Документ описывает меры и рекомендации по созданию и функционированию госорганов и корпоративных центров по защите информации (госсопка) в России, уделяя внимание различиям между центрами и их взаимодействию. Обсуждаются процедуры реагирования на компьютерные инциденты, обмен информации с финансовыми центрами и требования к техническим средствам. Также рассматриваются стандарты и методики для обеспечения безопасности критической информационной инфраструктуры в условиях современных угроз.

1. 25 мая 2018 года
Бизнес-консультант по безопасности
Антисуслик Шредингера
Документы ФСБ, которые есть
и которых нет одновременно
Алексей Лукацкий

2. Причем тут суслик?

3. Причем тут Шрёдингер?
Кстати, эксперимент Шрёдингера помогает понять суть квантовой криптографии

4. Пакет ФСБ по КИИ/ГосСОПКЕ
Указ Президента РФ
от 15.01.2013 г. №31с «О
создании ГосСОПКА»
Концепции ГосСОПКА, утв.
Президентом РФ 12.12.2014 г. № К 1274 Методические рекомендации по
созданию ведомственных и
корпоративных центров
ГосСОПКА
Временный порядок включения
корпоративных центров в
ГосСОПКА
Доктрина информационной
безопасности РФ
ФЗ от 26.07.2017 г. № 187-ФЗ «О
безопасности КИИ РФ»
Требования к средствам
ГосСОПКА
Порядок обмена
информацией о КИ
Требования к ведомственным
(корпоративным) центрам ГосСОПКА
Положение о ГосСОПКА
Положение о НКЦКИ
Порядок информирования ФСБ
России о КИ, реагирования на
них, принятия мер по
ликвидации последствий
Методические рекомендации по проведению мероприятий по
оценке степени защищенности, обнаружению компьютерных
атак, предупреждению и ликвидации последствий КИ
Методические рекомендации по
обнаружению компьютерных атак
Перечень информации,
предоставляемой в ГосСОПКА,
и порядок её предоставления
Методические рекомендации по проведению
мероприятий по ликвидации последствий КИ
Порядок и технические условия
установки и эксплуатации средств
ГосСОПКА

5. Чем будет регулироваться ГосСОПКА?

6. Об оперативности ФСБ
ПП-1119
01.11.2012
№21
18.02.2013
№378
10.07.2014
3,5 месяца
-2 недели
20 месяцев
-17 месяцев
Требования по персональным данным
№235
21.12.2017
ФЗ-187
01.01.2018
???
25.05.2018
В срок
Требования по КИИ
№239
27.12.2017 Уже 5 месяцев опоздания

7. Об оперативности ФСБ

8. О чем мы будем говорить?
1. ГосСОПКА и ФинЦЕРТ
2. Оценка последствий от инцидента
3. Стандарты обмена информацией
4. Техсредства ГосСОПКИ
5. СОА vs СОВ vs техсредства ГосСОПКИ
6. Реагирование на инциденты
!

9. Что такое ФинЦЕРТ?
• Организация и координация обмена
информацией между ФинЦЕРТ и
правоохранительными органами,
кредитными и некредитными
финансовыми организациями
• Анализ данных о компьютерных атаках в
кредитных и некредитных финансовых
организациях и подготовка
аналитических материалов

10. Ведомственные центры ГосСОПКА
• Ведомственные сегменты (центры)
ГосСОПКА создаются органами
государственной власти, а также
организациями, осуществляющими
лицензируемую деятельность в
области защиты информации,
действующими в интересах органов
государственной власти
!

11. Корпоративные центры ГосСОПКА
• Корпоративные сегменты (центры)
ГосСОПКА создаются государственными
корпорациями, операторами связи и
иными организациями,
осуществляющими лицензируемую
деятельность в области защиты
информации, в собственных интересах, а
также для оказания услуг по
предупреждению, обнаружению и
ликвидации последствий компьютерных
атак
!

12. ФинЦЕРТ ≠ центр ГосСОПКА
• ФинЦЕРТ не является ни
ведомственным, ни корпоративным
центром ГосСОПКА
• Ведутся работы по наделению ФинЦЕРТ
полномочиями центра ГосСОПКИ

13. Кроме того…
• В случае, если компьютерный инцидент
связан с функционированием объекта
КИИ, принадлежащего на праве
собственности, аренды или ином
законном основании субъекту КИИ,
который осуществляет деятельность в
банковской сфере и в иных сферах
финансового рынка, одновременно с
информированием ФСБ России о таком
компьютерном инциденте также
информируется Центральный банк
Российской Федерации

