SlideShare a Scribd company logo
1 of 39
Download to read offline
25 мая 2018 года
Бизнес-консультант по безопасности
Антисуслик Шредингера
Документы ФСБ, которые есть
и которых нет одновременно
Алексей Лукацкий
Причем тут суслик?
Причем тут Шрёдингер?
Кстати, эксперимент Шрёдингера помогает понять суть квантовой криптографии
Пакет ФСБ по КИИ/ГосСОПКЕ
Указ Президента РФ
от 15.01.2013 г. №31с «О
создании ГосСОПКА»
Концепции ГосСОПКА, утв.
Президентом РФ 12.12.2014 г. № К 1274 Методические рекомендации по
созданию ведомственных и
корпоративных центров
ГосСОПКА
Временный порядок включения
корпоративных центров в
ГосСОПКА
Доктрина информационной
безопасности РФ
ФЗ от 26.07.2017 г. № 187-ФЗ «О
безопасности КИИ РФ»
Требования к средствам
ГосСОПКА
Порядок обмена
информацией о КИ
Требования к ведомственным
(корпоративным) центрам ГосСОПКА
Положение о ГосСОПКА
Положение о НКЦКИ
Порядок информирования ФСБ
России о КИ, реагирования на
них, принятия мер по
ликвидации последствий
Методические рекомендации по проведению мероприятий по
оценке степени защищенности, обнаружению компьютерных
атак, предупреждению и ликвидации последствий КИ
Методические рекомендации по
обнаружению компьютерных атак
Перечень информации,
предоставляемой в ГосСОПКА,
и порядок её предоставления
Методические рекомендации по проведению
мероприятий по ликвидации последствий КИ
Порядок и технические условия
установки и эксплуатации средств
ГосСОПКА
Чем будет регулироваться ГосСОПКА?
Об оперативности ФСБ
ПП-1119
01.11.2012
№21
18.02.2013
№378
10.07.2014
3,5 месяца
-2 недели
20 месяцев
-17 месяцев
Требования по персональным данным
№235
21.12.2017
ФЗ-187
01.01.2018
???
25.05.2018
В срок
Требования по КИИ
№239
27.12.2017 Уже 5 месяцев опоздания
Об оперативности ФСБ
О чем мы будем говорить?
1. ГосСОПКА и ФинЦЕРТ
2. Оценка последствий от инцидента
3. Стандарты обмена информацией
4. Техсредства ГосСОПКИ
5. СОА vs СОВ vs техсредства ГосСОПКИ
6. Реагирование на инциденты
!
Что такое ФинЦЕРТ?
• Организация и координация обмена
информацией между ФинЦЕРТ и
правоохранительными органами,
кредитными и некредитными
финансовыми организациями
• Анализ данных о компьютерных атаках в
кредитных и некредитных финансовых
организациях и подготовка
аналитических материалов
Ведомственные центры ГосСОПКА
• Ведомственные сегменты (центры)
ГосСОПКА создаются органами
государственной власти, а также
организациями, осуществляющими
лицензируемую деятельность в
области защиты информации,
действующими в интересах органов
государственной власти
!
Корпоративные центры ГосСОПКА
• Корпоративные сегменты (центры)
ГосСОПКА создаются государственными
корпорациями, операторами связи и
иными организациями,
осуществляющими лицензируемую
деятельность в области защиты
информации, в собственных интересах, а
также для оказания услуг по
предупреждению, обнаружению и
ликвидации последствий компьютерных
атак
!
ФинЦЕРТ ≠ центр ГосСОПКА
• ФинЦЕРТ не является ни
ведомственным, ни корпоративным
центром ГосСОПКА
• Ведутся работы по наделению ФинЦЕРТ
полномочиями центра ГосСОПКИ
Кроме того…
• В случае, если компьютерный инцидент
связан с функционированием объекта
КИИ, принадлежащего на праве
собственности, аренды или ином
законном основании субъекту КИИ,
который осуществляет деятельность в
банковской сфере и в иных сферах
финансового рынка, одновременно с
информированием ФСБ России о таком
компьютерном инциденте также
информируется Центральный банк
Российской Федерации
Следствие №1
• Финансовая организация должна
отправлять данные об инцидентах в
два адреса – в ФинЦЕРТ и в
ГосСОПКУ
Разные адреса
Разные форматы (СТО 1.5 vs ???)
Разная частота (3 часа vs 24/незамедлительно)
Разные API (в перспективе)
• Если ФинЦЕРТ и НКЦКИ
договорятся (и будут внесены
соответствующие изменения в НПА),
то ситуация придет в норму
☝
Уведомления от ГосСОПКИ
Все это можно найти на сайте www.safe-surf.ru
Набор индикаторов компрометации
Стандартизация обмена информацией
об угрозах
