2024/11/07 16:13:13

Государственная система обнаружения,
предупреждения и ликвидации последствий
компьютерных атак
ГосСОПКА

В январе 2013 г. президент Владимир Путин поручил ФСБ России создать систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на ИТ-ресурсы, расположенные на территории России, а также в дипломатических представительствах и консульских учреждениях России за рубежом.

Содержание

2024

ФСБ готовит законопроект о ГосСОПКА, обязывающий многие организации «войти в орбиту системы»

Представители Национального координационного центра по компьютерным инцидентам (НКЦКИ) на отраслевом форуме 6 ноября 2024 года пролили свет на содержание разрабатываемого проекта федерального закона о ГосСОПКА. По словам замдиректора НКЦКИ Петра Белова, этот документ определит всех участников ГосСОПКА, их задачи, права, обязанности, ответственность, а также уточнит ситуацию с аккредитацией центров ГосСОПКА.

Одним из основных направлений развития в НКЦКИ видят расширение охвата взаимодействия сторон при угрозах проведения компьютерных атак и выявлении целей, методов, способов их проведения. В связи с этим, к участникам деятельности в области ГосСОПКА, в первую очередь, НКЦКИ относит субъекты из первого пункта указа президента №250 «О дополнительных мерах по обеспечению информационной безопасности РФ» от 2022 года. Это ФОИВ, высшие исполнительные органы государственной власти субъектов РФ, госфонды, госкомпании и иные организации, созданные на основании федеральных законов, стратегические предприятия и акционерные общества, системообразующие организации российской экономики, а также субъекты критической информационной инфраструктуры (КИИ). Также действие норм нового законопроекта направлено, к примеру, на операторов персданных в соответствии с изменениями в 152-ФЗ от 2022 года.

На всех них возлагается основная обязанность — организовать у себя деятельность в рамках ГосСОПКА, процессы обнаружения, предупреждения компьютерных атак и ликвидации последствий либо своими силами, либо путём привлечения центров ГосСОПКА. А в необходимых случаях потребуется и размещение средств ГосСОПКА, объяснил представитель НКЦКИ Иван Минаев.

Представитель НКЦКИ Иван Минаев рассказал об основных направлениях законопроекта

Согласно законопроекту, центры ГосСОПКА реализуют основные компетенции в рамках осуществления деятельности в области ГосСОПКА. К ним предъявляются требования по силам и средствам, мониторится их операционная деятельность. Остальные участники ГосСОПКА руководствуются методическими документами НКЦКИ об информационном взаимодействии — «тут ничего нового нет», заметил Иван Минаев. Облачные сервисы для бизнеса: особенности рынка и крупнейшие поставщики. Обзор TAdviser 7.4 т

Центры ГосСОПКА, согласно законопроекту, смогут иметь статус ведомственных, корпоративных и отраслевых, каждый из них будет закреплён и описан отдельно. Но с точки зрения компетенций и аккредитации НКЦКИ этих центров разницы между ними не будет, пояснил представитель НКЦКИ. При этом ведомственные и корпоративные — это относится к форме собственности, а отраслевые — это новая история, их раньше не было. Речь идёт о наличии ИБ-компетенций, которых больше ни у кого нет. Условно, в энергетике может быть центр ГосСОПКА, созданный с учётом функционирования именно этой отрасли, он будет создавать наиболее подходящие методики и проч. Уже который год «отраслевики» просят больше свободы в области ИБ, и отраслевые центры — отчасти ответ на эту потребность.

Ещё одним участником является ФСБ России, которая утверждает всю необходимую подзаконную нормативную базу и выступает регулятором, в первую очередь, для субъектов ГосСОПКА, «понуждая их войти в орбиту системы и соблюдать её базовые правила».

А НКЦКИ, как центральное звено ГосСОПКА, выступает в парадигме законопроекта регулятором для центров ГосСОПКА и осуществляет методическое обеспечение субъектов системы.

Ещё одно направление правового совершенствования ГосСОПКА — это организация комплексного взаимодействия всех владельцев информационных ресурсов в рамках ГосСОПКА. В подготовленном законопроекте закрепляются права и обязанности участников, описываются процессы обнаружения и предупреждения компьютерных атак, реагирования на компьютерные инциденты в отношении всех возможных информационных ресурсов.

«
Нами сделана попытка описать государственную систему как комплекс взаимоувязанных процессов, включающих, в том числе, всеобъемлющую систему мониторинга компьютерных атак и обмена информации внутри системы, — пояснил Иван Минаев.
»

При этом, описывая процессы, в НКЦКИ столкнулись с объективной проблемой того, что многие процессы в рамках обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты исторически находятся в «регуляторной обойме» других органов исполнительной власти. В первую очередь, речь в ФСТЭК России, Минцифры, Роскомнадзоре. Учитывая заложенный системный подход, возникла необходимость включить их в ГосСОПКА как участников и держателей инструментария ГосСОПКА.

Для информационного обмена в рамках ГосСОПКА предполагается также запустить специальный сервис — защищённый «мессенджер ГосСОПКА».

Другие направление развития — это организация надлежащей подготовки сил участников ГосСОПКА. Ущерб, наносимый организациям в результате компьютерных атак, с каждым днём становится всё ощутимее, а подходы злоумышленников динамично эволюционируют. В связи с этим растут потребности организаций в ИБ-специалистах, современных средствах защиты информации, своевременном обновлении ПО и аппаратного обеспечения. При этом существует сильный дефицит ИБ-кадров, а также недостаточный уровень их подготовки при поступлении на работу после вузов.

