SlideShare a Scribd company logo

пр Обзор Методических рекомендаций по ГосСОПКА

Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

Обзор методических рекомендаций по ГосСОПКА

Technology
1 of 60
Download to read offline
Обзор Методических рекомендаций ФСБ России по созданию ГосСОПКА Подготовил Прозоров Андрей, CISM, руководитель экспертного направления Solar Security Октябрь 2017
Содержание 1. Нормативное обеспечение 2. Общие положения 3. Методические рекомендации 4. Процессы, люди, технологии 5. Взаимодействие и обмен информацией 6. Итого
1. Нормативное обеспечение
Доктрина ИБ (2016) 23. Основными направлениями обеспечения информационной безопасности в области государственной и общественной безопасности являются: • ... • в) повышение защищенности критической информационной инфраструктуры и устойчивости ее функционирования, развитие механизмов обнаружения и предупреждения информационных угроз и ликвидации последствий их проявления, повышение защищенности граждан и территорий от последствий чрезвычайных ситуаций, вызванных информационно-техническим воздействием на объекты критической информационной инфраструктуры; • г) повышение безопасности функционирования объектов информационной инфраструктуры, в том числе в целях обеспечения устойчивого взаимодействия государственных органов, недопущения иностранного контроля за функционированием таких объектов, обеспечение целостности, устойчивости функционирования и безопасности единой сети электросвязи Российской Федерации, а также обеспечение безопасности информации, передаваемой по ней и обрабатываемой в информационных системах на территории Российской Федерации;
Стратегия развития ИТ Указ Президента Российской Федерации от 09.05.2017 № 203 "О Стратегии развития информационного общества в Российской Федерации на 2017 - 2030 годы» 29. Для устойчивого функционирования информационной инфраструктурыРоссийской Федерации необходимо: … е) обеспечить комплексную защиту информационной инфраструктуры Российской Федерации, в том числе с использованием государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы и системы критической информационной инфраструктуры ж) проводить непрерывный мониторинг и анализ угроз, возникающих в связи с внедрением новых информационных технологий, для своевременногореагированияна них
Закон о безопасности КИИ Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации» Ст.5 «Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации представляет собой единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.» + общая информация про силы и средства, а также ответственные стороны
Ранние нормативные документы • Указ Президента РФ от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» • «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации» (утв. Президентом РФ 03.02.2012 № 803) • «Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» (утв. Президентом РФ 12.12.2014 № К 1274)
Если кратко Указ : • Определяет основные задачи ГосСОПКА • Возлагает на ФСБ России полномочия по созданию ГосСОПКА и конкретизирует их Концепция: • Определяет Назначение, функции, принципы создания и функционирования ГосСОПКА • Определяет организационные основы ГосСОПКА (структуру центров) • Определяет нормативно-правовое, научно-техническое, информационно-аналитическое, кадровое и организационно- штатное обеспечение создания и функционирования ГосСОПКА
2. Общие положения
Термин ГосСОПКА Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) — единый централизованный, территориально распределенный комплекс, включающий силы и средства обнаружения, предупреждения и ликвидации последствий компьютерных атак и федеральный орган исполнительной власти, уполномоченный в области создания и обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
Назначение ГосСОПКА «Основным назначением Системы является обеспечение защищенности информационных ресурсов Российской Федерации от компьютерных атак и штатного функционирования данных ресурсов в условиях возникновения компьютерных инцидентов, вызванных компьютерными атаками.»
Функции ГосСОПКА а) выявление признаков проведения компьютерных атак, определение их источников, методов, способов и средств осуществления и направленности, а также разработка методов и средств обнаружения, предупреждения и ликвидации последствий компьютерных атак; б) формирование и поддержание в актуальном состоянии детализированной информации об информационных ресурсах Российской Федерации, находящихся в зонеответственности субъектов Системы; в) прогнозирование ситуации в области обеспечения информационной безопасности Российской Федерации, включая выявленные и прогнозируемыеугрозы и их оценку; г) организация и осуществление взаимодействия с правоохранительными органами и другими государственными органами, владельцами информационных ресурсов Российской Федерации, операторами связи, интернет-провайдерами и иными заинтересованными организациями на национальном и международном уровнях в области обнаружения компьютерных атак и установления их источников, включая обмен информацией о выявленных компьютерных атаках и вызванных ими компьютерных инцидентах, а также обмен опытом в сфере выявления и устранения уязвимостей программного обеспечения и оборудования и реагирования на компьютерные инциденты; д) организация и проведение научных исследований в сфере разработки и применения средств и методов обнаружения, предупреждения и ликвидации последствий компьютерных атак; е) осуществление мероприятий по обеспечению подготовки и повышения квалификации кадров, требующихся для создания и функционирования Системы; ж) сбор и анализ информации о компьютерных атаках и вызванных ими компьютерных инцидентах в отношении информационных ресурсов Российской Федерации, а также о компьютерных инцидентах в информационных системах и информационно-телекоммуникационных сетях других стран, с которыми взаимодействуют владельцы информационных ресурсов Российской Федерации; з) осуществление мероприятий по оперативному реагированию на компьютерные атаки и вызванные ими компьютерные инциденты, а также по ликвидации последствий данных компьютерных инцидентов в информационных ресурсах Российской Федерации; и) выявление, сбор и анализ сведений об уязвимостях программного обеспечения и оборудования; к) мониторинг степени защищенности информационных систем и информационно-телекоммуникационных сетей на всех этапах создания, функционирования и модернизации информационных ресурсов Российской Федерации, а также разработка методических рекомендаций по организации защиты информационных ресурсов Российской Федерации от компьютерных атак; м) организация и осуществление антивирусной защиты; н) совершенствование оперативно-тактического взаимодействия сил и средств обнаружения, предупреждения и ликвидации последствий компьютерных атак.
Структура центров по Концепции
Термины про центры ГосСОПКА • 26. Главный центр ГосСОПКА – наивысшая структура в иерархии ГосСОПКА, осуществляющая нормативное и методическое сопровождение ГосСОПКА. • 27. Головной центр ГосСОПКА – наивысшая структура в иерархии центров, объединенных по ведомственному или организационному признакам. • 28. Подчиненный центр ГосСОПКА – центр ГосСОПКА, имеющий структурное подчинение головному центру ГосСОПКА. «Для решения задач ГосСОПКА заключается соглашение между главным и головным центрами ГосСОПКА.»
Центры ГосСОПКА • Ведомственные сегменты (центры) ГосСОПКА создаются органами государственной власти, а также организациями, осуществляющими лицензируемую деятельность в области защиты информации, действующими в интересах органов государственной власти. • Корпоративные сегменты (центры) ГосСОПКА создаются государственными корпорациями, операторами связи и иными организациями, осуществляющими лицензируемую деятельность в области защиты информации, в собственных интересах, а также для оказания услуг по предупреждению, обнаружению и ликвидации последствий компьютерныхатак. • Корпоративный сегмент ГосСОПКА может исполнять свои функции в отношении информационных ресурсов органов государственной власти на основании договоров, заключаемых с владельцами указанных информационных ресурсов и (или) с операторами соответствующих государственных информационных систем.
Задачи центров ГосСОПКА • а) обнаружение, предупреждение и ликвидация последствий компьютерных атак, направленных на контролируемые информационные ресурсы; • б) проведение мероприятий по оценке степени защищенности контролируемых информационных ресурсов; • в) проведение мероприятий по установлению причин компьютерных инцидентов, вызванных компьютерными атаками на контролируемые информационные ресурсы; • г) сбор и анализ данных о состоянии информационной безопасности в контролируемых информационных ресурсах; • д) осуществление взаимодействиямеждуцентрами; • е) информирование заинтересованных лиц и субъектов Системы по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак. • + из рекомендаций: ж) формирование и поддержание в актуальном состоянии информации о контролируемых информационных ресурсах.
3. Методические рекомендации
Метод.рекомендации по созданию ГосСОПКА Будут и еще документы…
Назначение документа Настоящие методические рекомендации описывают назначение, функции и принципы создания структурных элементов ГосСОПКА в части, касающейся деятельности ведомственных и корпоративных центров ГосСОПКА. Документ детализирует порядок создания центров ГосСОПКА, их функции, а также технические и организационные меры защиты информации, применяемые в ходе реализации этих функций.
Для кого рекомендации? • Для органов государственной власти, принявших решение о создании ведомственных центров ГосСОПКА • Для государственных корпораций, операторов связи и других организаций, осуществляющих лицензируемую деятельность в области защиты информации и принявших решение о создании корпоративных центров ГосСОПКА
Базовые термины • 1. Информационные ресурсы РФ — любая информация, зарегистрированная тем или иным образом на объекте информатизации (в информационной системе, в информационно- телекоммуникационной сети), находящемся на территории РФ и в дипломатических представительствах и консульских учреждениях РФ за рубежом. • 3. Компьютерный инцидент — факт нарушения или прекращения функционирования объекта информационной инфраструктуры Российской Федерации и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе вызванный компьютерной атакой. • 15. Угроза (безопасности информации) — совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. • 17. Событие безопасности — идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности. • 18. Корреляция событий ИБ — взаимосвязь двух или более событий безопасности.
Термины про атаки • 2. Компьютерная атака — целенаправленное воздействие программными (программно-техническими) средствами на информационные системы, информационно-телекоммуникационные сети, средства связи и автоматизированные системы управления технологическими процессами, осуществляемое в целях нарушения (прекращения) их функционирования и (или) нарушения безопасности обрабатываемой ими информации. • 9. Обнаружение компьютерных атак — комплекс мероприятий по мониторингу и анализу функционирования информационных ресурсов с целью обнаружения компьютерных атак и компьютерных инцидентов. • 10. Предупреждение компьютерных атак — комплекс превентивных мероприятий, направленных на снижение количества компьютерных инцидентов и повышение уровня защищенности информационных ресурсов. • 11. Контроль (мониторинг) уровня (степени) защищенности информации (в информационной системе) — анализ и оценка функционирования системы защиты информации информационной системы, изменения угроз безопасности информации, защищенности информации, содержащейся в информационной системе. • 12. Ликвидация последствий компьютерных атак — комплекс мероприятий по восстановлению штатного режима функционирования информационных ресурсов после компьютерных инцидентов.
