Версия для печати

ГосСОПКА: то, о чем обычно молчат

Задачи операционной безопасности объектов КИИ в рамках функционирования центров ГосСОПКА: то, что забывают сказать
Дрюков Владимир

С начала 2018 года вступает в силу федеральный закон № 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации»). В нем одной из задач системы безопасности критической информационной инфраструктуры (КИИ) помимо обеспечения собственной безопасности заявлено непрерывное взаимодействие объектов КИИ, таких как здравоохранение, наука, транспорт, атомная промышленность, энергетика и другие, с ГосСОПКА.

Причем мероприятия по мониторингу штатного функционирования ИТ-ресурсов, автоматизированных систем управления и телекоммуникационного оборудования, а также выявлению и прогнозированию угроз информационной безопасности должны проводиться в непрерывном режиме. Для решения в том числе задачи непрерывности при ограниченных кадровых ресурсах существует возможность вовлечения коммерческих организаций, которые осуществляют лицензируемую деятельность в сфере защиты информации.

 
ГосСОПКА


Общее описание структуры


Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак является территориально распределенной совокупностью центров (сил и средств), организованной по ведомственному и территориальному принципам. Один из них – Национальный координационный центр по компьютерным инцидентам. 


Созданию такой системы послужили следующие нормативные акты: 


– Указ президента РФ от 15 января 2013 года № 31с;
– Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации (утверждены президентом РФ 3 февраля 2012 года, № 803); 
– Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (№ К 1274 от 12 декабря 2014 года);
– Федеральный закон № 187-ФЗ от 26.07.2017 «О безопасности критической информационной инфраструктуры Российской Федерации»;
– Методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА от Центра защиты информации и специальной связи Федеральной службы безопасности.

         Рисунок 1. Иерархия взаимодействия центров ГосСОПКА 


Стадии создания 


Глобально в направлении безопасности КИИ можно выделить несколько стадий создания сегмента ГосСОПКА в организации:


– определение зоны ответственности, текущего состава и состояния защищаемых инфраструктур и «модели угроз»;
– запуск или адаптация инструментов, требуемых для обеспечения функций центра;
– обеспечение выполнения процессов ГосСОПКА;
– формирование и поддержание в актуальном состоянии детализированной информации об информационных ресурсах, находящихся в зоне ответственности ведомственного центра; 
– сбор и анализ информации о компьютерных атаках и вызванных ими компьютерных инцидентах; 
– проведение мероприятий по оперативному реагированию на компьютерные атаки и вызванные ими компьютерные инциденты, а также по ликвидации их последствий в информационных ресурсах; 
– принятие управляющих решений по обеспечению информационной безопасности информационных ресурсов; 
– выявление, сбор и анализ сведений об уязвимостях, а также проведение мероприятий по оценке защищенности от компьютерных атак и вирусных заражений информационных ресурсов; 
– информирование заинтересованных лиц и субъектов ГосСОПКА по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак; 
– обеспечение защиты данных, передаваемых между ведомственным центром и Главным центром по каналам, защищенным с использованием сертифицированных ФСБ России средств защиты информации; 
– предоставление дополнительной информации о компьютерных инцидентах в информационно-телекоммуникационных сетях, находящихся в зоне ответственности ведомственного центра, по запросам Главного центра ГосСОПКА;
– обеспечение взаимодействия с вышестоящим центром ГосСОПКА по вопросам состояния защищенности и возникающим инцидентам.

Рисунок 2. Структура и основные направления деятельности ГосСОПКА


Важную роль в обеспечении безопасности выполняют ведомственные центры, в функции которых помимо обеспечения безопасности в зоне ответственности входит агрегация информации о защищенности и происходящих инцидентах у всех подведомственных организаций. В их задачи также входят проведение аналитики на основании полученных данных, выявление общих трендов или актуальных векторов и передача информации о них в нижестоящие центры.


В итоге получаемая информация о видах вредоносного ПО и используемых сценариях атаки позволяет ГосСОПКА как «информационному хабу» проводить аналитику актуальности векторов для других подключенных организаций и в режиме информационного взаимодействия формировать адресный сигнал субъектам критической
информационной инфраструктуры для организации превентивной защиты. 


