с целью обнаружения компьютерных атак и компьютерных инцидентов. • 10. Предупреждение компьютерных атак — комплекс превентивных мероприятий, направленных на снижение количества компьютерных инцидентов и повышение уровня защищенности информационных ресурсов. • 11. Контроль (мониторинг) уровня (степени) защищенности информации (в информационной системе) — анализ и оценка функционирования системы защиты информации информационной системы, изменения угроз безопасности информации, защищенности информации, содержащейся в информационной системе. • 12. Ликвидация последствий компьютерных атак — комплекс мероприятий по восстановлению штатного режима функционирования информационных ресурсов после компьютерных инцидентов.
  • 24.
    Меры защиты информациии ГосСОПКА 2.2.2. В отношении информационных ресурсов, находящихся в зоне ответственности сегмента ГосСОПКА, реализуются меры защиты информации... К мерам защиты информации, используемым при реализации ГосСОПКА относятся: • а) анализ угроз безопасности информации и рисков их реализации; • б) контроль (анализ) защищенности информации; • в) управление конфигурацией средств защиты; • г) регистрация и анализ событий безопасности; • д) выявление инцидентов и реагирование на них; • е) обеспечение действий в нештатных ситуациях; • ж) информирование и обучение персонала.
  • 25.
    Функции ГосСОПКА • Инвентаризация информационныхресурсов • Выявление уязвимостей информационных ресурсов • Анализ угроз информационной безопасности • Повышение квалификации персонала информационных ресурсов • Прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов • Обеспечение процесса обнаружения компьютерных атак • Анализ данных о событиях безопасности • Регистрация инцидентов • Реагирование на инциденты и ликвидация их последствий • Установление причин инцидентов • Анализ результатов устранения последствий инцидентов
  • 26.
    Сбор сведений (инвентаризация) • а) ФИО,должности и контактные данные лиц, ответственных за функционирование информационного ресурса; • б) доменные имена и сетевые адреса компонентов информационного ресурса (средств вычислительной техники, телекоммуникационного оборудования, виртуальных машин и т. п.) в соответствии с системой имен и сетевой адресацией информационного ресурса; • в) доменные имена и сетевые адреса компонентов информационного ресурса, доступные из сети Интернет, в соответствии с системой имен и сетевой адресацией сети Интернет, а также сведения о протоколах (включая параметры транспортного уровня взаимодействия), по которым разрешен доступ к этим компонентам. • г) сведения о сегментации и топологии локальных вычислительных сетей, правилах маршрутизации и коммутации, настройках средств межсетевого экранирования; • д) перечень программного обеспечения (прикладного и системного), установленного на каждом средстве вычислительной техники; • е) параметры настройки программного и аппаратного обеспечения информационного ресурса, существенные с точки зрения обеспечения безопасности информации; • ж) параметры настройки средств обеспечения информационной безопасности.
  • 27.
    Способы выявления уязвимостей • а) выявлениеизвестных уязвимостей сетевых служб, доступных для сетевого взаимодействия, с применением автоматизированных средств анализа защищенности (сетевое сканирование); • б) выявление известных уязвимостей программного обеспечения информационных ресурсов путем анализа состава установленного программного обеспечения и обновлений безопасности с применением автоматизированных средств анализа защищенности (системное сканирование, исследование с использованием привилегированных учетных записей и (или) программных агентов), а также других средств защиты информации; • в) тестирование на проникновение в условиях, соответствующих условиям нарушителя, действующего со стороны сети Интернет и (или) со стороны информационных ресурсов, внешних по отношению к зоне ответственности сегмента ГосСОПКА; • г) тестирование на проникновение в условиях, соответствующих условиям нарушителя, действующего со стороны информационных ресурсов, входящих в зону ответственности сегмента ГосСОПКА; • д) тестирование устойчивости к атакам типа «отказ в обслуживании»; • е) контрольустранения ранее выявленных уязвимостей и недостатков; • ж) контроль выполнения требований безопасности информации, предъявляемых к контролируемой информационной системе; • з) анализ настроек программного и аппаратного обеспечения информационных систем, а также средств защиты информации; • и) анализ проектной, конструкторской и эксплуатационной документации информационных систем; • к) оценка соответствия применяемых мер защиты требованиям безопасности информации, предъявляемым к информационным ресурсам нормативными документами Российской Федерации и владельцев информационных ресурсов.