В НКЦКИ видят свою роль в координации практической составляющей обучения специалистов с использованием создаваемого в НКЦКИ учебно-тренировочного центра (киберполигона) и аналогичных площадок, уже развёрнутых в ряде центров ГосСОПКА. По мере необходимости к этому будет привлекаться академическое сообщество в лице ведущих экспертов российских технических вузов. Программы обучения и замыслы тренировок должны согласовываться с НКЦКИ. Это тоже закреплено в законопроекте.

Говоря о предпосылках разработки законопроекта, в НКЦКИ отмечают, что Россия сталкивается с намерениями злоумышленников не только нанести реальный ущерб объектам КИИ, но идругим сферам и содержащимся в них ИТ-системам. При этом на сегодняшний день законодательная основа противодействия компьютерным атакам содержится в ФЗ о безопасности КИИ. Отдельные меры также закреплены, например, в указе президента №250 «О дополнительных мерах по обеспечению информационной безопасности РФ» и в ФЗ о персданных в части информирования ГосСОПКА.

Надо «отвязать» ГосСОПКА от КИИ, отметил Иван Минаев. Это и призван сделать новый нормативный акт.

Накопленный опыт применения существующей нормативной базы показывает, что её недостаточно для полноценного эффективного противодействия компьютерным атакам в компетенции НКЦКИ. Одной из насущных проблем является то, что информация о компьютерных инцидентах, случившихся вне орбиты КИИ, в НКЦКИ поступает скудно и несистемно. В этой связи невозможно проводить полноценный анализ и прогнозирование ситуации в области обеспечения ИБ, и снижаются возможности по упреждению компьютерных инцидентов.

«
Таким образом, текущая обстановка убедительно демонстрирует необходимость скорейшего включения в орбиту ГосСОПКА практически всех российских информационных ресурсов, взлом которых сопряжён с угрозами национальной безопасности нашей страны, — говорит Иван Минаев.
»

Кроме того, фактором, способствующим разработке отдельного НПА, связана со сложившейся ситуацией, при которой отдельные организации, осуществляющие деятельность в области обеспечения ИБ, получив статус центра ГосСОПКА и используя его в качестве конкурентного преимущества, не в полной мере выполняют свои обязательства перед НКЦКИ, прикрываясь «несовершенством законодательства», соглашениями о неразглашении с заказчиками и «жонглируя терминологией». Роль играет также и «классическое раздолбайство» и некомпетентность, поощряемые отсутствием ответственности за невыполнение указаний и рекомендаций НКЦКИ.

Для выправления этой ситуации проектом ФЗ предусмотрена аккредитация центров ГосСОПКА.

«
Усиление ответственности и более комплексный подход к наказанию нерадивых участников ГосСОПКА также заложены в пакете законопроекта, — сообщил Иван Минаев. — Помимо основного закона нами разрабатывается параллельно закон-спутник.
»

Законопроект получается достаточно объёмным, отметил Иван Минаев. В нём намного больше всяких нюансов, чем было рассказано на отраслевом форуме 6 ноября. При этом представитель НКЦКИ отметил, что в процессе согласования в законопроекте может что-то поменяться, причём существенно.

Когда именно законопроект будет принят, спрогнозировать пока сложно. В НКЦКИ напомнили, что 187-ФЗ разрабатывался и согласовывался пять лет, четыре раза правительство отправляло его на доработку, а драйвером его принятия стала массированная компьютерная атака.

Децентрализация ГосСОПКА: В регионах РФ начали появляться оперативные штабы по кибербезопасности

В марте 2024 года в регионах РФ начали появляться оперативные штабы по информационной безопасности. Речь идет о децентрализации системы реагирования на кибератаки ФСБ (ГосСОПКА).

Как пишет «Коммерсантъ» со ссылкой на постановление правительства Тверской области, в группы реагирования на киберинциденты (ГРИИБ) войдут «наиболее компетентные» в реагировании на кибератаки представители госорганов региона. Из документа также следует, что участники ГРИИБ займутся ликвидацией последствий хакерский атак в Тверской области, а также будут контролировать работы по устранению уязвимостей в инфраструктуре государственных органов и учреждений и готовить отчеты по результатам расследования инцидентов.

В регионах РФ начали появляться оперативные штабы по информационной безопасности

В соответствии с постановлением тверского правительства, ГРИИБ получат право запрашивать дополнительные сведения, связанные с инцидентом, у пользователей ИТ-систем и привлекать к расследованию сотрудников пострадавшего учреждения. Региональный оперативный штаб будет координировать действия по кибербезопасности исполнительных структур, проводить учения по реагированию на инциденты в сфере информационной безопасности и контролировать исполнение рекомендаций ФСБ и ФСТЭК.

По словам руководителя направления по отраслевой кибербезопасности Positive Technologies Сергея Куца, прежде вся информация о киберинцидентах стекалась в главный центр, а создание групп реагирования может стать началом децентрализации работы ГосСОПКА. Эксперт положительно оценил этот процесс, но добавил, что эффективность ГРИИБ и оперативных штабов по кибербезопасности должна «измеряться в качественных показателях, а не с точки зрения, выполнены ли те или иные требования регуляторов».