• TLP – «раскрашивает» угрозу в зависимости от
уровня публичности/конфиденциальности
• STIX / TAXII – обмен информацией об угрозах /
акторах
• OpenIOC – стандарт описания индикаторов
компрометации
• YARA - стандарт описания файловых индикаторов
компрометации
• Sigma – стандарт описания индикаторов
компрометации в логах
• Snort – стандарт описания сетевых индикаторов
компрометации
Множество стандартов
!
Обмен данными с ГосСОПКОЙ
• Формат обмена данными с ГосСОПКОЙ
определяется НКЦКИ
На PHDays было обещано утвердить данный формат в
ближайшее время
• В мире существует множество стандартов
обмена информацией об инцидентах и
индикаторах компрометации
• Эти стандарты уже поддерживаются в
существующих программных продуктах
типа SIEM или IRP
Стандарт НКЦКИ (если он будет один для всех) пока не
поддерживается
Следствие №2
• Вам придется самостоятельно (или с
привлечением интегратора)
дописывать свои SIEM / IRP, чтобы
они поддерживали отечественные
стандарты описания инцидентов
• Или надо будет выбирать решения
отечественных производителей (R-
Vision, PT, ЦБИ и др.)
☝
Следствие №2’ (для финансов)
1. ВПО (включая APT и бот-агентов)
2. Несанкционированный доступ
3. Эксплуатация уязвимости
4. DoS/DDoS
5. Перебор паролей
6. Центр управления бот-сети
7. Фишинг (мошенничество)
8. Вредоносный ресурс
9. Запрещенный контент
10.Сканирование ресурсов
11.Спам
12.Нарушение политики безопасности
13.Другое
Для каждого типа инцидента описывается свой объем информации
Согласно СТО 1.5
для ФинЦЕРТ
определен немного
иной перечень
инцидентов
Какие сведения получает ГосСОПКА?
• О компьютерных инцидентах,
произошедших на объектах КИИ
Дата, время и место
Наличие связи между инцидентом и атакой
Связь с другими инцидентами
Состав технических параметров инцидента
Последствия
• Уведомление подается в возможно
короткий срок, но не позднее 24 часов с
момента обнаружения инцидента
Следствие №3
• Оценить последствия инцидента за
24 часа (максимум)?
• Желательно иметь методику оценки
последствий, для чего необходимо
четко понимать защищаемые активы
и их ценность
• Инвентаризация становится как
никогда важной
☝
Согласие на установку IDS от ФСБ
• «субъект КИИ имеет право …при наличии
согласия ФСБ… за свой счет приобретать,
арендовать, устанавливать и обслуживать
средства, предназначенные для обнаружения,
предупреждения и ликвидации последствий
компьютерных атак и реагирования на
компьютерные инциденты»
• Установка средств согласовывается субъектом с
НКЦКИ
• Установка, прием в эксплуатацию, эксплуатация
осуществляются субъектом КИИ или
привлекаемой по договору организацией
Технические средства ГосСОПКА
• Средства обнаружения, предупреждения
и ликвидации последствий компьютерных
атак и реагирования на КИ обеспечивают
следующие задачи:
Средства обнаружения атак
Средства предупреждения атак
Средства ликвидации последствий атак и реагирования
на компьютерные инциденты
Средства поиска признаков атак
Средства обмена информацией, необходимой субъектам
КИИ при обнаружении, предупреждении и (или)
ликвидации последствий компьютерных атак
Средства криптографической защиты такой информации
Одно или несколько средств
Следствие №4
• С одной стороны вы обязаны
защищать значимые объекты КИИ
по требованиям ФСТЭК, а с другой
вам надо получать согласие ФСБ на
установку средств мониторинга
• Вы готовы к согласованию установки
SIEM, IDS, IRP, сканеров
безопасности и других техсредств
ГосСОПКИ?
☝
Требования к техническим средствам
ГосСОПКА
• Отсутствие принудительного обновления ПО и
управления с территории иностранного государства
• Отсутствие возможности несанкционированной
передачи информации, включая технологическую, в
том числе их разработчику (производителю)
• Возможность осуществления их модернизации
силами российских организаций без участия
иностранных организаций и организаций с
иностранными инвестициями
• Обеспечение гарантийной и технической поддержкой
российскими организациями без участия
иностранных организаций и организаций с