14. Следствие №1
• Финансовая организация должна
отправлять данные об инцидентах в
два адреса – в ФинЦЕРТ и в
ГосСОПКУ
Разные адреса
Разные форматы (СТО 1.5 vs ???)
Разная частота (3 часа vs 24/незамедлительно)
Разные API (в перспективе)
• Если ФинЦЕРТ и НКЦКИ
договорятся (и будут внесены
соответствующие изменения в НПА),
то ситуация придет в норму
☝

15. Уведомления от ГосСОПКИ
Все это можно найти на сайте www.safe-surf.ru

16. Набор индикаторов компрометации

17. Стандартизация обмена информацией
об угрозах
• TLP – «раскрашивает» угрозу в зависимости от
уровня публичности/конфиденциальности
• STIX / TAXII – обмен информацией об угрозах /
акторах
• OpenIOC – стандарт описания индикаторов
компрометации
• YARA - стандарт описания файловых индикаторов
компрометации
• Sigma – стандарт описания индикаторов
компрометации в логах
• Snort – стандарт описания сетевых индикаторов
компрометации
Множество стандартов
!

18. Обмен данными с ГосСОПКОЙ
• Формат обмена данными с ГосСОПКОЙ
определяется НКЦКИ
На PHDays было обещано утвердить данный формат в
ближайшее время
• В мире существует множество стандартов
обмена информацией об инцидентах и
индикаторах компрометации
• Эти стандарты уже поддерживаются в
существующих программных продуктах
типа SIEM или IRP
Стандарт НКЦКИ (если он будет один для всех) пока не
поддерживается

19. Следствие №2
• Вам придется самостоятельно (или с
привлечением интегратора)
дописывать свои SIEM / IRP, чтобы
они поддерживали отечественные
стандарты описания инцидентов
• Или надо будет выбирать решения
отечественных производителей (R-
Vision, PT, ЦБИ и др.)
☝

20. Следствие №2’ (для финансов)
1. ВПО (включая APT и бот-агентов)
2. Несанкционированный доступ
3. Эксплуатация уязвимости
4. DoS/DDoS
5. Перебор паролей
6. Центр управления бот-сети
7. Фишинг (мошенничество)
8. Вредоносный ресурс
9. Запрещенный контент
10.Сканирование ресурсов
11.Спам
12.Нарушение политики безопасности
13.Другое
Для каждого типа инцидента описывается свой объем информации
Согласно СТО 1.5
для ФинЦЕРТ
определен немного
иной перечень
инцидентов

21. Какие сведения получает ГосСОПКА?
• О компьютерных инцидентах,
произошедших на объектах КИИ
Дата, время и место
Наличие связи между инцидентом и атакой
Связь с другими инцидентами
Состав технических параметров инцидента
Последствия
• Уведомление подается в возможно
короткий срок, но не позднее 24 часов с
момента обнаружения инцидента

22. Следствие №3
• Оценить последствия инцидента за
24 часа (максимум)?
• Желательно иметь методику оценки
последствий, для чего необходимо
четко понимать защищаемые активы
и их ценность
• Инвентаризация становится как
никогда важной
☝

23. Согласие на установку IDS от ФСБ
• «субъект КИИ имеет право …при наличии
согласия ФСБ… за свой счет приобретать,
арендовать, устанавливать и обслуживать
средства, предназначенные для обнаружения,
предупреждения и ликвидации последствий
компьютерных атак и реагирования на
компьютерные инциденты»
• Установка средств согласовывается субъектом с
НКЦКИ
• Установка, прием в эксплуатацию, эксплуатация
осуществляются субъектом КИИ или
привлекаемой по договору организацией

24. Технические средства ГосСОПКА
• Средства обнаружения, предупреждения
и ликвидации последствий компьютерных
атак и реагирования на КИ обеспечивают
следующие задачи:
Средства обнаружения атак
Средства предупреждения атак
Средства ликвидации последствий атак и реагирования
на компьютерные инциденты
Средства поиска признаков атак
Средства обмена информацией, необходимой субъектам
КИИ при обнаружении, предупреждении и (или)
ликвидации последствий компьютерных атак
Средства криптографической защиты такой информации
Одно или несколько средств

25. Следствие №4
• С одной стороны вы обязаны
защищать значимые объекты КИИ
по требованиям ФСТЭК, а с другой
вам надо получать согласие ФСБ на
установку средств мониторинга
• Вы готовы к согласованию установки
SIEM, IDS, IRP, сканеров
безопасности и других техсредств
ГосСОПКИ?
☝

26. Требования к техническим средствам
ГосСОПКА
• Отсутствие принудительного обновления ПО и
управления с территории иностранного государства
• Отсутствие возможности несанкционированной
передачи информации, включая технологическую, в
том числе их разработчику (производителю)
• Возможность осуществления их модернизации
силами российских организаций без участия
иностранных организаций и организаций с
иностранными инвестициями
• Обеспечение гарантийной и технической поддержкой
российскими организациями без участия
иностранных организаций и организаций с
иностранными инвестициями
• Отсутствие недекларированных возможностей в ПО