Как отметили в Минцифры, к началу марта 2024 года в рамках стандартизации работы штабов по кибербезопасности регионами совместно с заинтересованными ведомствами прорабатываются «дополнительные типовые положения».[1]

2023: Хостинг-провайдеров обяжут подключиться к системе ГосСОПКА

14 сентября 2023 года Минцифры РФ опубликовало несколько нормативных актов, регулирующих работу хостинг-провайдеров. В документах речь идет, в частности, о введении дополнительных требований в плане обеспечения кибербезопасности.

Как сообщает газета «Коммерсантъ», российские провайдеры будут должны подключиться к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), которая контролируется ФСБ. При этом на участников рынка накладываются обязательства по борьбе с вредоносными узлами: при выявлении кибератак, таких как DDoS, проводимых через ресурсы, которые размещены у хостинг-провайдера, он должен заблокировать их в течение 12 часов. Кроме того, компании, оказывающие услуги размещения сайтов, должны будут по запросу в течение четырех часов предоставить в ГосСОПКА идентификаторы опасных ресурсов: это исходный и целевой IP-адреса, объем отправленных и полученных данных и другие сведения.

Минцифры обяжет российских провайдеров блокировать ресурсы, используемые для кибератак

Подготовленные в Минцифры документы представляют собой подзаконные акты к поправкам к закону «Об информации», принятым Госдумой летом 2023 года. Ведомство также обнародовало проект постановления правительства, предусматривающий, что хостинг-провайдеры обязаны наравне с операторами связи участвовать в учениях по закону «о суверенном рунете» в рамках его отключения от глобальной сети.

Новые требования распространяются на всех игроков российского рынка. Цель заключается в том, чтобы «обеспечить сохранность информации и защитить инфраструктуру от взломов и утечек». Участники российской ИТ-отрасли полагают, что реализация указанных мер может обернуться ростом тарифов для конечных пользователей. Кроме того, в документах не описан регламент отмены блокировки ресурсов, через которые проводятся атаки.

«
Информационный ресурс можно взломать и использовать для DDoS-атаки, что приведет к его блокировке, но, если проблема инцидента была исчерпана и устранена, его нужно восстановить. Злоумышленники, по сути, могут получить достаточно легитимный способ заморозки ресурсов, — говорит директор по инновационным проектам ГК InfoWatch Андрей Арефьев.[2]
»

2022

Правительство РФ создает аналог системы ГосСОПКА для обмена информацией о киберинцидентах между ИБ-компаниями

1 сентября 2022 года стало известно о создании в России платформы для обмена информацией о киберинцидентах между ИБ-компаниями. Реализации проекта могут помешать договоры о неразглашении, которые поставщики средств киберзащиты заключают с клиентами.

О возможном появлении единой платформы для сбора информации об инцидентах и обмена экспертизой по отражению кибератак «Коммерсанту» рассказали участники рынка. Речь идет как о данных о скомпрометированных банковских картах, так и о учетных записях и вредоносных программах. Источник издания заявил, что запуск самой системы должно взять на себя государство, а ее наполнением займутся профильные компании.

Правительство РФ создает аналог системы ГосСОПКА

Хотя уже существует система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), контролируемая Федеральной службой безопасности (ФСБ), и действует Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ), подконтрольный Центробанку, ГосСОПКА «не открыта для бизнес-сообщества» и, по мнению экспертов, не подходит для обмена опытом.

Глава отдела продуктов компании «Код безопасности» Павел Коростелев считает, что создание платформы может повысить оперативность реагирования на актуальные угрозы. По его словам, компании смогут делиться необходимыми данными, например, какой софт используют злоумышленники или с каких IP]-адресов они приходят. Однако Коростелев видит проблему в том, что участники платформы будут скрывать данные об инцидентах.

Основная проблема не в платформе, а в регулировании информационного обмена, на пути реализации проекта стоят как многочисленные NDA (соглашение о неразглашении), так и другие, в том числе законодательные, ограничения, полагает региональный директор Group-IB в России и СНГ Валерий Баулин. [3]

ФСБ занялась аккредитацией центров мониторинга кибератак

1 июня 2022 года стало известно о приказе ФСБ, согласно которому центры государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) должны будут проходить аккредитацию в Национальном координационном центре по компьютерным инцидентам (НКЦКИ).

Как пишут «Ведомости» со ссылкой на этот документ, аккредитация будет обязательна для всех центров, работающих с субъектами критической информационной инфраструктуры (КИИ), то есть оказывающих услуги по обеспечению информационной безопасности банкам, госучреждениям, операторам связи и т. д.

ФСБ занялась аккредитацией центров мониторинга кибератак

К началу июня 2022 года к ГосСОПКА подключены несколько тысяч организаций, но центров этой системы всего несколько десятков, рассказал газете заместитель директора по развитию бизнеса Solar JSOC компании «РТК-Солар» Павел Гончаров. Такие центры есть при федеральных ведомствах, но могут создаваться и в коммерческих компаниях.

По словам источника издания в неназванной ИБ-компании, центры ГосСОПКА были созданы при Минобороны, Следственном комитете, госкорпорациях «Ростех» и «Росатом», Сбербанке, а также планировались в компаниях Positive Technologies и «Лаборатории Касперского».