  • 28.
    Анализ угроз по результатам инвентаризации и выявления уязвимостей Уточняютсяметодическиедокументы: • а) описаниякомпьютерных атак, актуальных для информационных ресурсов, находящихся в зоне ответственности сегмента ГосСОПКА; • б) методические рекомендации по предупреждению, обнаружению и ликвидации последствий компьютерных атак; • в) решающие правила средств обнаружения компьютерных атак; • г) настройки средств обеспечения информационной безопасности; • д) политики обеспечения информационной безопасности; • е) нормативные правовые акты организации; • ж) дополнительные требования по обеспечению информационной безопасности для их включения в технические задания на создание новых, доработку и обслуживание существующих информационных ресурсов; • з) правила корреляции событий, направленные на определение попыток реализации угроз, связанных с проведением компьютерных атак; • и) инструкции для персонала информационных ресурсов по выявлению признаков проведения типовых компьютерных атак, порядку их обнаружения, действиямпо ликвидации ихпоследствий; • к) инструкции по действиям пользователей информационных ресурсов в случае возникновения инцидентов, связанных с компьютерными атаками; • л) требования к квалификации персонала и пользователей, необходимой для выполнения указанных выше инструкций.
  • 29.
    Повышение квалификации персонала Повышение квалификации: • Ознакомлениес методическими рекомендациями и инструкциями • Периодическая оценка готовности персонала к действиям по обнаружению, предупреждению и ликвидации последствий компьютерных атак • Проведения дополнительного обучения персонала • Рассылка дополнительных информационных материалов Оценка готовности персонала проводится: • а) путем периодической аттестации персонала в соответствии с трудовым законодательством • б) практической отработки действий персонала при имитации проведения компьютерных атак на информационные ресурсы
  • 30.
    Управление инцидентами • Прием сообщенийо возможных инцидентах от персонала и пользователей информационных ресурсов • Обеспечение процесса обнаружения компьютерных атак • Анализ данных о событиях безопасности • Регистрация инцидентов • Реагирование на инциденты и ликвидация их последствий • Установление причин инцидентов • Анализ результатов устранения последствий инцидентов
  • 31.
    Про безопасность SOC (да, только это) 6. Рекомендациипо обеспечению безопасности информации сегмента ГосСОПКА 6.1. Безопасность информации, обрабатываемой техническими средствами сегмента ГосСОПКА, обеспечивается персоналом сегмента ГосСОПКА на всех стадиях (этапах) ее создания и в ходе эксплуатации. 6.2. Безопасность информации обеспечивается путем принятия организационных и технических (программно-технических) мер по защите информации в рамках системы защиты информации сегмента ГосСОПКА. 6.3. Система и средства защиты информации сегмента ГосСОПКА, а также программно-технические средства автоматизации взаимодействия должны соответствовать требованиям действующего законодательства Российской Федерации.
  • 32.
  • 33.
  • 34.
    Базовые процессы 1. Инвентаризация информационных ресурсов 2.Выявление уязвимостей информационных ресурсов 3. Анализ угроз информационной безопасности 4. Повышение квалификации персонала информационных ресурсов 5. Управление инцидентами 6. Взаимодействие с ГЦ ГосСОПКА
  • 35.