иностранными инвестициями
• Отсутствие недекларированных возможностей в ПО
Следствие №5
• Фактический запрет на
использование иностранных
решений в качестве техсредств
ГосСОПКИ
• Возможно ли использование open
source компонентов, которые
поддерживаются и модернизируются
иностранными специалистами???
☝
Требования к средствам в части
обнаружения атак
• Сбор и первичная обработка информации,
поступающей от источников событий
информационной безопасности
• Автоматический анализ событий ИБ и
выявление компьютерных инцидентов
(компьютерных атак)
• Ретроспективный анализ данных и выявление не
обнаруженных ранее компьютерных инцидентов
SIEM???
Требования к средствам в части
предупреждения атак
• Сбор и обработка сведений об инфраструктуре
контролируемых информационных ресурсов и
справочной информации
• Сбор и обработка сведений об уязвимостях и
недостатках в настройке ПО, используемого на
объектах контролируемых информационных
ресурсов
• Учет угроз безопасности информации
Сканеры уязвимостей и анализаторы векторов атак???
Требования к средствам в части
ликвидации последствий атак
• Учет и обработка компьютерных инцидентов
• Управление процессами реагирования на
компьютерные инциденты и ликвидации
последствий компьютерных атак
• Обеспечение взаимодействия с НКЦКИ
• Информационно-аналитическое сопровождение
IRP???
Следствие №6
• Фактический запрет на
использование ArcSight, QRadar,
Splunk, Resilient…☝
Обратите внимание!
• Многие техсредства
ГосСОПКИ до боли
напоминают
продуктовый ряд
Positive Technologies
• Это, наверное,
случайно :-)
Системы обнаружения… чего?
СОА СОВ
Системы
обнаружения
атак
Системы
обнаружения
вторжений
Следствие №7
• Можно ли применять системы
обнаружения вторжений на объектах
КИИ, если они трактуются как
техсредства ГосСОПКИ и должны
соответствовать требованиям ФСБ?
• Фактический запрет на все зарубежные
IDS/IPS
• Под вопросом остаются отечественные
IDS, использующие зарубежные
сигнатуры (обновление из-за рубежа) и
«зарубежные» компоненты open source
☝
Порядок реагирования на инциденты
• Информировать надо обо всех инцидентах на
всех объектах КИИ (а не только на значимых)
• Субъект осуществляет реагирование на
инциденты в соответствие с разработанным
планом
Для значимых объектов - обязательно
• Может понадобиться согласование с 8-м
Центром ФСБ регламента взаимодействия с
подразделениями ФСБ для реагирования на
инциденты
В каких случаях нужно взаимодействие с ФСБ непонятно
Стоит ли ждать методичек от ФСБ или…
Кто выпустил? Что выпущено? Тема
ISO 27041 Forensics
ISO 27042 Forensics
ISO 27043 Расследование инцидентов
ISO 27035 Управление инцидентами и реагирование
ISO 27037 Сбор доказательств
ISO 30121 Управление рисками в форензике
OASIS TC - Threat Intelligence Обмен информацией об инцидентах
IETF RFC2350 Реагирование на инциденты
IETF RFC3227 Сбор доказательств
IETF RFC5070 Обмен информацией об инцидентах
MITRE SOC Ten Strategies Лучшие практики по SOC
NIST SP-800 Реагирование на инциденты
ЦБ СТО 1.3 Forensics и сбор доказательств
ЦБ РС 2.5 Управление инцидентами и реагирование
ЦБ СТО 1.5 Обмен информацией об инцидентах
Следствие №8
• Управление инцидентами, захват
данных, автоматическое реагирование,
обмен информацией – все эти темы
вряд ли будут оперативно охвачены
ФСБ в своих методических документах
• Не ждите методичек ФСБ -
используйте международные
стандарты и документы ЦБ
☝
Что у вас
есть?
Чего вам не
хватает?
Что вам
понадобится?
Идентифицируйте имеющиеся у вас
средства защиты, а также проведите
инвентаризацию защищаемых объектов
КИИ и их ценности для вас
Плана реагирования на инциденты
Методики оценки последствий от инцидентов
Оценки применимости отечественных
решений по ИБ (техсредства ГосСОПКИ)
Провести киберучения по готовности
персонала реагировать на инциденты.
Разработать обработчики для стандартов
обмена информацией об инцидентах.
Внедрить технические средства
ГосСОПКА. Пересмотреть архитектуру ИБ
Что сделать после ITSF?
Спасибо!
alukatsk@cisco.com