Как рассказал в мае 2022 года председатель комитета Госдумы по информполитике Александр Хинштейн, депутаты планируют обсудить с бизнесом и скорректировать поправки к закону «О персональных данных» таким образом, чтобы операторы персональных данных не несли затраты на подключение к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак. Хинштейн предложил передавать все необходимые сведения от операторов персональных данных в ГосСОПКА через электронную почту. Предполагается, что такой вариант не потребует дополнительных затрат от компаний. [4]

Первый пошел: Минцифры запустило отраслевой ИБ-центр по закону о критической инфраструктуре. На подходе Минэнерго и Минздрав

Исполняя требования №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации», российские ведомства приступили к созданию отраслевых центров по ИБ. В ведении министерств и подведомственных им структур есть государственные информационные системы (ГИС), которые причислены к критической информационной инфраструктуре (КИИ). Согласно закону, ведомства обязаны передавать в Национальный координационный центр по компьютерным инцидентам ФСБ РФ (НКЦКИ) информацию о кибератаках на КИИ. Первым ведомством, уже создавшим отраслевой центр кибербезопасности, стало Минцифры.

Министерство запустило отраслевой центр государственной системы обнаружения, предупреждения и ликвидации компьютерных атак (ОЦ ГосСОПКА) на базе подведомственного ФГУП МНИИ «Интеграл». Проект его создания стартовал в 2019 году, победитель был определен на основании конкурса. За три года в проект инвестировано 272,5 млн рублей, рассказали TAdviser в пресс-службе Минцифры. С декабря 2021 года ОЦ ГосСОПКА включен в систему обмена информацией с НКЦКИ.

Минцифры запустило отраслевой ИБ-центр. Фото - «Ростелеком»

Как сообщили TAdviser в Минцифры, в 2022 году отраслевой центр будет наделен полномочиями ведомственного центра ГосСОПКА, и в зону его ответственности войдут подведомственные министерству организации. ОЦ ГосСОПКА будет предоставлять операторам ГИС услуги ИБ, в том числе передавать отчеты об инцидентах в НКЦКИ. Всего в структуру Минцифры входят 27 подведомственных организаций и предприятий. В дальнейшем центр должен наладить обмен информацией о кибератаках с ведущими предприятиями отрасли, владеющими объектами КИИ.

В 2022 году, по планам Минцифры, в ОЦ ГосСОПКА должна быть создана мультиплатформенная структура, система мониторинга фишинга и система раннего предупреждения об ИБ-угрозах.

Аналогичный отраслевой центр Energy CERT создает Минэнерго. Проект стартовал в 2020 году с организации ведомственного центра обнаружения, предупреждения и ликвидации компьютерных атак Минэнерго и построения системы информационной безопасности. В 2021 году на базе ведомственного центра совместно с «Ростелекомом» запущен пилотный проект создания отраслевого центра. В нём участвуют 12 компаний энергетической отрасли.

«
Создание отраслевых центров информационной безопасности – это мировая практика. Они необходимы, так как кибератаки часто имеют отраслевую специфику и реагирование на них требует профильной экспертизы. Мы участвуем в создании такой структуры на базе Ведомственного центра Минэнерго России. С ФГУП «Интеграл» у нас подписано стратегическое соглашение о партнерстве, и мы готовы предложить свою экспертизу для развития центра информационной безопасности Минцифры, – рассказал TAdviser Михаил Адоньев, GR-директор «Ростелеком-Солар».
»

Руководитель ведомственного центра обнаружения, предупреждения, ликвидации последствий компьютерных атак Минэнерго России Денис Новиков уточнил, что создание Energy CERT позволит противодействовать кибератакам с учетом отраслевой специфики, оперативно информировать профильный бизнес и экспертное сообщество об уязвимостях, оказывать методологическую поддержку, разработать отраслевые нормативно-распорядительные документы (политики, регламенты и т.д.) по кибербезопасности.

«
Основу российской энергетической инфраструктуры составляет Единая энергетическая система, системы газоснабжения и магистральных трубопроводов для транспортировки нефти и нефтепродуктов, которые одновременно взаимосвязаны и взаимозависимы. В экономике России ТЭК занимает существенное место и играет роль базовой инфраструктуры, основы формирования доходов бюджетной системы России, крупнейшего заказчика для других отраслей. Обеспечение кибербезопасности ТЭК – одна из ключевых задач для устойчивого функционирования российской экономики в целом, что и составляет предпосылку для запуска единой системы управления кибербезопасностью в ТЭК, – отметил Денис Новиков.
»

В 2021 году о своем намерении создать отраслевой центр заявило Министерство здравоохранения РФ, пока концепция находится на стадии согласования (Подробнее). При этом Александр Дубасов, советник директора ФГБУ ЦНИИОИЗ Минздрава России, в феврале 2022 на конференции по ИБ[5] сообщил, что отраслевой центр Минздрава не сможет подключить всех операторов ГИС и отраслевых систем в сфере здравоохранения, а будет делать это выборочно. По его словам, ОЦ станет центром мониторинга для ГИС, находящихся непосредственно в зоне ответственности Минздрава и некоторых ГИС подведомственных организаций, которые определит министерство.

При этом ОЦ Минздрава будет выступать центром компетенции для представителей отрасли и разработчиком методологических рекомендаций. Кроме того, Минздрав намерен в 2022 году запустить курсы повышения квалификации для главврачей, на которых медиков будут знакомить с базовыми принципами ИБ. А в следующем году на базе медицинских вузов появятся кафедры по подготовке ИБ-специалистов для отрасли здравоохранения.