Меры защиты информации и ГосСОПКА 2.2.2. В отношении информационных ресурсов, находящихся в зоне ответственности сегмента ГосСОПКА, реализуются меры защиты информации... К мерам защиты информации, используемым при реализации ГосСОПКА относятся: • а) анализ угроз безопасности информации и рисков их реализации; • б) контроль (анализ) защищенности информации; • в) управление конфигурацией средств защиты; • г) регистрация и анализ событий безопасности; • д) выявление инцидентов и реагирование на них; • е) обеспечение действий в нештатных ситуациях; • ж) информирование и обучение персонала.
Функции ГосСОПКА • Инвентаризация информационных ресурсов • Выявление уязвимостей информационных ресурсов • Анализ угроз информационной безопасности • Повышение квалификации персонала информационных ресурсов • Прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов • Обеспечение процесса обнаружения компьютерных атак • Анализ данных о событиях безопасности • Регистрация инцидентов • Реагирование на инциденты и ликвидация их последствий • Установление причин инцидентов • Анализ результатов устранения последствий инцидентов
Сбор сведений (инвентаризация) • а) ФИО, должности и контактные данные лиц, ответственных за функционирование информационного ресурса; • б) доменные имена и сетевые адреса компонентов информационного ресурса (средств вычислительной техники, телекоммуникационного оборудования, виртуальных машин и т. п.) в соответствии с системой имен и сетевой адресацией информационного ресурса; • в) доменные имена и сетевые адреса компонентов информационного ресурса, доступные из сети Интернет, в соответствии с системой имен и сетевой адресацией сети Интернет, а также сведения о протоколах (включая параметры транспортного уровня взаимодействия), по которым разрешен доступ к этим компонентам. • г) сведения о сегментации и топологии локальных вычислительных сетей, правилах маршрутизации и коммутации, настройках средств межсетевого экранирования; • д) перечень программного обеспечения (прикладного и системного), установленного на каждом средстве вычислительной техники; • е) параметры настройки программного и аппаратного обеспечения информационного ресурса, существенные с точки зрения обеспечения безопасности информации; • ж) параметры настройки средств обеспечения информационной безопасности.
Способы выявления уязвимостей • а) выявление известных уязвимостей сетевых служб, доступных для сетевого взаимодействия, с применением автоматизированных средств анализа защищенности (сетевое сканирование); • б) выявление известных уязвимостей программного обеспечения информационных ресурсов путем анализа состава установленного программного обеспечения и обновлений безопасности с применением автоматизированных средств анализа защищенности (системное сканирование, исследование с использованием привилегированных учетных записей и (или) программных агентов), а также других средств защиты информации; • в) тестирование на проникновение в условиях, соответствующих условиям нарушителя, действующего со стороны сети Интернет и (или) со стороны информационных ресурсов, внешних по отношению к зоне ответственности сегмента ГосСОПКА; • г) тестирование на проникновение в условиях, соответствующих условиям нарушителя, действующего со стороны информационных ресурсов, входящих в зону ответственности сегмента ГосСОПКА; • д) тестирование устойчивости к атакам типа «отказ в обслуживании»; • е) контрольустранения ранее выявленных уязвимостей и недостатков; • ж) контроль выполнения требований безопасности информации, предъявляемых к контролируемой информационной системе; • з) анализ настроек программного и аппаратного обеспечения информационных систем, а также средств защиты информации; • и) анализ проектной, конструкторской и эксплуатационной документации информационных систем; • к) оценка соответствия применяемых мер защиты требованиям безопасности информации, предъявляемым к информационным ресурсам нормативными документами Российской Федерации и владельцев информационных ресурсов.
Анализ угроз по результатам инвентаризации и выявления уязвимостей Уточняютсяметодическиедокументы: • а) описания компьютерных атак, актуальных для информационных ресурсов, находящихся в зоне ответственности сегмента ГосСОПКА; • б) методические рекомендации по предупреждению, обнаружению и ликвидации последствий компьютерных атак; • в) решающие правила средств обнаружения компьютерных атак; • г) настройки средств обеспечения информационной безопасности; • д) политики обеспечения информационной безопасности; • е) нормативные правовые акты организации; • ж) дополнительные требования по обеспечению информационной безопасности для их включения в технические задания на создание новых, доработку и обслуживание существующих информационных ресурсов; • з) правила корреляции событий, направленные на определение попыток реализации угроз, связанных с проведением компьютерных атак; • и) инструкции для персонала информационных ресурсов по выявлению признаков проведения типовых компьютерных атак, порядку их обнаружения, действиямпо ликвидации ихпоследствий; • к) инструкции по действиям пользователей информационных ресурсов в случае возникновения инцидентов, связанных с компьютерными атаками; • л) требования к квалификации персонала и пользователей, необходимой для выполнения указанных выше инструкций.
Повышение квалификации персонала Повышение квалификации: • Ознакомление с методическими рекомендациями и инструкциями • Периодическая оценка готовности персонала к действиям по обнаружению, предупреждению и ликвидации последствий компьютерных атак • Проведения дополнительного обучения персонала • Рассылка дополнительных информационных материалов Оценка готовности персонала проводится: • а) путем периодической аттестации персонала в соответствии с трудовым законодательством • б) практической отработки действий персонала при имитации проведения компьютерных атак на информационные ресурсы
Управление инцидентами • Прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов • Обеспечение процесса обнаружения компьютерных атак • Анализ данных о событиях безопасности • Регистрация инцидентов • Реагирование на инциденты и ликвидация их последствий • Установление причин инцидентов • Анализ результатов устранения последствий инцидентов
Про безопасность SOC (да, только это) 6. Рекомендации по обеспечению безопасности информации сегмента ГосСОПКА 6.1. Безопасность информации, обрабатываемой техническими средствами сегмента ГосСОПКА, обеспечивается персоналом сегмента ГосСОПКА на всех стадиях (этапах) ее создания и в ходе эксплуатации. 6.2. Безопасность информации обеспечивается путем принятия организационных и технических (программно-технических) мер по защите информации в рамках системы защиты информации сегмента ГосСОПКА. 6.3. Система и средства защиты информации сегмента ГосСОПКА, а также программно-технические средства автоматизации взаимодействия должны соответствовать требованиям действующего законодательства Российской Федерации.
4. Процессы, люди, технологии
Процессы Люди Технологии
Базовые процессы 1. Инвентаризация информационных ресурсов 2. Выявление уязвимостей информационных ресурсов 3. Анализ угроз информационной безопасности 4. Повышение квалификации персонала информационных ресурсов 5. Управление инцидентами 6. Взаимодействие с ГЦ ГосСОПКА
Периодичность 1 № Функции Периодичность 1. Инвентаризация информационных ресурсов не реже одного раза в квартал Выявление уязвимостей 2. Выявление известных уязвимостей сетевых служб, доступных для сетевого взаимодействия, с применением автоматизированных средств анализа защищенности (сетевое сканирование) не реже одного раза в месяц 3. Выявление известных уязвимостей программного обеспечения информационных ресурсов путем анализа состава установленного программного обеспечения и обновлений безопасности с применением автоматизированных средств анализа защищенности (системное сканирование, исследование с использованием привилегированных учетных записей и (или) программных агентов), а также других средств защиты информации не реже одного раза в месяц 4. Тестирование на проникновение в условиях, соответствующих условиям нарушителя, действующего со стороны сети Интернет и (или) со стороны информационных ресурсов, внешних по отношению к зоне ответственности сегмента ГосСОПКА не реже одного раза в год 5. Тестирование на проникновение в условиях, соответствующих условиям нарушителя, действующего со стороны информационных ресурсов, входящих в зону ответственности сегмента ГосСОПКА не реже одного раза в год 6. Тестирование устойчивости к атакам типа «отказ в обслуживании» не реже одного раза в год
№ Функции Периодичность 7. Контроль устранения ранее выявленных уязвимостей и недостатков не реже одного раза в квартал 8. Контроль выполнения требований безопасности информации, предъявляемых к контролируемой информационной системе не реже одного раза в месяц 9. Анализ настроек программного и аппаратного обеспечения информационных систем, а также средств защиты информации не реже одного раза в месяц 10. Анализ проектной, конструкторской и эксплуатационной документации информационных систем перед вводом информационного ресурса в эксплуатацию и при каждом существенном изменении состава программных или аппаратных средств 11. Оценка соответствия применяемых мер защиты требованиям безопасности информации, предъявляемым к информационным ресурсам нормативными документами Российской Федерации и владельцев информационных ресурсов не реже одного раза в два года 12. Статический и динамический анализ исходного кода программного обеспечения информационных ресурсов (для программного обеспечения, поставляемого с исходными кодами) перед вводом информационного ресурса в эксплуатацию и при каждом изменении программного обеспечения, поставляемого с исходным кодом Периодичность 2
Роль Функции Специалисты первой линии Специалист по взаимодействию с персоналом и пользователями Прием сообщений персонала информационных ресурсов, взаимодействие с главным центром ГосСОПКА Специалист по обнаружению компьютерных атак и инцидентов Анализ событий безопасности, регистрация инцидентов Специалист по обслуживанию технических средств сегмента ГосСОПКА Обеспечение функционирования технических средств, размещаемых в центре ГосСОПКА, а также дополнительных средств защиты информационных систем Специалисты второй линии Специалист по оценке защищенности Проведение инвентаризации информационных ресурсов, анализ выявленных уязвимостей и угроз, установление соответствия требований по информационной безопасности принимаемым мерам Специалист по ликвидации последствий компьютерных инцидентов Координация действий при реагировании на компьютерные атаки Специалист по установлению причин компьютерных инцидентов Установление причин инцидентов, анализ последствий инцидентов Специалисты третьей линии Аналитик-методист Анализ информации, предоставляемой специалистами первой и второй линий; разработка нормативных документов и методических рекомендаций по выполнению функций сегмента ГосСОПКА; разработка рекомендаций по доработке нормативных и методических документов по вопросам информационной безопасности Технический эксперт Экспертная поддержка в соответствии со специализацией (вредоносное программное обеспечение, настройка средств защиты, применение специализированных технических средств, оценка защищенности и т. п.) Юрист Нормативно-правовое сопровождение деятельности сегмента ГосСОПКА Руководитель Управление деятельностью сегмента ГосСОПКА