Задачи


Определение зоны ответственности и состояния защищенности


Стартовые задачи создания сегмента очень похожи на классические работы по любому проекту информационной безопасности:


– определение перечня информационных систем и инфраструктур, которые требуют защиты (инвентаризация), отдельно – доступных из сети Интернет;
– определение модели угроз (компьютерных инцидентов, от которых мы планируем защищаться и на которые планируем реагировать);
– определение фактических возможностей текущей инфраструктуры реализовать защиту от указанных в модели угроз инцидентов;
– определение инструментов и ресурсной (кадровой) базы, которая потребуется для реализации защиты. 
Несмотря на кажущуюся простоту, даже первая часть задачи – «нарисовать периметр» – зачастую становится крайне сложной. Потенциальные сегменты ГосСОПКА порой представляют собой территориально распределенные, сложные комплексные инфраструктуры, и понять, какие именно каналы выхода в Интернет имеются, какие сервисы за годы существования компании оказались на периметре, с какой целью и зачем – достаточно трудоемкая, комплексная задача.


При построении прототипа важно учитывать, какие задачи необходимо будет решать центру на ежедневной основе. Их можно разделить на четыре больших блока по функционалу.


1. Управление инцидентами ИБ:
a. анализ событий безопасности;
b. обнаружение компьютерных атак;
c. регистрация инцидентов;
d. реагирование на инциденты и ликвидация последствий;
e. установление причин инцидентов;
f. анализ результатов устранения последствий инцидентов.


2. Анализ защищенности инфраструктуры:
a. инвентаризация ресурсов;
b. анализ угроз информационной безопасности.


3. Работа с персоналом:
a. повышение квалификации персонала;
b. прием сообщений о возможных инцидентах от персонала.


4. Информационное взаимодействие с вышестоящим центром.


Стоит отметить, что с точки зрения и инцидентов, и анализов защищенности требования к центру ГосСОПКА в первую очередь фокусируются на злоумышленнике внешнем, то есть хакере/киберпреступнике. Это видно в том числе из наиболее обозначенных категорий инцидентов: DDoS, ВПО, уязвимости, сканирования и брутфорсы, несанкционированный доступ. Это при всей сложности и изощренности текущих кибератак позволяет точнее определить приоритеты и инструментарий.


Инструментарий центра ГосСОПКА


Для того, чтобы реализовать достаточный уровень защищенности и продуктивное взаимодействие с ГосСОПКА, необходимо подготовить платформу как в организационном, так и техническом плане. Если опереться на задачи и типы инцидентов, описанные параграфом выше, то инструментарий кажется вполне прозрачным:


– активные средства защиты, направленные на противодействие преодолению периметра и антивирусную защиту хостов;
– система обнаружения атак, нацеленная на фиксацию попыток эксплуатации уязвимостей;
– система защиты от DDoS;
– сканер уязвимостей;
– система сбора и корреляции событий (SIEM) для фиксации сканирований, брутфорсов и фактов несанкционированного доступа;
– система service desk и информационного взаимодействия для замкнутого управления циклом инцидентов и передачи информации в вышестоящий центр ГосСОПКА.


Но так кажется лишь на первый взгляд. С одной стороны, при небольших объемах инфраструктуры указанные типы инцидентов можно фиксировать и без SIEM. С другой – термин «уязвимость» трактуется достаточно широко, в том числе, в текущих документах. Если возможный вектор атаки может быть реализован с помощью уязвимости веб-приложения, опубликованного в Интернете, то очевидно, что система обнаружения атак не поможет нам ее зафиксировать и прореагировать. В данном случае возможен подход к выявлению и закрытию уязвимостей путем запуска процесса контроля уязвимостей программного кода или использования наложенных средств защиты, например, Web Application Firewall. Поэтому данный вопрос на текущий момент является точкой нежесткого регулирования и требует здравого смысла и практического подхода к собственной защищенности от специалистов по информационной безопасности конкретного центра.


Кадровые вопросы центра и требования к квалификации


Остается нераскрытым достаточно важный вопрос: каким образом должны эксплуатироваться данные средства защиты, чтобы эффективно обеспечивать безопасность КИИ и реализацию описанных
выше процессов. Достаточно легко можно увидеть, что перечисленные задачи и работы требуют существенного штата и квалификации сотрудников для эксплуатации. Ниже приводится пример подхода к ресурсному планированию центра. 