Представитель НКЦКИ Андрей Раевский во время выступления на конференции по ИБ в феврале 2022 года рассказал, что одними из первых требования № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» выполнили «Ростех», «Росатом» и «Роскосмос». Они уже летом 2021 года запустили центры компетенций по кибербезопасности объектов КИИ. И эти корпоративные центры, по его словам, по сути стали отраслевыми.

В «СёрчИнформ SIEM» реализована возможность прямого экспорта данных в ГосСОПКА

25 января 2022 года компания «СёрчИнформ» сообщила о масштабном обновлении «СёрчИнформ SIEM» при поддержке гранта РФРИТ.

Как сообщалось, для компаний, которые должны отчитываться о состоянии ИБ перед регулятором, реализована возможность напрямую передать отчеты в НКЦКИ в стандартизированном формате. В SIEM реализован функционал прямого экспорта в ГосСОПКА, который позволяет информировать регулятора не о событиях или промежуточных результатах расследований, а представлять картину атаки/сбоя целиком. Подробнее здесь.

2020

Сотни тысяч компаний хотят обязать сообщать ФСБ о кибератаках

9 декабря 2020 года стало известно о том, что сотни тысяч компаний хотят обязать уведомлять ФСБ о кибератаках. Речь идет о внесенном в Госдуму законопроекте о конфиденциальности данных сотрудников правоохранительных органов.

Как пишет «Коммерсантъ» со ссылкой на документ, его авторы предлагают обязать операторов персональных данных, число которых в России превышает 400 тыс., включая малый и средний бизнес, сообщать о киберинцидентах в Государственную систему предупреждения, обнаружения и ликвидации последствий компьютерных атак (ГосСОПКА). Основная цель предложенного закона — ограничить распространение информации о военных, сотрудниках правоохранительных и контрольных органов.

Операторов персональных данных могут обязать сообщать об инцидентах в ФСБ

Эта инициатива грозит бизнесу дополнительными расходами — нужно покупать программное обеспечение и нанимать сотрудников или тратиться на услуги коммерческих центров, считает бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий. Эти услуги в РФ предоставляют «Ростелеком-Solar», «Информзащита», «Инфосистемы Джет», Positive Technologies, Kaspersky Lab, Orange Business Services. Лукацкий признает, что даже объекты критической информационной инфраструктуры (КИИ) испытывают сложности с подключением к ГосСОПКА: для этого нужна поддержка софта с шифрованием данным по требованиям ФСБ, автоматизация круглосуточной передачи данных, а в ряде случаев и допуск к закрытой информации.

Система не сможет защитить данные от утечек со стороны сотрудников компаний, у которых есть доступ к информации, добавил юрист Александр Савельев. При этом возможности самой ГосСОПКА тоже ограничены, и их придётся расширять, полагает директор по правовым инициативам Фонда развития интернет-инициатив Александра Орехович.

По мнению замгендиректора по правовым вопросамИнститута развития интернета Бориса Едидина, логичнее распространить требования в части подключения к ГосСОПКА только на крупнейших операторов, массивы данных которых формируют КИИ страны.[6]

«ДиалогНаука» выполнила НИР по созданию вертикально-интегрированной системы взаимодействия ФОМС с ГосСОПКА

21 сентября 2020 года компания АО «ДиалогНаука», системный интегратор в области информационной безопасности, сообщила о завершении научно-исследовательской работы в сфере обязательного медицинского страхования для нужд Федерального фонда обязательного медицинского страхования (далее – ФОМС) по разработке предложений по созданию вертикально-интегрированной системы взаимодействия ФОМС и ТФОМС с ГосСОПКА. Подробнее здесь.

Центр мониторинга и реагирования «Кода Безопасности» получил право исполнять функции центра ГосСОПКА

5 марта 2020 года компания «Код Безопасности» сообщила о запуске Центра мониторинга и реагирования Кода Безопасности, а также о подписании соглашения о сотрудничестве с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), целью которого является организация взаимодействия в сфере обнаружения, предупреждения и ликвидации компьютерных атак в рамках ГосСОПКА. Подробнее здесь.

Jet CSIRT получил статус Корпоративного центра ГосСОПКА

25 февраля 2020 года компания «Инфосистемы Джет» сообщила о заключении соглашения о взаимодействии Центра мониторинга и реагирования на инциденты ИБ Jet CSIRT с Национальным координационным центром по компьютерным инцидентам (НКЦКИ) для предоставления экспертных сервисов по организации взаимодействия с ГосСОПКА. Подробнее здесь.

2019

Субсидии на создание центров ГосСОПКА будет выделять специально созданная конкурсная комиссия

15 ноября 2019 года TAdviser стало известно, что Министерство цифрового развития, связи и коммуникаций РФ будет создавать специальные конкурсные комиссии, которые определят, кто и как получит субсидии на создание отраслевых центров Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах. Соответствующий приказ[7] был опубликован на днях на Официальном портале правовой информации правительства РФ.

Министерство цифрового развития, связи и коммуникаций РФ

Документ также определяет порядок рассмотрения конкурсной комиссией поданных на конкурсный отбор заявок: в частности, указывается, что победитель должен быть назван не позднее, чем через 20 рабочих дней после окончания срока приема заявок.

В конкурсе имеют право участвовать юрлица - организации, в уставе которых содержатся положения, предусматривающие оказание научно-технических и информационных услуг, создание и использование баз данных и информационных ресурсов. У таких организаций также должна быть лицензия на работу со сведениями, составляющими государственную тайну. Еще одним обязательным условием должно быть наличие у организации успешного опыта реализации проектов в сфере информационной безопасности за последние три года, «в том числе по их выводу на плановую окупаемость и (или) обеспечению достижения запланированных показателей экономической эффективности». Критерием является и наличие у организации-заявителя права получения обязательного экземпляра программ для электронных вычислительных машин и баз данных.