More Related Content

What's hot

Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиAleksey Lukatskiy
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиAleksey Lukatskiy
 
Прорывные технологии и ИБ
Прорывные технологии и ИБПрорывные технологии и ИБ
Прорывные технологии и ИБAleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиAleksey Lukatskiy
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
Тренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м годуТренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м годуAleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Aleksey Lukatskiy
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152Aleksey Lukatskiy
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьAleksey Lukatskiy
 
DNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиDNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиAleksey Lukatskiy
 
Что нам ждать от законодательства по безопасности критической инфраструктуры
Что нам ждать от законодательства по безопасности критической инфраструктурыЧто нам ждать от законодательства по безопасности критической инфраструктуры
Что нам ждать от законодательства по безопасности критической инфраструктурыAleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Обнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йОбнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йAleksey Lukatskiy
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииAleksey Lukatskiy
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Aleksey Lukatskiy
 

What's hot (20)

Машинное обучение в кибербезопасности
Машинное обучение в кибербезопасностиМашинное обучение в кибербезопасности
Машинное обучение в кибербезопасности
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
 
Прорывные технологии и ИБ
Прорывные технологии и ИБПрорывные технологии и ИБ
Прорывные технологии и ИБ
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
 
5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC5 советов, от которых зависит успешность вашего SOC
5 советов, от которых зависит успешность вашего SOC
 
Тренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м годуТренды информационной безопасности в России в 2015-м году
Тренды информационной безопасности в России в 2015-м году
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект
 
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152Техническая защита персональных данных.Как соблюсти GDPR и ФЗ-152
Техническая защита персональных данных. Как соблюсти GDPR и ФЗ-152
 
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасностьСписок потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
 
DNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасностиDNS и искусственный интеллект на страже кибербезопасности
DNS и искусственный интеллект на страже кибербезопасности
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
 
Что нам ждать от законодательства по безопасности критической инфраструктуры
Что нам ждать от законодательства по безопасности критической инфраструктурыЧто нам ждать от законодательства по безопасности критической инфраструктуры
Что нам ждать от законодательства по безопасности критической инфраструктуры
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Обнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-йОбнаружение атак - из конца 90-х в 2018-й
Обнаружение атак - из конца 90-х в 2018-й
 
пр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБпр 5 почему аутсорсинга ИБ
пр 5 почему аутсорсинга ИБ
 
Новинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка РоссииНовинки нормотворчества по ИБ от Банка России
Новинки нормотворчества по ИБ от Банка России
 
Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?Почему аналитики L1 в SOC бесполезны?
Почему аналитики L1 в SOC бесполезны?
 

Similar to Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно

Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)Expolink
 
Тренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБТренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБSolar Security
 
Security regulations public
Security regulations publicSecurity regulations public
Security regulations publicExpolink
 
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаAleksey Lukatskiy
 
Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Cisco Russia
 
Расследование
РасследованиеРасследование
Расследованиеpesrox
 
Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Demian Ramenskiy
 
Практический опыт реализации системы антифрода промышленного производства – о...
Практический опыт реализации системы антифрода промышленного производства – о...Практический опыт реализации системы антифрода промышленного производства – о...
Практический опыт реализации системы антифрода промышленного производства – о...SelectedPresentations
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Aleksey Lukatskiy
 