    Периодичность 1 № Функции Периодичность 1.Инвентаризация информационных ресурсов не реже одного раза в квартал Выявление уязвимостей 2. Выявление известных уязвимостей сетевых служб, доступных для сетевого взаимодействия, с применением автоматизированных средств анализа защищенности (сетевое сканирование) не реже одного раза в месяц 3. Выявление известных уязвимостей программного обеспечения информационных ресурсов путем анализа состава установленного программного обеспечения и обновлений безопасности с применением автоматизированных средств анализа защищенности (системное сканирование, исследование с использованием привилегированных учетных записей и (или) программных агентов), а также других средств защиты информации не реже одного раза в месяц 4. Тестирование на проникновение в условиях, соответствующих условиям нарушителя, действующего со стороны сети Интернет и (или) со стороны информационных ресурсов, внешних по отношению к зоне ответственности сегмента ГосСОПКА не реже одного раза в год 5. Тестирование на проникновение в условиях, соответствующих условиям нарушителя, действующего со стороны информационных ресурсов, входящих в зону ответственности сегмента ГосСОПКА не реже одного раза в год 6. Тестирование устойчивости к атакам типа «отказ в обслуживании» не реже одного раза в год
  • 36.
    № Функции Периодичность 7.Контроль устранения ранее выявленных уязвимостей и недостатков не реже одного раза в квартал 8. Контроль выполнения требований безопасности информации, предъявляемых к контролируемой информационной системе не реже одного раза в месяц 9. Анализ настроек программного и аппаратного обеспечения информационных систем, а также средств защиты информации не реже одного раза в месяц 10. Анализ проектной, конструкторской и эксплуатационной документации информационных систем перед вводом информационного ресурса в эксплуатацию и при каждом существенном изменении состава программных или аппаратных средств 11. Оценка соответствия применяемых мер защиты требованиям безопасности информации, предъявляемым к информационным ресурсам нормативными документами Российской Федерации и владельцев информационных ресурсов не реже одного раза в два года 12. Статический и динамический анализ исходного кода программного обеспечения информационных ресурсов (для программного обеспечения, поставляемого с исходными кодами) перед вводом информационного ресурса в эксплуатацию и при каждом изменении программного обеспечения, поставляемого с исходным кодом Периодичность 2
  • 37.
    Роль Функции Специалисты первой линии Специалист по взаимодействию с персоналом и пользователями Прием сообщений персонала информационных ресурсов, взаимодействие с главным центром ГосСОПКА Специалист по обнаружению компьютерных атак и инцидентов Анализ событий безопасности, регистрация инцидентов Специалист по обслуживанию технических средств сегмента ГосСОПКА Обеспечение функционирования технических средств, размещаемых в центре ГосСОПКА, а также дополнительных средств защиты информационных систем Специалисты второй линии Специалист по оценке защищенности Проведение инвентаризации информационных ресурсов, анализ выявленных уязвимостей и угроз, установление соответствия требований по информационной безопасности принимаемым мерам Специалист по ликвидации последствий компьютерных инцидентов Координация действий при реагировании на компьютерные атаки Специалист по установлению причин компьютерных инцидентов Установление причин инцидентов, анализ последствий инцидентов Специалисты третьей линии Аналитик-методист Анализ информации, предоставляемой специалистами первой и второй линий; разработка нормативных документов и методических рекомендаций по выполнению функций сегмента ГосСОПКА; разработка рекомендаций по доработке нормативных и методических документов по вопросам информационной безопасности Технический эксперт Экспертная поддержка в соответствии со специализацией (вредоносное программное обеспечение, настройка средств защиты, применение специализированных технических средств, оценка защищенности и т. п.) Юрист Нормативно-правовое сопровождение деятельности сегмента ГосСОПКА Руководитель Управление деятельностью сегмента ГосСОПКА
  • 38.
    Свой персонал или аутсорсинг 7.3.3. Деятельность центраГосСОПКА может обеспечиваться: • а) путем назначения соответствующих ролей работникам структурных подразделений организации; • б) путем заключения договоров на выполнение сторонними организациями, осуществляющими лицензируемую деятельность в области защиты информации, соответствующих функций центра ГосСОПКА.