Организация, планирующая участвовать в конкурсе должна будет, помимо заявки, представить документы, подтверждающие соответствие организации критериям конкурсного отбора, а также смету затрат, расчет которых «осуществляет с использованием нормирования отдельных видов расходов, в частности расходов, связанных с оплатой труда работников, закупкой и арендой программного и аппаратного обеспечения, закупкой оборудования и комплектующих изделий».

Победитель определяется по сумме баллов, выставленных членами комиссии. Согласно описанному в документе алгоритму, ключевыми критериями, определяющими победу или проигрыш заявки, станут успешность реализации проектов в течение последних трех лет и обоснованность сметы затрат. Только эти критерии подразумевают вариативность оценки (от 0 до 3 баллов). Все остальное - наличие в уставе организации-заявителя нужных положений, лицензии на работу со сведениями, составляющими гостайну, право обязательного экземпляра программ для ЭВМ и баз данных, - оценивается только двумя величинами - "0" или "5".

«
ГосСОПКА - стратегически значимая часть инфраструктуры. И выполнение проектов, связанных с созданием центров - по сути - может быть поручено только реально доверенным компаниям, которые не только способны реализовать проект, но и проверенны отечественными спецслужбами вдоль и поперек. Соответственно, создаются механизмы предоставления преференций таким компаниям при формальном соблюдении работы рыночных механизмов. Это абсолютно нормальная практика для любого государства, когда речь идет о защите национальных интересов: вовлечение «случайных» игроков может представлять более чем серьезную угрозу нацбезопасности,
указывает Дмитрий Гвоздев, генеральный директор компании "Информационные технологии будущего"
»

Отказ в праве участвовать в конкурсном отборе, если он вынесен, должен направляться заявителю в течение ближайших трех рабочих дней, говорится в документе.

Если ни одна поданная заявка не соответствует установленным критериям, конкурсный отбор признается несостоявшимся.

Angara Professional Assistance получила право исполнять функции оператора ГосСОПКА

Компания Angara Professional Assistance 11 октября 2019 года сообщила о подписании соглашения о взаимодействии с «Национальным координационным центром по компьютерным инцидентам» (НКЦКИ) в рамках выполнения функций оператора ГосСОПКА для субъектов критической информационной инфраструктуры (КИИ) РФ в соответствии с Федеральным законом № 187 от 26 июля 2017 г. "О безопасности критической информационной инфраструктуры Российской Федерации" и его подзаконными нормативными правовыми актами во всех отраслях КИИ. Подробнее здесь.

Правительство окончательно утвердило правила субсидирования отраслевых центров ГосСОПКА

9 октября 2019 года TAdviser стало известно, что Правительство РФ опубликовало[8] постановление, в котором утверждаются правила предоставления субсидий на создание «отраслевых» центров Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах.

Правительство РФ

Постановление датировано 7 октября 2019 года.

Субсидии из госбюджета на создание отраслевых центров ГосСОПКА будет предоставлять Министерство цифрового развития, связи и массовых коммуникаций РФ по результатам конкурсного отбора.

Выделенные средства должны будут частично покрывать затраты субсидированных организаций на таких направлениях как оплата труда работников, непосредственно связанных с созданием отраслевого центра ГосСОПКА; закупка и аренда ПО, аппаратного обеспечения и комплектующих изделий.

Оговаривается, что на оплату труда работников не должно уходить более 60% от суммы субсидии, а на закупку и аренду программно-аппаратного обеспечения — более 30%.

В опубликованной редакции правил также указывается, что субсидируемые проекты отбираются на основе конкурсного отбора, который проводит Минцифры. Принимать участие в конкурсе могут только те организации, в уставе которых присутствуют положения, предусматривающие оказание наунчно-технических и информационных услуг, создание и использование баз данных и информационных ресурсов, имеют лицензию на работу со сведениями, составляющими государственную тайну и имеют успешный опыт «реализации проектов в сфере информационной безопасности за последние 3 года, в том числе по их выводу на плановую окупаемость и(или) обеспеению достижения запланированных показателей экономической эффективности».

«
Тема отбора организаций, занимающихся усилением критической информационной инфраструктуры страны, находится на стыке рынка ИБ и вопросов национальной безопасности. В этой связи применение нерыночных механизмов по выбору ключевых поставщиков может быть оправданно, но при условии, что все эти механизмы были прозрачными, понятными и не допускали неоднозначных и сомнительных трактовок,
считает Дмитрий Гвоздев, генеральный директор компании «Информационные технологии будущего»
»

Проект правил был впервые опубликован в конце июля 2019 года

Сразу же после публикации проекта — и еще до его утверждения — Министерство цифрового развития, связи и массовых коммуникаций РФ объявило о начале конкурсного отбора проектов (мероприятий), направленных на доведение уровня безопасности значимых [9] объектов критической информационной инфраструктуры РФ до установленных законодательством требований.

В объявлении[10] отдельно указывалось, что для участия в отборе необходимо до 20 августа направить в Минкомсвязь заявку, «подготовленную в соответствии с прилагаемыми [11] Правилами предоставления и распределения субсидий». Ссылка вела на только что предложенный проект правил, до утверждения которых прошло ещё два месяца. Несмотря на это итоги конкурса были обнародованы [12]уже 30 августа.