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхDemian Ramenskiy
 
2017 03-29 bd-lp
2017 03-29 bd-lp2017 03-29 bd-lp
2017 03-29 bd-lpIrinaSok
 
Доктор Веб: Компьютерные преступления
Доктор Веб: Компьютерные преступленияДоктор Веб: Компьютерные преступления
Доктор Веб: Компьютерные преступленияExpolink
 
Доктор Веб. Вячслав Медведев: "Можно-ли наказать преступника? Процедуры компь...
Доктор Веб. Вячслав Медведев: "Можно-ли наказать преступника? Процедуры компь...Доктор Веб. Вячслав Медведев: "Можно-ли наказать преступника? Процедуры компь...
Доктор Веб. Вячслав Медведев: "Можно-ли наказать преступника? Процедуры компь...Expolink
 
Текущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктурыТекущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктурыAleksey Lukatskiy
 
MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?LETA IT-company
 
Разбираемся с российской криптографической нормативкой… на примере ареста нар...
Разбираемся с российской криптографической нормативкой… на примере ареста нар...Разбираемся с российской криптографической нормативкой… на примере ареста нар...
Разбираемся с российской криптографической нормативкой… на примере ареста нар...imbasoft ru
 
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Aleksey Lukatskiy
 

Similar to Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно (20)

Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
Тренды и угрозы ИБ (Код ИБ Екатеринбург-2015)
 
Тренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБТренды и угрозы в сфере ИБ
Тренды и угрозы в сфере ИБ
 
Security regulations public
Security regulations publicSecurity regulations public
Security regulations public
 
Регулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 годаРегулирование ИБ в России во второй половине 2012 года
Регулирование ИБ в России во второй половине 2012 года
 
Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?Что нас ждет в отечественном законодательстве по ИБ?
Что нас ждет в отечественном законодательстве по ИБ?
 
Расследование
РасследованиеРасследование
Расследование
 
Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...Правовые и технические аспекты защиты персональных данных в электронной комме...
Правовые и технические аспекты защиты персональных данных в электронной комме...
 
Практический опыт реализации системы антифрода промышленного производства – о...
Практический опыт реализации системы антифрода промышленного производства – о...Практический опыт реализации системы антифрода промышленного производства – о...
Практический опыт реализации системы антифрода промышленного производства – о...
 
пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)пр Куда идет ИБ в России? (региональные аспекты)
пр Куда идет ИБ в России? (региональные аспекты)
 
Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9
 
Интернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данныхИнтернет-магазин как информационная система обработки персональных данных
Интернет-магазин как информационная система обработки персональных данных
 
2017 03-29 bd-lp
2017 03-29 bd-lp2017 03-29 bd-lp
2017 03-29 bd-lp
 
Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)
 
Доктор Веб: Компьютерные преступления
Доктор Веб: Компьютерные преступленияДоктор Веб: Компьютерные преступления
Доктор Веб: Компьютерные преступления
 
Доктор Веб. Вячслав Медведев: "Можно-ли наказать преступника? Процедуры компь...
Доктор Веб. Вячслав Медведев: "Можно-ли наказать преступника? Процедуры компь...Доктор Веб. Вячслав Медведев: "Можно-ли наказать преступника? Процедуры компь...
Доктор Веб. Вячслав Медведев: "Можно-ли наказать преступника? Процедуры компь...
 
Текущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктурыТекущий статус законодательства по безопасности критической инфраструктуры
Текущий статус законодательства по безопасности критической инфраструктуры
 
MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?MSSP - услуги безопасности. Есть ли место VPN услугам?
MSSP - услуги безопасности. Есть ли место VPN услугам?
 
Разбираемся с российской криптографической нормативкой… на примере ареста нар...
Разбираемся с российской криптографической нормативкой… на примере ареста нар...Разбираемся с российской криптографической нормативкой… на примере ареста нар...
Разбираемся с российской криптографической нормативкой… на примере ареста нар...
 
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
Что могли бы сказать регуляторы по ИБ, если бы пришли на форум директоров по ИБ?
 