 

Роль

Функции

Количество

Специалист по обнаружению компьютерных атак и инцидентов 

Анализ событий безопасности, регистрация инцидентов 

6

Специалист по обслуживанию технических средств SOC

Обеспечение функционирования технических средств, размещаемых в SOC, а также дополнительных средств защиты информационных систем 

6

Специалист по оценке защищенности 

Проведение инвентаризации информационных ресурсов, анализ выявленных уязвимостей и угроз, установление соответствия требований по информационной безопасности принимаемым мерам 

2

Специалист по ликвидации последствий компьютерных инцидентов 

Координация действий при реагировании на компьютерные атаки 

2

Специалист по установлению причин компьютерных инцидентов 

Установление причин инцидентов, анализ последствий инцидентов 

2

Аналитик-методист 

Анализ информации, предоставляемой специалистами первой и второй линий; разработка нормативных документов и методических рекомендаций

2

Технический эксперт 

Экспертная поддержка в соответствии со специализацией (вредоносное программное обеспечение, настройка средств защиты, применение специализированных технических средств, оценка защищенности и т. п.) 

2

Юрист 

Нормативно-правовое сопровождение деятельности SOC

1

Руководитель 

Управление деятельностью SOC

1

 

Две оговорки:
– данная таблица характеризует области ответственности, задачи и функции персонала, а не отдельные выделенные роли. Поэтому неверно складывать цифры в правом столбце: аналитик-методист вполне может выполнять задачи по оценке защищенности или являться по совместительству руководителем центра (хотя это и нарушает некоторую логику разделения полномочий);
– количественные оценки специалистов по каждой области не являются частью документов, а описывают мнение автора статьи. В действительности, для обеспечения мониторинга и реагирования на инциденты в круглосуточном режиме (внешние атаки не ограничиваются режимом 8*5) так или иначе требуется запуск дежурной смены, численность которой не может быть менее шести человек. В то же время кадровая устойчивость центра требует резервирования компетенций: хотя бы два человека должны обладать знаниями по оценке защищенности, анализу инцидентов и т. д.


Тем не менее, из приведенной таблицы видно, что экспертизы требуются самые разнообразные: как специалистов по анализу журналов и атак в SIEM-системе, так и команды реагирования, готовой провести блокировку на активных средствах защиты, и разработчиков новых сценариев... Так или иначе кадровая конструкция центра ГосСОПКА возникает достаточно массивной и вряд ли может состоять менее чем из десяти человек. 


Естественно, не остаются вне документов и указанных функций центра ГосСОПКА и процессные части обеспечения безопасности. Определяются регламенты выявления. Должны существовать профили или flight guide по реагированию на инциденты, процессы анализа эффективности работ, в том числе, по устранению инцидентов. Надо заниматься прогнозированием новых угроз. Все это приводит нас к мысли, что работы, функции и задачи центра ГосСОПКА по основным пунктам совпадают с целями и задачами Security Operations Center и их функционалу. Что приближает решение данной задачи к актуальному на текущий момент для многих компаний направлению – запуску функций SOC в своей инфраструктуре. 


В заключение следует отметить достаточно непривычную на текущем этапе регламентирования структуру тематики ГосСОПКА. В отличие от большинства российских регулирующих документов закон в первую очередь ссылается не на инструментарий и регламентно-распорядительную базу, а на наличие процессов обеспечения безопасности в организации. Такой подход автоматически создает очень существенные требования к общему уровню безопасности и кадровому обеспечению центра ГосСОПКА, поскольку без людей процессов не существует. Ответом на данный вызов в общем кадровом голоде и нехватке специалистов по кибербезопасности действительно может стать сервисный подход с привлечением аккредитованных коммерческих центров мониторинга и реагирования на инциденты к решению трудоемких и насыщенных экспертизой задач по обеспечению безопасности КИИ.
 

 

 

 

 

 

Вниманию читателей «ВПК»
Стригунов Константин
  • Past:
  • 3 дня
  • Неделя
  • Месяц