Свой персонал или аутсорсинг 7.3.3. Деятельность центра ГосСОПКА может обеспечиваться: • а) путем назначения соответствующих ролей работникам структурных подразделений организации; • б) путем заключения договоров на выполнение сторонними организациями, осуществляющими лицензируемую деятельность в области защиты информации, соответствующих функций центра ГосСОПКА.
Технические средства 4.1. Функции сегмента ГосСОПКА могут быть выполнены с использованием следующих технических средств: • а) средства взаимодействия персонала; • б) средства взаимодействия с главным центром ГосСОПКА; • в) средства инвентаризации информационных систем; • г) средства выявления уязвимостей; • д) средства анализа событий безопасности; • е) средства учета и обработки инцидентов. При этом рекомендуется обеспечить интеграцию технических средств, указанных в пунктах в) – е).
Процессы Люди Технологии .Документы
Нормативное обеспечение 7.4.2.Минимальный комплект нормативной документации сегмента ГосСОПКА, необходимый для заключения соглашения о взаимодействии с ГосСОПКА, должен включать: • а) положение о сегменте ГосСОПКА; • б) штатное расписание сегмента ГосСОПКА; • в) должностные инструкции специалистов сегмента ГосСОПКА.
Методическое обеспечение 7.2.3. Основные положения организационно-методического обеспечения должны определять: • а)требования, выполнение которых необходимо для осуществления своевременного обнаружения, предупреждения и ликвидации последствий компьютерныхатак; • б) меры, обеспечивающие предотвращение и (или) снижение негативного влияния инцидентов на функционирование информационных ресурсов, находящихся в зоне ответственности сегмента ГосСОПКА; • в) порядок координации деятельности работников структурных подразделений сегмента ГосСОПКА в рамках процессов обнаружения, предупреждения и ликвидации последствий компьютерных атак; • г) порядок взаимодействия с Главным центром ГосСОПКА; • д) политику и регламенты выполнения структурными элементами сегмента ГосСОПКА их функций.
Методические документы… 2.4.2. Методические документы, формируемые сегментом ГосСОПКА, согласовываются с федеральным органом исполнительной власти, уполномоченным в области создания и функционирования ГосСОПКА. 2.4.3. При создании сегмента ГосСОПКА определяются основные типы компьютерных атак, предупреждение, обнаружение и ликвидация последствий которых обеспечиваются сегментом ГосСОПКА (далее — типовых компьютерных атак). Для указанных атак в ходе создания сегмента ГосСОПКА разрабатываются методические рекомендации, определяющие: • а) признаки, на основе которых производится обнаружение указанных атак и (или) регистрация инцидентов, связанных с их проведением (далее — индикаторы компрометации); • б) порядок действий персонала сегмента ГосСОПКА и информационных ресурсов, находящихся в зоне ответственности сегмента ГосСОПКА, при ликвидации последствий указанныхатак.
… и их совершенствование 2.4.4. При обнаружении и по итогам ликвидации последствий типовых компьютерных атак проводится оценка эффективности мер защиты информации, определяемых соответствующими методическими рекомендациями, и — при необходимости — доработка методов обнаружения и методических рекомендаций по их реализации. 2.4.5. По итогам ликвидации последствий инцидентов, вызванных компьютерными атаками, не относившихся к типовым на момент регистрации, проводится анализ способов проведения атаки, уязвимостей, использованных злоумышленником, а также, при необходимости, дополнительные исследования. На основе полученных результатов данный вид компьютерных атак включается в число типовых и для него также разрабатываются методические рекомендации.
5. Взаимодействие и обмен информацией
Общее про взаимодействие 2.4.6. В ходе взаимодействия сегментов ГосСОПКА с главным центром ГосСОПКА осуществляется обмен сведениями об инфраструктуре и компьютерных инцидентах, индикаторами компрометации и методическими рекомендациями по обнаружению, предупреждению и ликвидации последствий типовых компьютерных атак. 8.1.1. Взаимодействие сегмента ГосСОПКА и главного центра ГосСОПКА осуществляется на основании соглашения о взаимодействии и регламента взаимодействия. В данных документах определяются головные подразделения, выполняющие функции по взаимодействию, их обязанности, а также уточняются каналы связи и используемые криптографические средства защиты информации.
Каналы связи 8.1.3. Центр ГосСОПКА взаимодействует с главным центром ГосСОПКА посредством: • а) постоянного канала связи через сеть Интернет; • б) телефонной связи; • в) периодического документооборота через почту (фельдъегерскую службу). 8.1.4.В рамках обмена через сеть Интернет поддерживаются следующие способы взаимодействия: • а) обмен информацией через специализированные системы, такие как портал, или автоматизированный обмен данными автоматизированных подсистем и компонентов ГосСОПКА; • б) обмен информацией и получение доступа к справочной информации с использованием средств автоматизации взаимодействия; • в) переписка по электронной почте.
Про криптографию и гостайну 8.1.6.Все взаимодействие по сети Интернет осуществляется с использованием криптографических средств защиты информации, имеющих сертификаты ФСБ России. В рамках взаимодействия центра ГосСОПКА и главного центра ГосСОПКА посредством сети Интернет не допускается передача сведений, составляющих государственную тайну.
Формат данных об инцидентах При передаче информации о компьютерном инциденте в автоматическом режиме карточка инцидента передается в формате JSON или XML. Формат согласуется на этапе организации взаимодействия с каждым сегментом ГосСОПКА индивидуально.
ГЦ ГосСОПКА -> сегмент ГосСОПКА Главный центр ГосСОПКА направляет, а сегмент ГосСОПКА принимает и обрабатывает следующие типы информационных сообщений: • а) сведения об актуальных угрозах; • б) сведения об актуальных уязвимостях; • в) сведения о признаках компьютерных инцидентов на объектах в зоне деятельности сегмента ГосСОПКА; • г) сведения об индикаторах компрометации информационных ресурсов; • д) изменения и дополнения к методическим рекомендациям; • е) запросы на предоставление дополнительной информации по компьютерным инцидентам и другим событиям ИБ.
Возможность запросов 8.2.2. Главный центр ГосСОПКА должен иметь возможность направить запрос на предоставление детальной информации о защищенности информационных ресурсов, конкретном инциденте, признаке компьютерного инцидента или компьютерной атаке, а сегмент ГосСОПКА предоставить ответ на запрос.
Сегмент ГосСОПКА -> ГЦ ГосСОПКА 8.2.3. Сегмент ГосСОПКА направляет, а главный центр ГосСОПКА принимает и обрабатывает следующие типы информационных сообщений: • а) информацию о зоне ответственности сегмента ГосСОПКА, включая результаты инвентаризации; • б) данные о компьютерных атаках; • в) данные о компьютерных инцидентах; • г) общую информацию о защищенности информационных ресурсов; • д) детальную информацию о защищенности информационных ресурсов, доступных из сети Интернет; • е) статистические данные об актуальных для сегмента ГосСОПКА угрозах; • ж) сведения о самостоятельно обнаруженных индикаторах компрометации информационных ресурсов. Детализированный перечень!!!
Запрос содействия Главный центрГосСОПКА может оказывать следующее типы содействия: • передача информации об IP-адресах и доменных именах, осуществляющих вредоносные воздействия, уполномоченным организациям в различных странах мира для принятия мер по предотвращению вредоносной деятельности на ресурсы Российской Федерации; • прекращение вредоносной активности IP-адресов и доменных имен, находящихся в адресном пространстве Российской Федерации; • получение дополнительной информации об участниках КИ из специализированных источников и баз знаний главногоцентра ГосСОПКА; • анализ образцов вредоносного программного обеспечения для последующего выявления управляющих серверов и анализа его жизненного цикла; • анализ журналов, образов ОС и другой информации, полученной в рамках реагирования на компьютерные инциденты, с целью получения полной информации о КИ; • анализ КИ на связи с другими инцидентами; • консультации по предотвращению последствий КИ; • координация деятельности заинтересованных сторон по ликвидации КИ и предотвращению их последствий; • мероприятия по оценки защищенности.
Информация об инцидентах 1. Идентификатор инцидента (порядковый номер инцидента) 2. TLP (поле маркировки конфиденциальности) 3. Статус инцидента 4. Необходимость содействия 5. Тип инцидента 6. Опасность инцидента 7. Дата и время фиксирования инцидента (UTC+0). 8. Дата и время создания карточки инцидента (UTC+0). 9. Источник поступления информации об инциденте 10. Описание инцидента и комментарии (включая хронологию принятых мер). 11. Связь с другими инцидентами (по номеру идентификатора). 12. Контакты 13. Описание полей карточки инцидента, специфичной по типу инцидента
Типы инцидентов и их вес Тип инцидента (один инцидент может иметь комбинированный тип): Группа 1 (вес — 4): • ВПО (включая APT и бот-агент) • несанкционированный доступ • эксплуатация уязвимости Группа 2 (вес — 3): • DoS/DDoS • перебор паролей • ЦУ бот-сети Группа 3 (вес — 2): • фишинг (мошенничество) • вредоносный ресурс • запрещенный контент (нарушение прав) Группа 4 (вес — 1): • сканирование ресурсов • спам • нарушение политики безопасности другое (вес — 0).
Формула Опасности инцидента ИБ Опасность инцидента = Вес статуса + вес содействия + вес типа инцидента. Статус инцидента: • меры приняты, инцидент исчерпан (вес — 0) • меры приняты, инцидент не исчерпан (вес — 10) Необходимость содействия. Значение поля может быть: • необходимо содействие (вес — 10) • нет необходимости в содействии (вес — 0)
Формат взаимодействия Взаимодействие осуществляется: • а) инициативно — инициирующая сторона направляет информацию (сообщение, справочную и иную информацию); • б) по запросу (ответ на запрос) — в рамках запрошенного объема и установленных сроков; • в) без регламентации — при доступе к базам знаний и порталу, системам, предполагающим возможность удаленного доступа, по мере необходимости; • г) в соответствии с планом предоставления информации (ежедневно, еженедельно, ежемесячно, ежеквартально, ежегодно или с иной периодичностью); • д) автоматизированно — для сопряженных систем постоянного обмена фактической и статистической информацией об угрозах и состоянии ИБ контролируемых объектов.
Периодичность и сроки • При передаче информации о компьютерной атаке центр ГосСОПКА должен обеспечить хранение трафика, в котором была обнаружена компьютерная атака, а также всех событий информационной безопасности средств защиты и средств ГосСОПКА на срок не менее 6 (шести) месяцев. • Сведения о компьютерных атаках передаются в главный центр ГосСОПКА еженедельно. • Вне очереди направляются инциденты: • с запросом содействия; • по которым были приняты меры, но инцидент не исчерпан; • инциденты группы 1 и группы 2. • Остальные компьютерные инциденты направляются при их локализации (статус: меры приняты, инцидент исчерпан).
6. Итого
Что в итоге? • Это рекомендации, а не требования (но мы все понимаем). Очень много полезных детализированных рекомендаций. • Фокус на практическую безопасность (реальная защищенность, выявление и реагирование на инциденты). • Но и документы делать придется (положение о сегменте, штатное расписание, процедуры реагирования и взаимодействия, инструкции и методические рекомендации) • Представлен процессный подход с фокусом на результативность. Важно запустить процессы! • Процессы важнее технологий. Требования к средствам мониторинга и защиты информации минимальны. • Вопросы эффективности не рассматриваются (еще рано). • Отмечена высокая важность информационного обмена и накопления знаний. • Да, надо много взаимодействовать с ГЦ ГосСОПКА и согласовывать с ними.