More from Aleksey Lukatskiy

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадокAleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиAleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаAleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSAleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПAleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологийAleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustAleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementAleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сетьAleksey Lukatskiy
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoAleksey Lukatskiy
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКAleksey Lukatskiy
 

More from Aleksey Lukatskiy (19)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
 
Зарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в CiscoЗарисовки о том, как устроена кибербезопасность в Cisco
Зарисовки о том, как устроена кибербезопасность в Cisco
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
 

Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно

  • 1. 25 мая 2018 года Бизнес-консультант по безопасности Антисуслик Шредингера Документы ФСБ, которые есть и которых нет одновременно Алексей Лукацкий
  • 3. Причем тут Шрёдингер? Кстати, эксперимент Шрёдингера помогает понять суть квантовой криптографии
  • 4. Пакет ФСБ по КИИ/ГосСОПКЕ Указ Президента РФ от 15.01.2013 г. №31с «О создании ГосСОПКА» Концепции ГосСОПКА, утв. Президентом РФ 12.12.2014 г. № К 1274 Методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА Временный порядок включения корпоративных центров в ГосСОПКА Доктрина информационной безопасности РФ ФЗ от 26.07.2017 г. № 187-ФЗ «О безопасности КИИ РФ» Требования к средствам ГосСОПКА Порядок обмена информацией о КИ Требования к ведомственным (корпоративным) центрам ГосСОПКА Положение о ГосСОПКА Положение о НКЦКИ Порядок информирования ФСБ России о КИ, реагирования на них, принятия мер по ликвидации последствий Методические рекомендации по проведению мероприятий по оценке степени защищенности, обнаружению компьютерных атак, предупреждению и ликвидации последствий КИ Методические рекомендации по обнаружению компьютерных атак Перечень информации, предоставляемой в ГосСОПКА, и порядок её предоставления Методические рекомендации по проведению мероприятий по ликвидации последствий КИ Порядок и технические условия установки и эксплуатации средств ГосСОПКА
  • 6. Об оперативности ФСБ ПП-1119 01.11.2012 №21 18.02.2013 №378 10.07.2014 3,5 месяца -2 недели 20 месяцев -17 месяцев Требования по персональным данным №235 21.12.2017 ФЗ-187 01.01.2018 ??? 25.05.2018 В срок Требования по КИИ №239 27.12.2017 Уже 5 месяцев опоздания
  • 8. О чем мы будем говорить? 1. ГосСОПКА и ФинЦЕРТ 2. Оценка последствий от инцидента 3. Стандарты обмена информацией 4. Техсредства ГосСОПКИ 5. СОА vs СОВ vs техсредства ГосСОПКИ 6. Реагирование на инциденты !
  • 9. Что такое ФинЦЕРТ? • Организация и координация обмена информацией между ФинЦЕРТ и правоохранительными органами, кредитными и некредитными финансовыми организациями • Анализ данных о компьютерных атаках в кредитных и некредитных финансовых организациях и подготовка аналитических материалов
  • 10. Ведомственные центры ГосСОПКА • Ведомственные сегменты (центры) ГосСОПКА создаются органами государственной власти, а также организациями, осуществляющими лицензируемую деятельность в области защиты информации, действующими в интересах органов государственной власти !
  • 11. Корпоративные центры ГосСОПКА • Корпоративные сегменты (центры) ГосСОПКА создаются государственными корпорациями, операторами связи и иными организациями, осуществляющими лицензируемую деятельность в области защиты информации, в собственных интересах, а также для оказания услуг по предупреждению, обнаружению и ликвидации последствий компьютерных атак !
  • 12. ФинЦЕРТ ≠ центр ГосСОПКА • ФинЦЕРТ не является ни ведомственным, ни корпоративным центром ГосСОПКА • Ведутся работы по наделению ФинЦЕРТ полномочиями центра ГосСОПКИ
  • 13. Кроме того… • В случае, если компьютерный инцидент связан с функционированием объекта КИИ, принадлежащего на праве собственности, аренды или ином законном основании субъекту КИИ, который осуществляет деятельность в банковской сфере и в иных сферах финансового рынка, одновременно с информированием ФСБ России о таком компьютерном инциденте также информируется Центральный банк Российской Федерации