  • 39.
    Технические средства 4.1. Функции сегментаГосСОПКА могут быть выполнены с использованием следующих технических средств: • а) средства взаимодействия персонала; • б) средства взаимодействия с главным центром ГосСОПКА; • в) средства инвентаризации информационных систем; • г) средства выявления уязвимостей; • д) средства анализа событий безопасности; • е) средства учета и обработки инцидентов. При этом рекомендуется обеспечить интеграцию технических средств, указанных в пунктах в) – е).
  • 40.
  • 41.
    Нормативное обеспечение 7.4.2.Минимальный комплект нормативнойдокументации сегмента ГосСОПКА, необходимый для заключения соглашения о взаимодействии с ГосСОПКА, должен включать: • а) положение о сегменте ГосСОПКА; • б) штатное расписание сегмента ГосСОПКА; • в) должностные инструкции специалистов сегмента ГосСОПКА.
  • 42.
    Методическое обеспечение 7.2.3. Основные положенияорганизационно-методического обеспечения должны определять: • а)требования, выполнение которых необходимо для осуществления своевременного обнаружения, предупреждения и ликвидации последствий компьютерныхатак; • б) меры, обеспечивающие предотвращение и (или) снижение негативного влияния инцидентов на функционирование информационных ресурсов, находящихся в зоне ответственности сегмента ГосСОПКА; • в) порядок координации деятельности работников структурных подразделений сегмента ГосСОПКА в рамках процессов обнаружения, предупреждения и ликвидации последствий компьютерных атак; • г) порядок взаимодействия с Главным центром ГосСОПКА; • д) политику и регламенты выполнения структурными элементами сегмента ГосСОПКА их функций.
  • 43.
    Методические документы… 2.4.2. Методические документы,формируемые сегментом ГосСОПКА, согласовываются с федеральным органом исполнительной власти, уполномоченным в области создания и функционирования ГосСОПКА. 2.4.3. При создании сегмента ГосСОПКА определяются основные типы компьютерных атак, предупреждение, обнаружение и ликвидация последствий которых обеспечиваются сегментом ГосСОПКА (далее — типовых компьютерных атак). Для указанных атак в ходе создания сегмента ГосСОПКА разрабатываются методические рекомендации, определяющие: • а) признаки, на основе которых производится обнаружение указанных атак и (или) регистрация инцидентов, связанных с их проведением (далее — индикаторы компрометации); • б) порядок действий персонала сегмента ГосСОПКА и информационных ресурсов, находящихся в зоне ответственности сегмента ГосСОПКА, при ликвидации последствий указанныхатак.
  • 44.
    … и их совершенствование 2.4.4. Приобнаружении и по итогам ликвидации последствий типовых компьютерных атак проводится оценка эффективности мер защиты информации, определяемых соответствующими методическими рекомендациями, и — при необходимости — доработка методов обнаружения и методических рекомендаций по их реализации. 2.4.5. По итогам ликвидации последствий инцидентов, вызванных компьютерными атаками, не относившихся к типовым на момент регистрации, проводится анализ способов проведения атаки, уязвимостей, использованных злоумышленником, а также, при необходимости, дополнительные исследования. На основе полученных результатов данный вид компьютерных атак включается в число типовых и для него также разрабатываются методические рекомендации.
  • 45.
  • 46.
    Общее про взаимодействие 2.4.6. В ходевзаимодействия сегментов ГосСОПКА с главным центром ГосСОПКА осуществляется обмен сведениями об инфраструктуре и компьютерных инцидентах, индикаторами компрометации и методическими рекомендациями по обнаружению, предупреждению и ликвидации последствий типовых компьютерных атак. 8.1.1. Взаимодействие сегмента ГосСОПКА и главного центра ГосСОПКА осуществляется на основании соглашения о взаимодействии и регламента взаимодействия. В данных документах определяются головные подразделения, выполняющие функции по взаимодействию, их обязанности, а также уточняются каналы связи и используемые криптографические средства защиты информации.