Recommended

пр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИпр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Актуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановSergey Borisov
 
Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиEvgeniy Shauro
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

Recommended

пр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИпр Обзор законопроектов о КИИ
пр Обзор законопроектов о КИИAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Требования по иб фстэк (госис, пдн, асу тп) V.1
Требования по иб фстэк (госис, пдн, асу тп) V.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинепр Особенности обработки и защиты ПДн в медицине
пр Особенности обработки и защиты ПДн в медицинеAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14пр1 про пп1119 и soiso 2013 03-14
пр1 про пп1119 и soiso 2013 03-14Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Актуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановАктуальные вопросы защиты информации для государственных оранов
Актуальные вопросы защиты информации для государственных орановSergey Borisov
 
Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Тенденции ИБ в РФ (Минск)
Тенденции ИБ в РФ (Минск)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиEvgeniy Shauro
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idcпр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idcAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭКAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг SmallAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jetAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствоAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
People-Centric security (intro) rus
People-Centric security (intro) rusPeople-Centric security (intro) rus
People-Centric security (intro) rusAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Data protection RU vs EU
Data protection RU vs EUData protection RU vs EU
Data protection RU vs EUAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнSergey Borisov
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systemsВячеслав Аксёнов
 
Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
GDPR intro
GDPR intro GDPR intro
GDPR intro Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр про ПДн
пр про ПДнпр про ПДн
пр про ПДнAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Дмитрий Безуглый. Архетипы системного мышления
Дмитрий Безуглый. Архетипы системного мышленияДмитрий Безуглый. Архетипы системного мышления
Дмитрий Безуглый. Архетипы системного мышленияIT Spring
 
ваши идеи
ваши идеиваши идеи
ваши идеиБизнес-Школа ЧЕ-ЛИНК
 
Коучинг как бизнес-технология
Коучинг как бизнес-технологияКоучинг как бизнес-технология
Коучинг как бизнес-технологияcoach-management
 
стратегия
стратегиястратегия
стратегияАнна Зосимова
 

More Related Content

What's hot

пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствоAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнSergey Borisov
 

What's hot (18)

требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1требования по иб фстэк (госис, пдн, асу тп) V.1.1
требования по иб фстэк (госис, пдн, асу тп) V.1.1
 
пр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idcпр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idc
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 
пр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 smallпр Intro законодательство по иб и юр.практики 2014 09 small
пр Intro законодательство по иб и юр.практики 2014 09 small
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Small
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
 
пр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительствопр Про SOC: Зачем это надо и когда начать думать про строительство
пр Про SOC: Зачем это надо и когда начать думать про строительство
 
People-Centric security (intro) rus
People-Centric security (intro) rusPeople-Centric security (intro) rus
People-Centric security (intro) rus
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
Data protection RU vs EU
Data protection RU vs EUData protection RU vs EU
Data protection RU vs EU
 
пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)пр Тренды ИБ в России 2016 (Прозоров)
пр Тренды ИБ в России 2016 (Прозоров)
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДн
 
пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08пр Актуальный ландшафт угроз ИБ 2015 08
пр Актуальный ландшафт угроз ИБ 2015 08
 
Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systems
 
Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)Нормативная база ИБ (кво, ксии, кии, асу)
Нормативная база ИБ (кво, ксии, кии, асу)
 
GDPR intro
GDPR intro GDPR intro
GDPR intro
 
пр про ПДн
пр про ПДнпр про ПДн
пр про ПДн
 

Viewers also liked

Дмитрий Безуглый. Архетипы системного мышления
Дмитрий Безуглый. Архетипы системного мышленияДмитрий Безуглый. Архетипы системного мышления
Дмитрий Безуглый. Архетипы системного мышленияIT Spring
 
Коучинг как бизнес-технология
Коучинг как бизнес-технологияКоучинг как бизнес-технология
Коучинг как бизнес-технологияcoach-management
 
методология проведения диагностики ко
методология проведения диагностики кометодология проведения диагностики ко
методология проведения диагностики коАнна Зосимова
 
Коучинг: маркетинг, брендинг, продажи - вводная лекция в ВШЭ
Коучинг: маркетинг, брендинг, продажи - вводная лекция в ВШЭКоучинг: маркетинг, брендинг, продажи - вводная лекция в ВШЭ
Коучинг: маркетинг, брендинг, продажи - вводная лекция в ВШЭAndrey Korolikhin
 
Простая инструкция по управлению временем
Простая инструкция по управлению временемПростая инструкция по управлению временем
Простая инструкция по управлению временемПетр Козлов
 
Atom to Universe - zoom-in and out
Atom to Universe - zoom-in and outAtom to Universe - zoom-in and out
Atom to Universe - zoom-in and outAnar R Guliyev
 
Презентация CoachMeFree.RU для шанинцев
Презентация CoachMeFree.RU для шанинцевПрезентация CoachMeFree.RU для шанинцев
Презентация CoachMeFree.RU для шанинцевКоуч для женщин
 
Трансформационный календарь январь 2014
Трансформационный календарь январь 2014Трансформационный календарь январь 2014
Трансформационный календарь январь 2014Наталья Старжинская
 
Трансформационный коучинг: развенчание мифов
Трансформационный коучинг: развенчание мифовТрансформационный коучинг: развенчание мифов
Трансформационный коучинг: развенчание мифовЛюдмила Прима
 
Притворова Александра в формате Печа-Куча
Притворова Александра в формате Печа-КучаПритворова Александра в формате Печа-Куча
Притворова Александра в формате Печа-КучаКоуч для женщин
 
Codefest 2011. Панкратов С., Орлов А. — Практикум работы с неконструктивными ...
Codefest 2011. Панкратов С., Орлов А. — Практикум работы с неконструктивными ...Codefest 2011. Панкратов С., Орлов А. — Практикум работы с неконструктивными ...
Codefest 2011. Панкратов С., Орлов А. — Практикум работы с неконструктивными ...CodeFest
 
Принятие и поддержка управленческих решений
Принятие и поддержка управленческих решенийПринятие и поддержка управленческих решений
Принятие и поддержка управленческих решенийRnD_SM
 

Viewers also liked (20)

Дмитрий Безуглый. Архетипы системного мышления
Дмитрий Безуглый. Архетипы системного мышленияДмитрий Безуглый. Архетипы системного мышления
Дмитрий Безуглый. Архетипы системного мышления
 
ваши идеи
ваши идеиваши идеи
ваши идеи
 
Коучинг как бизнес-технология
Коучинг как бизнес-технологияКоучинг как бизнес-технология
Коучинг как бизнес-технология
 
стратегия
стратегиястратегия
стратегия
 
Описание продажи
Описание продажиОписание продажи
Описание продажи
 
методология проведения диагностики ко
методология проведения диагностики кометодология проведения диагностики ко
методология проведения диагностики ко
 
Коучинг: маркетинг, брендинг, продажи - вводная лекция в ВШЭ
Коучинг: маркетинг, брендинг, продажи - вводная лекция в ВШЭКоучинг: маркетинг, брендинг, продажи - вводная лекция в ВШЭ
Коучинг: маркетинг, брендинг, продажи - вводная лекция в ВШЭ
 
Простая инструкция по управлению временем
Простая инструкция по управлению временемПростая инструкция по управлению временем
Простая инструкция по управлению временем
 
коучинг 1.0 (coach 1.0)
коучинг 1.0 (coach 1.0)коучинг 1.0 (coach 1.0)
коучинг 1.0 (coach 1.0)
 
Atom to Universe - zoom-in and out
Atom to Universe - zoom-in and outAtom to Universe - zoom-in and out
Atom to Universe - zoom-in and out
 
Коучинг на практике: рабочие примеры и техники
Коучинг на практике: рабочие примеры и техникиКоучинг на практике: рабочие примеры и техники
Коучинг на практике: рабочие примеры и техники
 
Презентация CoachMeFree.RU для шанинцев
Презентация CoachMeFree.RU для шанинцевПрезентация CoachMeFree.RU для шанинцев
Презентация CoachMeFree.RU для шанинцев
 
Как мотивировать себя и свою команду? Часть II
Как мотивировать себя и свою команду? Часть IIКак мотивировать себя и свою команду? Часть II
Как мотивировать себя и свою команду? Часть II
 
Трансформационный календарь январь 2014
Трансформационный календарь январь 2014Трансформационный календарь январь 2014
Трансформационный календарь январь 2014
 
Трансформационный коучинг: развенчание мифов
Трансформационный коучинг: развенчание мифовТрансформационный коучинг: развенчание мифов
Трансформационный коучинг: развенчание мифов
 
Refuerzo quinto
Refuerzo quintoRefuerzo quinto
Refuerzo quinto
 
Притворова Александра в формате Печа-Куча
Притворова Александра в формате Печа-КучаПритворова Александра в формате Печа-Куча
Притворова Александра в формате Печа-Куча
 
Codefest 2011. Панкратов С., Орлов А. — Практикум работы с неконструктивными ...
Codefest 2011. Панкратов С., Орлов А. — Практикум работы с неконструктивными ...Codefest 2011. Панкратов С., Орлов А. — Практикум работы с неконструктивными ...
Codefest 2011. Панкратов С., Орлов А. — Практикум работы с неконструктивными ...
 