Минкомсвязи предложило субсидировать создание "отраслевых" центров ГосСОПКА

30 июля 2019 года стало известно, что Министерство цифрового развития, связи и массовых коммуникаций опубликовало проект постановления Правительства РФ[13], в котором регламентируются правила выделения субсидий на создание отраслевого центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

Минкомсвязи предложило субсидировать создание "отраслевых" центров ГосСОПКА

В то время как документ весьма подробно описывает процедуру и условия выделения средств, он не дает определения "отраслевых" центров ГосСОПКА. Ранее речь шла только о частных (корпоративных) и государственных центрах компетенции - по крайней мере, такое деление присутствует в методических документах ФСБ. Предполагать оговорку в проекте правительственного постановления было бы довольно странно, так что если речь идет не о присвоении корпоративным центрам ГосСОПКА другого наименования, то возможно, что под "отраслевыми" подразумеваются какая-то иная разновидность центров компетенции.

«
Классификация центров ГосСОПКА регламентирована документами ФСБ, и там `отраслевые` центры не встречаются. С другой стороны, вполне вероятно, что речь идет об организациях, которые будут обеспечивать функции таких центров для большого количества клиентов. В частности, некоторые крупные системные интеграторы, специализирующиеся на информационной защите, уже заключили договоренность с ФСБ и получили право выполнять функции центров ГосСОПКА для госорганов. Логично предположить, что деятельность подобного рода имеет основания для получения субсидий от государства,
»

Проект постановления ссылается на федеральный проект «Информационная безопасность» национальной программы «Цифровая экономика РФ». Предоставление субсидии непосредственно занимается Минкомсвязи.

В документе, в частности, приводится следующий пассаж:

«
Субсидия предоставляется Министерством цифрового развития, связи и массовых коммуникаций РФ на конкурсной основе в пределах бюджетных ассигнований, предусмотренных федеральным законом о федеральном бюджете на соответствующий финансовый год и на плановый период, и лимитов бюджетных обязательств, доведенных в установленном порядке до Министерства цифрового развития, связи и массовых коммуникаций РФ как получателя средств федерального бюджета в целях исполнения результата «Создан отраслевой центр Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах» федерального проекта Программы.
»

К конкурсу будут допускаться организации, занимающиеся оказанием научно-технических и информационных услуг, а также созданием и использованием баз данных и информационных ресурсов, имеет лицензию на работу со сведениями, составляющими государственную тайну, а кроме того, "в соответствии с Федеральным законом от 29.12.1994 № 77-ФЗ "Об обязательном экземпляре документов" наделена правом получения обязательного экземпляра программного обеспечения".

Также оговаривается, что получатель субсидии не находится в процессе реорганизации, ликвидации или банкротства. Это указывает, что речь идет главным образом о коммерческих фирмах.

Размер субсидии определяется как сумма расходов получателя по трем направлениям: оплата труда работников; затраты организации на закупку и аренду программного и аппаратного обеспечения и затраты организации на закупку оборудования и комплектующих изделий. При этом оговаривается, что на оплату труда работников не должно уходить более 60% от суммы субсидии, а на закупку и аренду программно-аппаратного обеспечения - более 30%. Ограничения на закупку оборудования и комплектующих изделий в документе не оговариваются.

В случае недостижения результата - то есть, если центр компетенции так и не создан, - субсидия подлежит возвращению.

«ИнфоТеКС» подключил Правительство республики Тыва к системе ГосСОПКА

11 июля 2019 года группа компаний «ИнфоТеКС» сообщила подключении Республики Тыва к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Это первое подключение субъекта РФ через сторонний центр ГосСОПКА с использованием технической инфраструктуры Национального координационного центра по компьютерным инцидентам (НКЦКИ). Подробнее здесь.

«Инфосекьюрити» получила право исполнять функции центра ГосСОПКА для субъектов КИИ РФ

Компания «Инфосекьюрити» (входит в ГК Softline) 4 июля 2019 года сообщила о подписании соглашения о сотрудничестве с «Национальным координационным центром по компьютерным инцидентам» (НКЦКИ), целью которого является организация взаимодействия в сфере обнаружения, предупреждения и ликвидации компьютерных атак в рамках ГосСОПКА. Соглашение даёт Центру мониторинга и реагирования на инциденты ИБ «Инфосекьюрити» (ISOC) право исполнять функции центра ГосСОПКА для субъектов критической информационной инфраструктуры РФ. Подробнее здесь.

ФСБ сформулировала требования к средствам ГосСОПКА

6 мая 2019 года Федеральная служба безопасности выпустила приказ "Об утверждении требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты"[14]

Здание ФСБ

Приказ базируется на Федеральном законе от 26 июля 2017 г. №183-ФЗ "О безопасности критической информационной инфраструктуры РФ" и конкретизирует требования к средствам ГосСОПКА, которые должны использоваться для защиты КИИ РФ.

В частности, приказ перечисляет требования, которые предъявляются "к техническим, программным, программно-аппаратным и иным средствам", используемым для поиска признаков компьютерных атак, их обнаружения, предупреждения и ликвидации последствий, а также к системам обмена информацией, необходимой субъектам критической информационной инфраструктуры в случае, если имеет место киберинцидент. Описываются также требования к криптографическим средствам защиты такой информации.