  • 47.
    Каналы связи 8.1.3. Центр ГосСОПКА взаимодействует с главным центром ГосСОПКА посредством: • а) постоянного канала связи через сеть Интернет; • б) телефонной связи; •в) периодического документооборота через почту (фельдъегерскую службу). 8.1.4.В рамках обмена через сеть Интернет поддерживаются следующие способы взаимодействия: • а) обмен информацией через специализированные системы, такие как портал, или автоматизированный обмен данными автоматизированных подсистем и компонентов ГосСОПКА; • б) обмен информацией и получение доступа к справочной информации с использованием средств автоматизации взаимодействия; • в) переписка по электронной почте.
  • 48.
    Про криптографию и гостайну 8.1.6.Все взаимодействие посети Интернет осуществляется с использованием криптографических средств защиты информации, имеющих сертификаты ФСБ России. В рамках взаимодействия центра ГосСОПКА и главного центра ГосСОПКА посредством сети Интернет не допускается передача сведений, составляющих государственную тайну.
  • 49.
    Формат данных об инцидентах При передаче информациио компьютерном инциденте в автоматическом режиме карточка инцидента передается в формате JSON или XML. Формат согласуется на этапе организации взаимодействия с каждым сегментом ГосСОПКА индивидуально.
  • 50.
    ГЦ ГосСОПКА -> сегмент ГосСОПКА Главный центр ГосСОПКАнаправляет, а сегмент ГосСОПКА принимает и обрабатывает следующие типы информационных сообщений: • а) сведения об актуальных угрозах; • б) сведения об актуальных уязвимостях; • в) сведения о признаках компьютерных инцидентов на объектах в зоне деятельности сегмента ГосСОПКА; • г) сведения об индикаторах компрометации информационных ресурсов; • д) изменения и дополнения к методическим рекомендациям; • е) запросы на предоставление дополнительной информации по компьютерным инцидентам и другим событиям ИБ.
  • 51.
    Возможность запросов 8.2.2. Главный центрГосСОПКА должен иметь возможность направить запрос на предоставление детальной информации о защищенности информационных ресурсов, конкретном инциденте, признаке компьютерного инцидента или компьютерной атаке, а сегмент ГосСОПКА предоставить ответ на запрос.
  • 52.
    Сегмент ГосСОПКА -> ГЦ ГосСОПКА 8.2.3. Сегмент ГосСОПКАнаправляет, а главный центр ГосСОПКА принимает и обрабатывает следующие типы информационных сообщений: • а) информацию о зоне ответственности сегмента ГосСОПКА, включая результаты инвентаризации; • б) данные о компьютерных атаках; • в) данные о компьютерных инцидентах; • г) общую информацию о защищенности информационных ресурсов; • д) детальную информацию о защищенности информационных ресурсов, доступных из сети Интернет; • е) статистические данные об актуальных для сегмента ГосСОПКА угрозах; • ж) сведения о самостоятельно обнаруженных индикаторах компрометации информационных ресурсов. Детализированный перечень!!!
  • 53.
    Запрос содействия Главный центрГосСОПКА можетоказывать следующее типы содействия: • передача информации об IP-адресах и доменных именах, осуществляющих вредоносные воздействия, уполномоченным организациям в различных странах мира для принятия мер по предотвращению вредоносной деятельности на ресурсы Российской Федерации; • прекращение вредоносной активности IP-адресов и доменных имен, находящихся в адресном пространстве Российской Федерации; • получение дополнительной информации об участниках КИ из специализированных источников и баз знаний главногоцентра ГосСОПКА; • анализ образцов вредоносного программного обеспечения для последующего выявления управляющих серверов и анализа его жизненного цикла; • анализ журналов, образов ОС и другой информации, полученной в рамках реагирования на компьютерные инциденты, с целью получения полной информации о КИ; • анализ КИ на связи с другими инцидентами; • консультации по предотвращению последствий КИ; • координация деятельности заинтересованных сторон по ликвидации КИ и предотвращению их последствий; • мероприятия по оценки защищенности.