коучинг это
коучинг этокоучинг это
коучинг это
 
Принятие и поддержка управленческих решений
Принятие и поддержка управленческих решенийПринятие и поддержка управленческих решений
Принятие и поддержка управленческих решений
 

Similar to пр Обзор Методических рекомендаций по ГосСОПКА

Концепция «Безопасный город» 11_2014
Концепция «Безопасный город» 11_2014Концепция «Безопасный город» 11_2014
Концепция «Безопасный город» 11_2014Victor Gridnev
 
Решения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных системРешения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных системCisco Russia
 
Концепция Безгород с моими комментариями
Концепция Безгород с моими комментариямиКонцепция Безгород с моими комментариями
Концепция Безгород с моими комментариямиSergei Seleznev
 
Практический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атакПрактический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атакAdvanced monitoring
 
TTK DDOS FREE Roman Emelyanov
TTK DDOS FREE Roman EmelyanovTTK DDOS FREE Roman Emelyanov
TTK DDOS FREE Roman EmelyanovRoman Emelyanov
 
МЧС в Интернете. Завтра и послезавтра
МЧС в Интернете. Завтра и послезавтраМЧС в Интернете. Завтра и послезавтра
МЧС в Интернете. Завтра и послезавтраArtukhin Valeriy
 
Безопасность в Интернете
Безопасность в ИнтернетеБезопасность в Интернете
Безопасность в ИнтернетеMatevosyan Artur
 
Базовые нормативно-правовые акты в области защиты персональных данных
Базовые нормативно-правовые акты в области защиты персональных данныхБазовые нормативно-правовые акты в области защиты персональных данных
Базовые нормативно-правовые акты в области защиты персональных данныхПавел Семченко
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораAlexey Kachalin
 
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноAleksey Lukatskiy
 
презентация доклада масановца
презентация доклада масановцапрезентация доклада масановца
презентация доклада масановцаMathmodels Net
 
Защита критически важных объектов
Защита критически важных объектовЗащита критически важных объектов
Защита критически важных объектовАлексей Кураленко
 
Г.Петров - Эксплуатация комплексной системы обеспечения безопасности жизнедея...
Г.Петров - Эксплуатация комплексной системы обеспечения безопасности жизнедея...Г.Петров - Эксплуатация комплексной системы обеспечения безопасности жизнедея...
Г.Петров - Эксплуатация комплексной системы обеспечения безопасности жизнедея...Ekaterina Morozova
 
Rd 21-05-2007
Rd 21-05-2007Rd 21-05-2007
Rd 21-05-2007feekaaf
 
Что нам ждать от законодательства по безопасности критической инфраструктуры
Что нам ждать от законодательства по безопасности критической инфраструктурыЧто нам ждать от законодательства по безопасности критической инфраструктуры
Что нам ждать от законодательства по безопасности критической инфраструктурыAleksey Lukatskiy
 
Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ «ГК ГЭНДАЛЬФ»
 
Доклад на v воронежском форуме ver. 0.3
Доклад на v воронежском форуме ver. 0.3Доклад на v воронежском форуме ver. 0.3
Доклад на v воронежском форуме ver. 0.3journalrubezh
 
16 9 минин в.в
16 9 минин в.в16 9 минин в.в
16 9 минин в.вjournalrubezh
 

Similar to пр Обзор Методических рекомендаций по ГосСОПКА (20)

Концепция «Безопасный город» 11_2014
Концепция «Безопасный город» 11_2014Концепция «Безопасный город» 11_2014
Концепция «Безопасный город» 11_2014
 
Решения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных системРешения Cisco для защиты государственных информационных систем
Решения Cisco для защиты государственных информационных систем
 
Концепция Безгород с моими комментариями
Концепция Безгород с моими комментариямиКонцепция Безгород с моими комментариями
Концепция Безгород с моими комментариями
 
Практический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атакПрактический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атак
 
TTK DDOS FREE Roman Emelyanov
TTK DDOS FREE Roman EmelyanovTTK DDOS FREE Roman Emelyanov
TTK DDOS FREE Roman Emelyanov
 
МЧС в Интернете. Завтра и послезавтра
МЧС в Интернете. Завтра и послезавтраМЧС в Интернете. Завтра и послезавтра
МЧС в Интернете. Завтра и послезавтра
 
Безопасность в Интернете
Безопасность в ИнтернетеБезопасность в Интернете
Безопасность в Интернете
 
Базовые нормативно-правовые акты в области защиты персональных данных
Базовые нормативно-правовые акты в области защиты персональных данныхБазовые нормативно-правовые акты в области защиты персональных данных
Базовые нормативно-правовые акты в области защиты персональных данных
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятора
 
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноАнтисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно
 
презентация доклада масановца
презентация доклада масановцапрезентация доклада масановца
презентация доклада масановца
 
Защита критически важных объектов
Защита критически важных объектовЗащита критически важных объектов
Защита критически важных объектов
 
Обеспечение ИБ АСУ ТП
Обеспечение ИБ АСУ ТПОбеспечение ИБ АСУ ТП
Обеспечение ИБ АСУ ТП
 
Г.Петров - Эксплуатация комплексной системы обеспечения безопасности жизнедея...
Г.Петров - Эксплуатация комплексной системы обеспечения безопасности жизнедея...Г.Петров - Эксплуатация комплексной системы обеспечения безопасности жизнедея...
Г.Петров - Эксплуатация комплексной системы обеспечения безопасности жизнедея...
 
Rd 21-05-2007
Rd 21-05-2007Rd 21-05-2007
Rd 21-05-2007
 
Rd 21-05-2007
Rd 21-05-2007Rd 21-05-2007
Rd 21-05-2007
 
Что нам ждать от законодательства по безопасности критической инфраструктуры
Что нам ждать от законодательства по безопасности критической инфраструктурыЧто нам ждать от законодательства по безопасности критической инфраструктуры
Что нам ждать от законодательства по безопасности критической инфраструктуры
 
Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ Презентация ГЭНДАЛЬФ подключение к РЦОИ
Презентация ГЭНДАЛЬФ подключение к РЦОИ
 
Доклад на v воронежском форуме ver. 0.3
Доклад на v воронежском форуме ver. 0.3Доклад на v воронежском форуме ver. 0.3
Доклад на v воронежском форуме ver. 0.3
 
16 9 минин в.в
16 9 минин в.в16 9 минин в.в
16 9 минин в.в
 

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001

More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)

NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?NIST Cybersecurity Framework (CSF) 2.0: What has changed?
NIST Cybersecurity Framework (CSF) 2.0: What has changed?
 
pr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdfpr ISMS Documented Information (lite).pdf
pr ISMS Documented Information (lite).pdf
 
ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)ISO Survey 2022: ISO 27001 certificates (ISMS)
ISO Survey 2022: ISO 27001 certificates (ISMS)
 
12 Best Privacy Frameworks
12 Best Privacy Frameworks12 Best Privacy Frameworks
12 Best Privacy Frameworks
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
 
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal PurposesMy 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
My 15 Years of Experience in Using Mind Maps for Business and Personal Purposes
 
From NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdfFrom NIST CSF 1.1 to 2.0.pdf
From NIST CSF 1.1 to 2.0.pdf
 
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdfISO 27001 How to use the ISMS Implementation Toolkit.pdf
ISO 27001 How to use the ISMS Implementation Toolkit.pdf
 
ISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdfISO 27001 How to accelerate the implementation.pdf
ISO 27001 How to accelerate the implementation.pdf
 
How to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdfHow to use ChatGPT for an ISMS implementation.pdf
How to use ChatGPT for an ISMS implementation.pdf
 
pr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdfpr Privacy Principles 230405 small.pdf
pr Privacy Principles 230405 small.pdf
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001:2022 Introduction
 
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdfISO 27001_2022 What has changed 2.0 for ISACA.pdf
ISO 27001_2022 What has changed 2.0 for ISACA.pdf
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
ISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdfISO 27001:2022 What has changed.pdf
ISO 27001:2022 What has changed.pdf
 
ISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdfISO Survey 2021: ISO 27001.pdf
ISO Survey 2021: ISO 27001.pdf
 
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdfAll about a DPIA by Andrey Prozorov 2.0, 220518.pdf
All about a DPIA by Andrey Prozorov 2.0, 220518.pdf
 
Supply management 1.1.pdf
Supply management 1.1.pdfSupply management 1.1.pdf
Supply management 1.1.pdf
 
Employee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdfEmployee Monitoring and Privacy.pdf
Employee Monitoring and Privacy.pdf
 
GDPR RACI.pdf
GDPR RACI.pdfGDPR RACI.pdf
GDPR RACI.pdf
 

Recently uploaded

ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...Ирония безопасности
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Ирония безопасности
 

Recently uploaded (9)

MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
 
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
 

пр Обзор Методических рекомендаций по ГосСОПКА

  • 2. Содержание 1. Нормативное обеспечение 2. Общие положения 3. Методические рекомендации 4. Процессы, люди, технологии 5. Взаимодействие и обмен информацией 6. Итого
  • 4. Доктрина ИБ (2016) 23. Основными направлениями обеспечения информационной безопасности в области государственной и общественной безопасности являются: • ... • в) повышение защищенности критической информационной инфраструктуры и устойчивости ее функционирования, развитие механизмов обнаружения и предупреждения информационных угроз и ликвидации последствий их проявления, повышение защищенности граждан и территорий от последствий чрезвычайных ситуаций, вызванных информационно-техническим воздействием на объекты критической информационной инфраструктуры; • г) повышение безопасности функционирования объектов информационной инфраструктуры, в том числе в целях обеспечения устойчивого взаимодействия государственных органов, недопущения иностранного контроля за функционированием таких объектов, обеспечение целостности, устойчивости функционирования и безопасности единой сети электросвязи Российской Федерации, а также обеспечение безопасности информации, передаваемой по ней и обрабатываемой в информационных системах на территории Российской Федерации;
  • 5. Стратегия развития ИТ Указ Президента Российской Федерации от 09.05.2017 № 203 "О Стратегии развития информационного общества в Российской Федерации на 2017 - 2030 годы» 29. Для устойчивого функционирования информационной инфраструктурыРоссийской Федерации необходимо: … е) обеспечить комплексную защиту информационной инфраструктуры Российской Федерации, в том числе с использованием государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы и системы критической информационной инфраструктуры ж) проводить непрерывный мониторинг и анализ угроз, возникающих в связи с внедрением новых информационных технологий, для своевременногореагированияна них
  • 6. Закон о безопасности КИИ Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации» Ст.5 «Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации представляет собой единый территориально распределенный комплекс, включающий силы и средства, предназначенные для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.» + общая информация про силы и средства, а также ответственные стороны
  • 7. Ранние нормативные документы • Указ Президента РФ от 15 января 2013 г. № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» • «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации» (утв. Президентом РФ 03.02.2012 № 803) • «Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» (утв. Президентом РФ 12.12.2014 № К 1274)
  • 8. Если кратко Указ : • Определяет основные задачи ГосСОПКА • Возлагает на ФСБ России полномочия по созданию ГосСОПКА и конкретизирует их Концепция: • Определяет Назначение, функции, принципы создания и функционирования ГосСОПКА • Определяет организационные основы ГосСОПКА (структуру центров) • Определяет нормативно-правовое, научно-техническое, информационно-аналитическое, кадровое и организационно- штатное обеспечение создания и функционирования ГосСОПКА
  • 10. Термин ГосСОПКА Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) — единый централизованный, территориально распределенный комплекс, включающий силы и средства обнаружения, предупреждения и ликвидации последствий компьютерных атак и федеральный орган исполнительной власти, уполномоченный в области создания и обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.
  • 11. Назначение ГосСОПКА «Основным назначением Системы является обеспечение защищенности информационных ресурсов Российской Федерации от компьютерных атак и штатного функционирования данных ресурсов в условиях возникновения компьютерных инцидентов, вызванных компьютерными атаками.»
  • 12. Функции ГосСОПКА а) выявление признаков проведения компьютерных атак, определение их источников, методов, способов и средств осуществления и направленности, а также разработка методов и средств обнаружения, предупреждения и ликвидации последствий компьютерных атак; б) формирование и поддержание в актуальном состоянии детализированной информации об информационных ресурсах Российской Федерации, находящихся в зонеответственности субъектов Системы; в) прогнозирование ситуации в области обеспечения информационной безопасности Российской Федерации, включая выявленные и прогнозируемыеугрозы и их оценку; г) организация и осуществление взаимодействия с правоохранительными органами и другими государственными органами, владельцами информационных ресурсов Российской Федерации, операторами связи, интернет-провайдерами и иными заинтересованными организациями на национальном и международном уровнях в области обнаружения компьютерных атак и установления их источников, включая обмен информацией о выявленных компьютерных атаках и вызванных ими компьютерных инцидентах, а также обмен опытом в сфере выявления и устранения уязвимостей программного обеспечения и оборудования и реагирования на компьютерные инциденты; д) организация и проведение научных исследований в сфере разработки и применения средств и методов обнаружения, предупреждения и ликвидации последствий компьютерных атак; е) осуществление мероприятий по обеспечению подготовки и повышения квалификации кадров, требующихся для создания и функционирования Системы; ж) сбор и анализ информации о компьютерных атаках и вызванных ими компьютерных инцидентах в отношении информационных ресурсов Российской Федерации, а также о компьютерных инцидентах в информационных системах и информационно-телекоммуникационных сетях других стран, с которыми взаимодействуют владельцы информационных ресурсов Российской Федерации; з) осуществление мероприятий по оперативному реагированию на компьютерные атаки и вызванные ими компьютерные инциденты, а также по ликвидации последствий данных компьютерных инцидентов в информационных ресурсах Российской Федерации; и) выявление, сбор и анализ сведений об уязвимостях программного обеспечения и оборудования; к) мониторинг степени защищенности информационных систем и информационно-телекоммуникационных сетей на всех этапах создания, функционирования и модернизации информационных ресурсов Российской Федерации, а также разработка методических рекомендаций по организации защиты информационных ресурсов Российской Федерации от компьютерных атак; м) организация и осуществление антивирусной защиты; н) совершенствование оперативно-тактического взаимодействия сил и средств обнаружения, предупреждения и ликвидации последствий компьютерных атак.
  • 14. Термины про центры ГосСОПКА • 26. Главный центр ГосСОПКА – наивысшая структура в иерархии ГосСОПКА, осуществляющая нормативное и методическое сопровождение ГосСОПКА. • 27. Головной центр ГосСОПКА – наивысшая структура в иерархии центров, объединенных по ведомственному или организационному признакам. • 28. Подчиненный центр ГосСОПКА – центр ГосСОПКА, имеющий структурное подчинение головному центру ГосСОПКА. «Для решения задач ГосСОПКА заключается соглашение между главным и головным центрами ГосСОПКА.»
  • 15. Центры ГосСОПКА • Ведомственные сегменты (центры) ГосСОПКА создаются органами государственной власти, а также организациями, осуществляющими лицензируемую деятельность в области защиты информации, действующими в интересах органов государственной власти. • Корпоративные сегменты (центры) ГосСОПКА создаются государственными корпорациями, операторами связи и иными организациями, осуществляющими лицензируемую деятельность в области защиты информации, в собственных интересах, а также для оказания услуг по предупреждению, обнаружению и ликвидации последствий компьютерныхатак. • Корпоративный сегмент ГосСОПКА может исполнять свои функции в отношении информационных ресурсов органов государственной власти на основании договоров, заключаемых с владельцами указанных информационных ресурсов и (или) с операторами соответствующих государственных информационных систем.
  • 16. Задачи центров ГосСОПКА • а) обнаружение, предупреждение и ликвидация последствий компьютерных атак, направленных на контролируемые информационные ресурсы; • б) проведение мероприятий по оценке степени защищенности контролируемых информационных ресурсов; • в) проведение мероприятий по установлению причин компьютерных инцидентов, вызванных компьютерными атаками на контролируемые информационные ресурсы; • г) сбор и анализ данных о состоянии информационной безопасности в контролируемых информационных ресурсах; • д) осуществление взаимодействиямеждуцентрами; • е) информирование заинтересованных лиц и субъектов Системы по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак. • + из рекомендаций: ж) формирование и поддержание в актуальном состоянии информации о контролируемых информационных ресурсах.
  • 17.
  • 20. Назначение документа Настоящие методические рекомендации описывают назначение, функции и принципы создания структурных элементов ГосСОПКА в части, касающейся деятельности ведомственных и корпоративных центров ГосСОПКА. Документ детализирует порядок создания центров ГосСОПКА, их функции, а также технические и организационные меры защиты информации, применяемые в ходе реализации этих функций.
  • 21. Для кого рекомендации? • Для органов государственной власти, принявших решение о создании ведомственных центров ГосСОПКА • Для государственных корпораций, операторов связи и других организаций, осуществляющих лицензируемую деятельность в области защиты информации и принявших решение о создании корпоративных центров ГосСОПКА
  • 22. Базовые термины • 1. Информационные ресурсы РФ — любая информация, зарегистрированная тем или иным образом на объекте информатизации (в информационной системе, в информационно- телекоммуникационной сети), находящемся на территории РФ и в дипломатических представительствах и консульских учреждениях РФ за рубежом. • 3. Компьютерный инцидент — факт нарушения или прекращения функционирования объекта информационной инфраструктуры Российской Федерации и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе вызванный компьютерной атакой. • 15. Угроза (безопасности информации) — совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. • 17. Событие безопасности — идентифицированное появление определенного состояния системы, сервиса или сети, указывающего на возможное нарушение политики ИБ или отказ защитных мер, или возникновение неизвестной ранее ситуации, которая может иметь отношение к безопасности. • 18. Корреляция событий ИБ — взаимосвязь двух или более событий безопасности.
  • 23. Термины про атаки • 2. Компьютерная атака — целенаправленное воздействие программными (программно-техническими) средствами на информационные системы, информационно-телекоммуникационные сети, средства связи и автоматизированные системы управления технологическими процессами, осуществляемое в целях нарушения (прекращения) их функционирования и (или) нарушения безопасности обрабатываемой ими информации. • 9. Обнаружение компьютерных атак — комплекс мероприятий по мониторингу и анализу функционирования информационных ресурсов с целью обнаружения компьютерных атак и компьютерных инцидентов. • 10. Предупреждение компьютерных атак — комплекс превентивных мероприятий, направленных на снижение количества компьютерных инцидентов и повышение уровня защищенности информационных ресурсов. • 11. Контроль (мониторинг) уровня (степени) защищенности информации (в информационной системе) — анализ и оценка функционирования системы защиты информации информационной системы, изменения угроз безопасности информации, защищенности информации, содержащейся в информационной системе. • 12. Ликвидация последствий компьютерных атак — комплекс мероприятий по восстановлению штатного режима функционирования информационных ресурсов после компьютерных инцидентов.