  • 14. Следствие №1 • Финансовая организация должна отправлять данные об инцидентах в два адреса – в ФинЦЕРТ и в ГосСОПКУ Разные адреса Разные форматы (СТО 1.5 vs ???) Разная частота (3 часа vs 24/незамедлительно) Разные API (в перспективе) • Если ФинЦЕРТ и НКЦКИ договорятся (и будут внесены соответствующие изменения в НПА), то ситуация придет в норму ☝
  • 15. Уведомления от ГосСОПКИ Все это можно найти на сайте www.safe-surf.ru
  • 17. Стандартизация обмена информацией об угрозах • TLP – «раскрашивает» угрозу в зависимости от уровня публичности/конфиденциальности • STIX / TAXII – обмен информацией об угрозах / акторах • OpenIOC – стандарт описания индикаторов компрометации • YARA - стандарт описания файловых индикаторов компрометации • Sigma – стандарт описания индикаторов компрометации в логах • Snort – стандарт описания сетевых индикаторов компрометации Множество стандартов !
  • 18. Обмен данными с ГосСОПКОЙ • Формат обмена данными с ГосСОПКОЙ определяется НКЦКИ На PHDays было обещано утвердить данный формат в ближайшее время • В мире существует множество стандартов обмена информацией об инцидентах и индикаторах компрометации • Эти стандарты уже поддерживаются в существующих программных продуктах типа SIEM или IRP Стандарт НКЦКИ (если он будет один для всех) пока не поддерживается
  • 19. Следствие №2 • Вам придется самостоятельно (или с привлечением интегратора) дописывать свои SIEM / IRP, чтобы они поддерживали отечественные стандарты описания инцидентов • Или надо будет выбирать решения отечественных производителей (R- Vision, PT, ЦБИ и др.) ☝
  • 20. Следствие №2’ (для финансов) 1. ВПО (включая APT и бот-агентов) 2. Несанкционированный доступ 3. Эксплуатация уязвимости 4. DoS/DDoS 5. Перебор паролей 6. Центр управления бот-сети 7. Фишинг (мошенничество) 8. Вредоносный ресурс 9. Запрещенный контент 10.Сканирование ресурсов 11.Спам 12.Нарушение политики безопасности 13.Другое Для каждого типа инцидента описывается свой объем информации Согласно СТО 1.5 для ФинЦЕРТ определен немного иной перечень инцидентов
  • 21. Какие сведения получает ГосСОПКА? • О компьютерных инцидентах, произошедших на объектах КИИ Дата, время и место Наличие связи между инцидентом и атакой Связь с другими инцидентами Состав технических параметров инцидента Последствия • Уведомление подается в возможно короткий срок, но не позднее 24 часов с момента обнаружения инцидента
  • 22. Следствие №3 • Оценить последствия инцидента за 24 часа (максимум)? • Желательно иметь методику оценки последствий, для чего необходимо четко понимать защищаемые активы и их ценность • Инвентаризация становится как никогда важной ☝
  • 23. Согласие на установку IDS от ФСБ • «субъект КИИ имеет право …при наличии согласия ФСБ… за свой счет приобретать, арендовать, устанавливать и обслуживать средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты» • Установка средств согласовывается субъектом с НКЦКИ • Установка, прием в эксплуатацию, эксплуатация осуществляются субъектом КИИ или привлекаемой по договору организацией
  • 24. Технические средства ГосСОПКА • Средства обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на КИ обеспечивают следующие задачи: Средства обнаружения атак Средства предупреждения атак Средства ликвидации последствий атак и реагирования на компьютерные инциденты Средства поиска признаков атак Средства обмена информацией, необходимой субъектам КИИ при обнаружении, предупреждении и (или) ликвидации последствий компьютерных атак Средства криптографической защиты такой информации Одно или несколько средств
  • 25. Следствие №4 • С одной стороны вы обязаны защищать значимые объекты КИИ по требованиям ФСТЭК, а с другой вам надо получать согласие ФСБ на установку средств мониторинга • Вы готовы к согласованию установки SIEM, IDS, IRP, сканеров безопасности и других техсредств ГосСОПКИ? ☝