  • 54.
    Информация об инцидентах 1. Идентификатор инцидента (порядковый номер инцидента) 2.TLP (поле маркировки конфиденциальности) 3. Статус инцидента 4. Необходимость содействия 5. Тип инцидента 6. Опасность инцидента 7. Дата и время фиксирования инцидента (UTC+0). 8. Дата и время создания карточки инцидента (UTC+0). 9. Источник поступления информации об инциденте 10. Описание инцидента и комментарии (включая хронологию принятых мер). 11. Связь с другими инцидентами (по номеру идентификатора). 12. Контакты 13. Описание полей карточки инцидента, специфичной по типу инцидента
  • 55.
    Типы инцидентов и их вес Тип инцидента (одининцидент может иметь комбинированный тип): Группа 1 (вес — 4): • ВПО (включая APT и бот-агент) • несанкционированный доступ • эксплуатация уязвимости Группа 2 (вес — 3): • DoS/DDoS • перебор паролей • ЦУ бот-сети Группа 3 (вес — 2): • фишинг (мошенничество) • вредоносный ресурс • запрещенный контент (нарушение прав) Группа 4 (вес — 1): • сканирование ресурсов • спам • нарушение политики безопасности другое (вес — 0).
  • 56.
    Формула Опасности инцидента ИБ Опасность инцидента = Вес статуса + вес содействия + вес типа инцидента. Статус инцидента: • меры приняты, инцидент исчерпан (вес — 0) •меры приняты, инцидент не исчерпан (вес — 10) Необходимость содействия. Значение поля может быть: • необходимо содействие (вес — 10) • нет необходимости в содействии (вес — 0)
  • 57.
    Формат взаимодействия Взаимодействие осуществляется: • а)инициативно — инициирующая сторона направляет информацию (сообщение, справочную и иную информацию); • б) по запросу (ответ на запрос) — в рамках запрошенного объема и установленных сроков; • в) без регламентации — при доступе к базам знаний и порталу, системам, предполагающим возможность удаленного доступа, по мере необходимости; • г) в соответствии с планом предоставления информации (ежедневно, еженедельно, ежемесячно, ежеквартально, ежегодно или с иной периодичностью); • д) автоматизированно — для сопряженных систем постоянного обмена фактической и статистической информацией об угрозах и состоянии ИБ контролируемых объектов.
  • 58.
    Периодичность и сроки • При передачеинформации о компьютерной атаке центр ГосСОПКА должен обеспечить хранение трафика, в котором была обнаружена компьютерная атака, а также всех событий информационной безопасности средств защиты и средств ГосСОПКА на срок не менее 6 (шести) месяцев. • Сведения о компьютерных атаках передаются в главный центр ГосСОПКА еженедельно. • Вне очереди направляются инциденты: • с запросом содействия; • по которым были приняты меры, но инцидент не исчерпан; • инциденты группы 1 и группы 2. • Остальные компьютерные инциденты направляются при их локализации (статус: меры приняты, инцидент исчерпан).
  • 59.
  • 60.
    Что в итоге? • Это рекомендации,а не требования (но мы все понимаем). Очень много полезных детализированных рекомендаций. • Фокус на практическую безопасность (реальная защищенность, выявление и реагирование на инциденты). • Но и документы делать придется (положение о сегменте, штатное расписание, процедуры реагирования и взаимодействия, инструкции и методические рекомендации) • Представлен процессный подход с фокусом на результативность. Важно запустить процессы! • Процессы важнее технологий. Требования к средствам мониторинга и защиты информации минимальны. • Вопросы эффективности не рассматриваются (еще рано). • Отмечена высокая важность информационного обмена и накопления знаний. • Да, надо много взаимодействовать с ГЦ ГосСОПКА и согласовывать с ними.