  • 24. Меры защиты информации и ГосСОПКА 2.2.2. В отношении информационных ресурсов, находящихся в зоне ответственности сегмента ГосСОПКА, реализуются меры защиты информации... К мерам защиты информации, используемым при реализации ГосСОПКА относятся: • а) анализ угроз безопасности информации и рисков их реализации; • б) контроль (анализ) защищенности информации; • в) управление конфигурацией средств защиты; • г) регистрация и анализ событий безопасности; • д) выявление инцидентов и реагирование на них; • е) обеспечение действий в нештатных ситуациях; • ж) информирование и обучение персонала.
  • 25. Функции ГосСОПКА • Инвентаризация информационных ресурсов • Выявление уязвимостей информационных ресурсов • Анализ угроз информационной безопасности • Повышение квалификации персонала информационных ресурсов • Прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов • Обеспечение процесса обнаружения компьютерных атак • Анализ данных о событиях безопасности • Регистрация инцидентов • Реагирование на инциденты и ликвидация их последствий • Установление причин инцидентов • Анализ результатов устранения последствий инцидентов
  • 26. Сбор сведений (инвентаризация) • а) ФИО, должности и контактные данные лиц, ответственных за функционирование информационного ресурса; • б) доменные имена и сетевые адреса компонентов информационного ресурса (средств вычислительной техники, телекоммуникационного оборудования, виртуальных машин и т. п.) в соответствии с системой имен и сетевой адресацией информационного ресурса; • в) доменные имена и сетевые адреса компонентов информационного ресурса, доступные из сети Интернет, в соответствии с системой имен и сетевой адресацией сети Интернет, а также сведения о протоколах (включая параметры транспортного уровня взаимодействия), по которым разрешен доступ к этим компонентам. • г) сведения о сегментации и топологии локальных вычислительных сетей, правилах маршрутизации и коммутации, настройках средств межсетевого экранирования; • д) перечень программного обеспечения (прикладного и системного), установленного на каждом средстве вычислительной техники; • е) параметры настройки программного и аппаратного обеспечения информационного ресурса, существенные с точки зрения обеспечения безопасности информации; • ж) параметры настройки средств обеспечения информационной безопасности.
  • 27. Способы выявления уязвимостей • а) выявление известных уязвимостей сетевых служб, доступных для сетевого взаимодействия, с применением автоматизированных средств анализа защищенности (сетевое сканирование); • б) выявление известных уязвимостей программного обеспечения информационных ресурсов путем анализа состава установленного программного обеспечения и обновлений безопасности с применением автоматизированных средств анализа защищенности (системное сканирование, исследование с использованием привилегированных учетных записей и (или) программных агентов), а также других средств защиты информации; • в) тестирование на проникновение в условиях, соответствующих условиям нарушителя, действующего со стороны сети Интернет и (или) со стороны информационных ресурсов, внешних по отношению к зоне ответственности сегмента ГосСОПКА; • г) тестирование на проникновение в условиях, соответствующих условиям нарушителя, действующего со стороны информационных ресурсов, входящих в зону ответственности сегмента ГосСОПКА; • д) тестирование устойчивости к атакам типа «отказ в обслуживании»; • е) контрольустранения ранее выявленных уязвимостей и недостатков; • ж) контроль выполнения требований безопасности информации, предъявляемых к контролируемой информационной системе; • з) анализ настроек программного и аппаратного обеспечения информационных систем, а также средств защиты информации; • и) анализ проектной, конструкторской и эксплуатационной документации информационных систем; • к) оценка соответствия применяемых мер защиты требованиям безопасности информации, предъявляемым к информационным ресурсам нормативными документами Российской Федерации и владельцев информационных ресурсов.
  • 28. Анализ угроз по результатам инвентаризации и выявления уязвимостей Уточняютсяметодическиедокументы: • а) описания компьютерных атак, актуальных для информационных ресурсов, находящихся в зоне ответственности сегмента ГосСОПКА; • б) методические рекомендации по предупреждению, обнаружению и ликвидации последствий компьютерных атак; • в) решающие правила средств обнаружения компьютерных атак; • г) настройки средств обеспечения информационной безопасности; • д) политики обеспечения информационной безопасности; • е) нормативные правовые акты организации; • ж) дополнительные требования по обеспечению информационной безопасности для их включения в технические задания на создание новых, доработку и обслуживание существующих информационных ресурсов; • з) правила корреляции событий, направленные на определение попыток реализации угроз, связанных с проведением компьютерных атак; • и) инструкции для персонала информационных ресурсов по выявлению признаков проведения типовых компьютерных атак, порядку их обнаружения, действиямпо ликвидации ихпоследствий; • к) инструкции по действиям пользователей информационных ресурсов в случае возникновения инцидентов, связанных с компьютерными атаками; • л) требования к квалификации персонала и пользователей, необходимой для выполнения указанных выше инструкций.
  • 29. Повышение квалификации персонала Повышение квалификации: • Ознакомление с методическими рекомендациями и инструкциями • Периодическая оценка готовности персонала к действиям по обнаружению, предупреждению и ликвидации последствий компьютерных атак • Проведения дополнительного обучения персонала • Рассылка дополнительных информационных материалов Оценка готовности персонала проводится: • а) путем периодической аттестации персонала в соответствии с трудовым законодательством • б) практической отработки действий персонала при имитации проведения компьютерных атак на информационные ресурсы
  • 30. Управление инцидентами • Прием сообщений о возможных инцидентах от персонала и пользователей информационных ресурсов • Обеспечение процесса обнаружения компьютерных атак • Анализ данных о событиях безопасности • Регистрация инцидентов • Реагирование на инциденты и ликвидация их последствий • Установление причин инцидентов • Анализ результатов устранения последствий инцидентов
  • 31. Про безопасность SOC (да, только это) 6. Рекомендации по обеспечению безопасности информации сегмента ГосСОПКА 6.1. Безопасность информации, обрабатываемой техническими средствами сегмента ГосСОПКА, обеспечивается персоналом сегмента ГосСОПКА на всех стадиях (этапах) ее создания и в ходе эксплуатации. 6.2. Безопасность информации обеспечивается путем принятия организационных и технических (программно-технических) мер по защите информации в рамках системы защиты информации сегмента ГосСОПКА. 6.3. Система и средства защиты информации сегмента ГосСОПКА, а также программно-технические средства автоматизации взаимодействия должны соответствовать требованиям действующего законодательства Российской Федерации.
  • 34. Базовые процессы 1. Инвентаризация информационных ресурсов 2. Выявление уязвимостей информационных ресурсов 3. Анализ угроз информационной безопасности 4. Повышение квалификации персонала информационных ресурсов 5. Управление инцидентами 6. Взаимодействие с ГЦ ГосСОПКА
  • 35. Периодичность 1 № Функции Периодичность 1. Инвентаризация информационных ресурсов не реже одного раза в квартал Выявление уязвимостей 2. Выявление известных уязвимостей сетевых служб, доступных для сетевого взаимодействия, с применением автоматизированных средств анализа защищенности (сетевое сканирование) не реже одного раза в месяц 3. Выявление известных уязвимостей программного обеспечения информационных ресурсов путем анализа состава установленного программного обеспечения и обновлений безопасности с применением автоматизированных средств анализа защищенности (системное сканирование, исследование с использованием привилегированных учетных записей и (или) программных агентов), а также других средств защиты информации не реже одного раза в месяц 4. Тестирование на проникновение в условиях, соответствующих условиям нарушителя, действующего со стороны сети Интернет и (или) со стороны информационных ресурсов, внешних по отношению к зоне ответственности сегмента ГосСОПКА не реже одного раза в год 5. Тестирование на проникновение в условиях, соответствующих условиям нарушителя, действующего со стороны информационных ресурсов, входящих в зону ответственности сегмента ГосСОПКА не реже одного раза в год 6. Тестирование устойчивости к атакам типа «отказ в обслуживании» не реже одного раза в год
  • 36. № Функции Периодичность 7. Контроль устранения ранее выявленных уязвимостей и недостатков не реже одного раза в квартал 8. Контроль выполнения требований безопасности информации, предъявляемых к контролируемой информационной системе не реже одного раза в месяц 9. Анализ настроек программного и аппаратного обеспечения информационных систем, а также средств защиты информации не реже одного раза в месяц 10. Анализ проектной, конструкторской и эксплуатационной документации информационных систем перед вводом информационного ресурса в эксплуатацию и при каждом существенном изменении состава программных или аппаратных средств 11. Оценка соответствия применяемых мер защиты требованиям безопасности информации, предъявляемым к информационным ресурсам нормативными документами Российской Федерации и владельцев информационных ресурсов не реже одного раза в два года 12. Статический и динамический анализ исходного кода программного обеспечения информационных ресурсов (для программного обеспечения, поставляемого с исходными кодами) перед вводом информационного ресурса в эксплуатацию и при каждом изменении программного обеспечения, поставляемого с исходным кодом Периодичность 2
  • 37. Роль Функции Специалисты первой линии Специалист по взаимодействию с персоналом и пользователями Прием сообщений персонала информационных ресурсов, взаимодействие с главным центром ГосСОПКА Специалист по обнаружению компьютерных атак и инцидентов Анализ событий безопасности, регистрация инцидентов Специалист по обслуживанию технических средств сегмента ГосСОПКА Обеспечение функционирования технических средств, размещаемых в центре ГосСОПКА, а также дополнительных средств защиты информационных систем Специалисты второй линии Специалист по оценке защищенности Проведение инвентаризации информационных ресурсов, анализ выявленных уязвимостей и угроз, установление соответствия требований по информационной безопасности принимаемым мерам Специалист по ликвидации последствий компьютерных инцидентов Координация действий при реагировании на компьютерные атаки Специалист по установлению причин компьютерных инцидентов Установление причин инцидентов, анализ последствий инцидентов Специалисты третьей линии Аналитик-методист Анализ информации, предоставляемой специалистами первой и второй линий; разработка нормативных документов и методических рекомендаций по выполнению функций сегмента ГосСОПКА; разработка рекомендаций по доработке нормативных и методических документов по вопросам информационной безопасности Технический эксперт Экспертная поддержка в соответствии со специализацией (вредоносное программное обеспечение, настройка средств защиты, применение специализированных технических средств, оценка защищенности и т. п.) Юрист Нормативно-правовое сопровождение деятельности сегмента ГосСОПКА Руководитель Управление деятельностью сегмента ГосСОПКА