  • 26. Требования к техническим средствам ГосСОПКА • Отсутствие принудительного обновления ПО и управления с территории иностранного государства • Отсутствие возможности несанкционированной передачи информации, включая технологическую, в том числе их разработчику (производителю) • Возможность осуществления их модернизации силами российских организаций без участия иностранных организаций и организаций с иностранными инвестициями • Обеспечение гарантийной и технической поддержкой российскими организациями без участия иностранных организаций и организаций с иностранными инвестициями • Отсутствие недекларированных возможностей в ПО
  • 27. Следствие №5 • Фактический запрет на использование иностранных решений в качестве техсредств ГосСОПКИ • Возможно ли использование open source компонентов, которые поддерживаются и модернизируются иностранными специалистами??? ☝
  • 28. Требования к средствам в части обнаружения атак • Сбор и первичная обработка информации, поступающей от источников событий информационной безопасности • Автоматический анализ событий ИБ и выявление компьютерных инцидентов (компьютерных атак) • Ретроспективный анализ данных и выявление не обнаруженных ранее компьютерных инцидентов SIEM???
  • 29. Требования к средствам в части предупреждения атак • Сбор и обработка сведений об инфраструктуре контролируемых информационных ресурсов и справочной информации • Сбор и обработка сведений об уязвимостях и недостатках в настройке ПО, используемого на объектах контролируемых информационных ресурсов • Учет угроз безопасности информации Сканеры уязвимостей и анализаторы векторов атак???
  • 30. Требования к средствам в части ликвидации последствий атак • Учет и обработка компьютерных инцидентов • Управление процессами реагирования на компьютерные инциденты и ликвидации последствий компьютерных атак • Обеспечение взаимодействия с НКЦКИ • Информационно-аналитическое сопровождение IRP???
  • 31. Следствие №6 • Фактический запрет на использование ArcSight, QRadar, Splunk, Resilient…☝
  • 32. Обратите внимание! • Многие техсредства ГосСОПКИ до боли напоминают продуктовый ряд Positive Technologies • Это, наверное, случайно :-)
  • 33. Системы обнаружения… чего? СОА СОВ Системы обнаружения атак Системы обнаружения вторжений
  • 34. Следствие №7 • Можно ли применять системы обнаружения вторжений на объектах КИИ, если они трактуются как техсредства ГосСОПКИ и должны соответствовать требованиям ФСБ? • Фактический запрет на все зарубежные IDS/IPS • Под вопросом остаются отечественные IDS, использующие зарубежные сигнатуры (обновление из-за рубежа) и «зарубежные» компоненты open source ☝
  • 35. Порядок реагирования на инциденты • Информировать надо обо всех инцидентах на всех объектах КИИ (а не только на значимых) • Субъект осуществляет реагирование на инциденты в соответствие с разработанным планом Для значимых объектов - обязательно • Может понадобиться согласование с 8-м Центром ФСБ регламента взаимодействия с подразделениями ФСБ для реагирования на инциденты В каких случаях нужно взаимодействие с ФСБ непонятно
  • 36. Стоит ли ждать методичек от ФСБ или… Кто выпустил? Что выпущено? Тема ISO 27041 Forensics ISO 27042 Forensics ISO 27043 Расследование инцидентов ISO 27035 Управление инцидентами и реагирование ISO 27037 Сбор доказательств ISO 30121 Управление рисками в форензике OASIS TC - Threat Intelligence Обмен информацией об инцидентах IETF RFC2350 Реагирование на инциденты IETF RFC3227 Сбор доказательств IETF RFC5070 Обмен информацией об инцидентах MITRE SOC Ten Strategies Лучшие практики по SOC NIST SP-800 Реагирование на инциденты ЦБ СТО 1.3 Forensics и сбор доказательств ЦБ РС 2.5 Управление инцидентами и реагирование ЦБ СТО 1.5 Обмен информацией об инцидентах
  • 37. Следствие №8 • Управление инцидентами, захват данных, автоматическое реагирование, обмен информацией – все эти темы вряд ли будут оперативно охвачены ФСБ в своих методических документах • Не ждите методичек ФСБ - используйте международные стандарты и документы ЦБ ☝
  • 38. Что у вас есть? Чего вам не хватает? Что вам понадобится? Идентифицируйте имеющиеся у вас средства защиты, а также проведите инвентаризацию защищаемых объектов КИИ и их ценности для вас Плана реагирования на инциденты Методики оценки последствий от инцидентов Оценки применимости отечественных решений по ИБ (техсредства ГосСОПКИ) Провести киберучения по готовности персонала реагировать на инциденты. Разработать обработчики для стандартов обмена информацией об инцидентах. Внедрить технические средства ГосСОПКА. Пересмотреть архитектуру ИБ Что сделать после ITSF?