27. Следствие №5
• Фактический запрет на
использование иностранных
решений в качестве техсредств
ГосСОПКИ
• Возможно ли использование open
source компонентов, которые
поддерживаются и модернизируются
иностранными специалистами???
☝

28. Требования к средствам в части
обнаружения атак
• Сбор и первичная обработка информации,
поступающей от источников событий
информационной безопасности
• Автоматический анализ событий ИБ и
выявление компьютерных инцидентов
(компьютерных атак)
• Ретроспективный анализ данных и выявление не
обнаруженных ранее компьютерных инцидентов
SIEM???

29. Требования к средствам в части
предупреждения атак
• Сбор и обработка сведений об инфраструктуре
контролируемых информационных ресурсов и
справочной информации
• Сбор и обработка сведений об уязвимостях и
недостатках в настройке ПО, используемого на
объектах контролируемых информационных
ресурсов
• Учет угроз безопасности информации
Сканеры уязвимостей и анализаторы векторов атак???

30. Требования к средствам в части
ликвидации последствий атак
• Учет и обработка компьютерных инцидентов
• Управление процессами реагирования на
компьютерные инциденты и ликвидации
последствий компьютерных атак
• Обеспечение взаимодействия с НКЦКИ
• Информационно-аналитическое сопровождение
IRP???

31. Следствие №6
• Фактический запрет на
использование ArcSight, QRadar,
Splunk, Resilient…☝

32. Обратите внимание!
• Многие техсредства
ГосСОПКИ до боли
напоминают
продуктовый ряд
Positive Technologies
• Это, наверное,
случайно :-)

33. Системы обнаружения… чего?
СОА СОВ
Системы
обнаружения
атак
Системы
обнаружения
вторжений

34. Следствие №7
• Можно ли применять системы
обнаружения вторжений на объектах
КИИ, если они трактуются как
техсредства ГосСОПКИ и должны
соответствовать требованиям ФСБ?
• Фактический запрет на все зарубежные
IDS/IPS
• Под вопросом остаются отечественные
IDS, использующие зарубежные
сигнатуры (обновление из-за рубежа) и
«зарубежные» компоненты open source
☝

35. Порядок реагирования на инциденты
• Информировать надо обо всех инцидентах на
всех объектах КИИ (а не только на значимых)
• Субъект осуществляет реагирование на
инциденты в соответствие с разработанным
планом
Для значимых объектов - обязательно
• Может понадобиться согласование с 8-м
Центром ФСБ регламента взаимодействия с
подразделениями ФСБ для реагирования на
инциденты
В каких случаях нужно взаимодействие с ФСБ непонятно

36. Стоит ли ждать методичек от ФСБ или…
Кто выпустил? Что выпущено? Тема
ISO 27041 Forensics
ISO 27042 Forensics
ISO 27043 Расследование инцидентов
ISO 27035 Управление инцидентами и реагирование
ISO 27037 Сбор доказательств
ISO 30121 Управление рисками в форензике
OASIS TC - Threat Intelligence Обмен информацией об инцидентах
IETF RFC2350 Реагирование на инциденты
IETF RFC3227 Сбор доказательств
IETF RFC5070 Обмен информацией об инцидентах
MITRE SOC Ten Strategies Лучшие практики по SOC
NIST SP-800 Реагирование на инциденты
ЦБ СТО 1.3 Forensics и сбор доказательств
ЦБ РС 2.5 Управление инцидентами и реагирование
ЦБ СТО 1.5 Обмен информацией об инцидентах

37. Следствие №8
• Управление инцидентами, захват
данных, автоматическое реагирование,
обмен информацией – все эти темы
вряд ли будут оперативно охвачены
ФСБ в своих методических документах
• Не ждите методичек ФСБ -
используйте международные
стандарты и документы ЦБ
☝

38. Что у вас
есть?
Чего вам не
хватает?
Что вам
понадобится?
Идентифицируйте имеющиеся у вас
средства защиты, а также проведите
инвентаризацию защищаемых объектов
КИИ и их ценности для вас
Плана реагирования на инциденты
Методики оценки последствий от инцидентов
Оценки применимости отечественных
решений по ИБ (техсредства ГосСОПКИ)
Провести киберучения по готовности
персонала реагировать на инциденты.
Разработать обработчики для стандартов
обмена информацией об инцидентах.
Внедрить технические средства
ГосСОПКА. Пересмотреть архитектуру ИБ
Что сделать после ITSF?

39. Спасибо!
alukatsk@cisco.com