  • 38. Свой персонал или аутсорсинг 7.3.3. Деятельность центра ГосСОПКА может обеспечиваться: • а) путем назначения соответствующих ролей работникам структурных подразделений организации; • б) путем заключения договоров на выполнение сторонними организациями, осуществляющими лицензируемую деятельность в области защиты информации, соответствующих функций центра ГосСОПКА.
  • 39. Технические средства 4.1. Функции сегмента ГосСОПКА могут быть выполнены с использованием следующих технических средств: • а) средства взаимодействия персонала; • б) средства взаимодействия с главным центром ГосСОПКА; • в) средства инвентаризации информационных систем; • г) средства выявления уязвимостей; • д) средства анализа событий безопасности; • е) средства учета и обработки инцидентов. При этом рекомендуется обеспечить интеграцию технических средств, указанных в пунктах в) – е).
  • 41. Нормативное обеспечение 7.4.2.Минимальный комплект нормативной документации сегмента ГосСОПКА, необходимый для заключения соглашения о взаимодействии с ГосСОПКА, должен включать: • а) положение о сегменте ГосСОПКА; • б) штатное расписание сегмента ГосСОПКА; • в) должностные инструкции специалистов сегмента ГосСОПКА.
  • 42. Методическое обеспечение 7.2.3. Основные положения организационно-методического обеспечения должны определять: • а)требования, выполнение которых необходимо для осуществления своевременного обнаружения, предупреждения и ликвидации последствий компьютерныхатак; • б) меры, обеспечивающие предотвращение и (или) снижение негативного влияния инцидентов на функционирование информационных ресурсов, находящихся в зоне ответственности сегмента ГосСОПКА; • в) порядок координации деятельности работников структурных подразделений сегмента ГосСОПКА в рамках процессов обнаружения, предупреждения и ликвидации последствий компьютерных атак; • г) порядок взаимодействия с Главным центром ГосСОПКА; • д) политику и регламенты выполнения структурными элементами сегмента ГосСОПКА их функций.
  • 43. Методические документы… 2.4.2. Методические документы, формируемые сегментом ГосСОПКА, согласовываются с федеральным органом исполнительной власти, уполномоченным в области создания и функционирования ГосСОПКА. 2.4.3. При создании сегмента ГосСОПКА определяются основные типы компьютерных атак, предупреждение, обнаружение и ликвидация последствий которых обеспечиваются сегментом ГосСОПКА (далее — типовых компьютерных атак). Для указанных атак в ходе создания сегмента ГосСОПКА разрабатываются методические рекомендации, определяющие: • а) признаки, на основе которых производится обнаружение указанных атак и (или) регистрация инцидентов, связанных с их проведением (далее — индикаторы компрометации); • б) порядок действий персонала сегмента ГосСОПКА и информационных ресурсов, находящихся в зоне ответственности сегмента ГосСОПКА, при ликвидации последствий указанныхатак.
  • 44. … и их совершенствование 2.4.4. При обнаружении и по итогам ликвидации последствий типовых компьютерных атак проводится оценка эффективности мер защиты информации, определяемых соответствующими методическими рекомендациями, и — при необходимости — доработка методов обнаружения и методических рекомендаций по их реализации. 2.4.5. По итогам ликвидации последствий инцидентов, вызванных компьютерными атаками, не относившихся к типовым на момент регистрации, проводится анализ способов проведения атаки, уязвимостей, использованных злоумышленником, а также, при необходимости, дополнительные исследования. На основе полученных результатов данный вид компьютерных атак включается в число типовых и для него также разрабатываются методические рекомендации.
  • 46. Общее про взаимодействие 2.4.6. В ходе взаимодействия сегментов ГосСОПКА с главным центром ГосСОПКА осуществляется обмен сведениями об инфраструктуре и компьютерных инцидентах, индикаторами компрометации и методическими рекомендациями по обнаружению, предупреждению и ликвидации последствий типовых компьютерных атак. 8.1.1. Взаимодействие сегмента ГосСОПКА и главного центра ГосСОПКА осуществляется на основании соглашения о взаимодействии и регламента взаимодействия. В данных документах определяются головные подразделения, выполняющие функции по взаимодействию, их обязанности, а также уточняются каналы связи и используемые криптографические средства защиты информации.
  • 47. Каналы связи 8.1.3. Центр ГосСОПКА взаимодействует с главным центром ГосСОПКА посредством: • а) постоянного канала связи через сеть Интернет; • б) телефонной связи; • в) периодического документооборота через почту (фельдъегерскую службу). 8.1.4.В рамках обмена через сеть Интернет поддерживаются следующие способы взаимодействия: • а) обмен информацией через специализированные системы, такие как портал, или автоматизированный обмен данными автоматизированных подсистем и компонентов ГосСОПКА; • б) обмен информацией и получение доступа к справочной информации с использованием средств автоматизации взаимодействия; • в) переписка по электронной почте.
  • 48. Про криптографию и гостайну 8.1.6.Все взаимодействие по сети Интернет осуществляется с использованием криптографических средств защиты информации, имеющих сертификаты ФСБ России. В рамках взаимодействия центра ГосСОПКА и главного центра ГосСОПКА посредством сети Интернет не допускается передача сведений, составляющих государственную тайну.
  • 49. Формат данных об инцидентах При передаче информации о компьютерном инциденте в автоматическом режиме карточка инцидента передается в формате JSON или XML. Формат согласуется на этапе организации взаимодействия с каждым сегментом ГосСОПКА индивидуально.
  • 50. ГЦ ГосСОПКА -> сегмент ГосСОПКА Главный центр ГосСОПКА направляет, а сегмент ГосСОПКА принимает и обрабатывает следующие типы информационных сообщений: • а) сведения об актуальных угрозах; • б) сведения об актуальных уязвимостях; • в) сведения о признаках компьютерных инцидентов на объектах в зоне деятельности сегмента ГосСОПКА; • г) сведения об индикаторах компрометации информационных ресурсов; • д) изменения и дополнения к методическим рекомендациям; • е) запросы на предоставление дополнительной информации по компьютерным инцидентам и другим событиям ИБ.
  • 51. Возможность запросов 8.2.2. Главный центр ГосСОПКА должен иметь возможность направить запрос на предоставление детальной информации о защищенности информационных ресурсов, конкретном инциденте, признаке компьютерного инцидента или компьютерной атаке, а сегмент ГосСОПКА предоставить ответ на запрос.
  • 52. Сегмент ГосСОПКА -> ГЦ ГосСОПКА 8.2.3. Сегмент ГосСОПКА направляет, а главный центр ГосСОПКА принимает и обрабатывает следующие типы информационных сообщений: • а) информацию о зоне ответственности сегмента ГосСОПКА, включая результаты инвентаризации; • б) данные о компьютерных атаках; • в) данные о компьютерных инцидентах; • г) общую информацию о защищенности информационных ресурсов; • д) детальную информацию о защищенности информационных ресурсов, доступных из сети Интернет; • е) статистические данные об актуальных для сегмента ГосСОПКА угрозах; • ж) сведения о самостоятельно обнаруженных индикаторах компрометации информационных ресурсов. Детализированный перечень!!!
  • 53. Запрос содействия Главный центрГосСОПКА может оказывать следующее типы содействия: • передача информации об IP-адресах и доменных именах, осуществляющих вредоносные воздействия, уполномоченным организациям в различных странах мира для принятия мер по предотвращению вредоносной деятельности на ресурсы Российской Федерации; • прекращение вредоносной активности IP-адресов и доменных имен, находящихся в адресном пространстве Российской Федерации; • получение дополнительной информации об участниках КИ из специализированных источников и баз знаний главногоцентра ГосСОПКА; • анализ образцов вредоносного программного обеспечения для последующего выявления управляющих серверов и анализа его жизненного цикла; • анализ журналов, образов ОС и другой информации, полученной в рамках реагирования на компьютерные инциденты, с целью получения полной информации о КИ; • анализ КИ на связи с другими инцидентами; • консультации по предотвращению последствий КИ; • координация деятельности заинтересованных сторон по ликвидации КИ и предотвращению их последствий; • мероприятия по оценки защищенности.
  • 54. Информация об инцидентах 1. Идентификатор инцидента (порядковый номер инцидента) 2. TLP (поле маркировки конфиденциальности) 3. Статус инцидента 4. Необходимость содействия 5. Тип инцидента 6. Опасность инцидента 7. Дата и время фиксирования инцидента (UTC+0). 8. Дата и время создания карточки инцидента (UTC+0). 9. Источник поступления информации об инциденте 10. Описание инцидента и комментарии (включая хронологию принятых мер). 11. Связь с другими инцидентами (по номеру идентификатора). 12. Контакты 13. Описание полей карточки инцидента, специфичной по типу инцидента
  • 55. Типы инцидентов и их вес Тип инцидента (один инцидент может иметь комбинированный тип): Группа 1 (вес — 4): • ВПО (включая APT и бот-агент) • несанкционированный доступ • эксплуатация уязвимости Группа 2 (вес — 3): • DoS/DDoS • перебор паролей • ЦУ бот-сети Группа 3 (вес — 2): • фишинг (мошенничество) • вредоносный ресурс • запрещенный контент (нарушение прав) Группа 4 (вес — 1): • сканирование ресурсов • спам • нарушение политики безопасности другое (вес — 0).
  • 56. Формула Опасности инцидента ИБ Опасность инцидента = Вес статуса + вес содействия + вес типа инцидента. Статус инцидента: • меры приняты, инцидент исчерпан (вес — 0) • меры приняты, инцидент не исчерпан (вес — 10) Необходимость содействия. Значение поля может быть: • необходимо содействие (вес — 10) • нет необходимости в содействии (вес — 0)
  • 57. Формат взаимодействия Взаимодействие осуществляется: • а) инициативно — инициирующая сторона направляет информацию (сообщение, справочную и иную информацию); • б) по запросу (ответ на запрос) — в рамках запрошенного объема и установленных сроков; • в) без регламентации — при доступе к базам знаний и порталу, системам, предполагающим возможность удаленного доступа, по мере необходимости; • г) в соответствии с планом предоставления информации (ежедневно, еженедельно, ежемесячно, ежеквартально, ежегодно или с иной периодичностью); • д) автоматизированно — для сопряженных систем постоянного обмена фактической и статистической информацией об угрозах и состоянии ИБ контролируемых объектов.
  • 58. Периодичность и сроки • При передаче информации о компьютерной атаке центр ГосСОПКА должен обеспечить хранение трафика, в котором была обнаружена компьютерная атака, а также всех событий информационной безопасности средств защиты и средств ГосСОПКА на срок не менее 6 (шести) месяцев. • Сведения о компьютерных атаках передаются в главный центр ГосСОПКА еженедельно. • Вне очереди направляются инциденты: • с запросом содействия; • по которым были приняты меры, но инцидент не исчерпан; • инциденты группы 1 и группы 2. • Остальные компьютерные инциденты направляются при их локализации (статус: меры приняты, инцидент исчерпан).
  • 60. Что в итоге? • Это рекомендации, а не требования (но мы все понимаем). Очень много полезных детализированных рекомендаций. • Фокус на практическую безопасность (реальная защищенность, выявление и реагирование на инциденты). • Но и документы делать придется (положение о сегменте, штатное расписание, процедуры реагирования и взаимодействия, инструкции и методические рекомендации) • Представлен процессный подход с фокусом на результативность. Важно запустить процессы! • Процессы важнее технологий. Требования к средствам мониторинга и защиты информации минимальны. • Вопросы эффективности не рассматриваются (еще рано). • Отмечена высокая важность информационного обмена и накопления знаний. • Да, надо много взаимодействовать с ГЦ ГосСОПКА и согласовывать с ними.