ФСБ требует исключить возможность удаленного управления средствами ГосСОПКА со стороны лиц, не являющихся работниками субъекта критической информационной инфраструктуры или организации, лицензированной на защиту информации.

Также должна быть исключена возможность несанкционированной передачи обрабатываемой информации посторонним лицам.

Далее указывается, что средства ГосСОПКА должны иметь возможность модернизации российскими организациями, "не находящимися под прямым или косвенным контролем иностранных физических лиц и (или) юридических лиц", и быть обеспечены гарантийной и технической поддержкой российскими организациями, которые так же не находятся под контролем иностранных физлиц и юрлиц.

Весьма существенный пункт требований: работа средств ГосСОПКА не должна приводить к нарушениями функционирования информационных ресурсов, находящихся на территории РФ и ее дипломатических представительствах или консульских учреждений страны за рубежом. Оговаривается, что влияние на достижение целей и функционирование объектов КИИ со стороны средств ГосСОПКА должно быть исключено.

Кроме того, приказ требует реализации ряда функций безопасности в средствах ГосСОПКА, в том числе, идентификацию и аутентификацию пользователей, разграничение прав доступа к информации и функциям, регистрацию событий информационной безопасности, обновление программных компонентов и служебных баз данных, резервирование и восстановление своей работоспособности, корректировкку настроек времени и контроль целостности ПО.

Оговаривается, что пользовательские пароли, если они используются для аутентификации, должны храниться в зашифрованном виде, и что пользователи должны будут получать уведомления о необходимости смены паролей.

Предписываются и другие - вполне стандартные, но часто упускаемые из виду - процедуры обеспечения безопасности, такие как блокирование сессии после заданного времени простоя, уведомление о неудачных попытках доступа к управлению средствами ГосСОПКА и запись всех действий пользователей с момента авторизации в электронный журнал.

Для средств ППКА специально указывается необходимость ведения электронных журналов учета технического состояния и защиты этих журналов от редактирования и удаления информации в них.

Документ также оговаривает возможность "штатного самотестирования ПО в процессе функционирования".

В целом, приказ ФСБ детально оговаривает каждый аспект функционирования средств ГосСОПКА, и, как считают эксперты, избыточной детализированности в данном случае быть не может.

«
Средства ГосСОПКА - это основная защита критической информационной инфраструктуры РФ. Их реализация должна быть регламентирована максимально подробно, без какой-либо неопределенности возможности двоякого толкования. Задача приказа - определить функции и возможности, которые в обязательном порядке должны присутствовать в системах ГосСОПКА, а также указать, чего там быть не должно. В любом документе можно найти недоработки, однако в данном случае все выглядит весьма четко: организациям, которые будут заниматься конечной реализацией средств ГосСОПКА, установлены конкретные рамки, в которых они должны будут выполнять возложенные на них задачи,
отмечает Дмитрий Гвоздев, генеральный директор компании "Информационные технологии будущего"
»


Отдельно внимания заслуживает требование, связанное с обеспечением безопасности информации при ее обмене с участниками информационного взаимодействия (Национальным координационным центром по компьютерным инцидентам): используемые в ГоСОПКА средства криптографической защиты информации (СКЗИ) должны быть сертифицированы в системе сертификации СКЗИ.

Общие требования к средствам ГосСОПКА представлены в разделах 2, 8 и 9 рассматриваемого документа, в которых соответственно определены требования общего характера, требования в части реализации функций безопасности, требования в части построения и визуализации отчетов соответственно.

Так, требования, перечисленные в разделе 2, подразумевают исключение возможности управления средствами ГосСОПКА третьими лицами и несанкционированной передачи информации таким лицам. Кроме того, стоит обратить внимание на требования к лицам, осуществляющим модернизацию средств ГосСОПКА и их техническую поддержку — российские организации, не находящиеся под контролем иностранных лиц.

В разделе 8 регулятор подробно описывает требования к функциям безопасности, которые должны обеспечивать средства ГосСОПКА. Требования объединены в следующие категории:

  • 1. Идентификация и аутентификация пользователей средств ГосСОПКА.
  • 2. Разграничение прав доступа к информации и средствам ГоСОПКА.
  • 3. Регистрация событий ИБ.
  • 4. Обновление ПО и служебных баз данных средств ГоСОПКА.
  • 5. Резервирование и восстановление средств ГосСОПКА.
  • 6. Контроль целостности программного обеспечения средств ГосСОПКА.
  • 7. Синхронизация сетевого времени.

Наконец, в средствах ГосСОПКА должен быть предусмотрен функционал по визуализации всей обрабатываемой информации: событий ИБ, инцидентов, уязвимостей и так далее. Такая информация должна собираться в отчеты (графики, таблицы) в «ручном» режиме или автоматически, храниться в течение установленного срока и, при необходимости, экспортироваться и исправляться непосредственным адресатам.

«Информзащита» получила право исполнять функции центра ГосСОПКА для госорганов, юрлиц и ИП России

ФСБ России и компания «Информзащита», системный интегратор в сфере информационной безопасности, 18 января 2019 года объявили о подписании соглашения о взаимодействии в области обнаружения, предупреждения и ликвидации компьютерных атак в рамках ГосСОПКА. Подробнее здесь.

2018

«Дочка» Сбербанка подключит малый бизнес к ГосСОПКА

17 сентября 2018 года стало известно о том, что «дочка» Сбербанка «Безопасная информационная зона» («Бизон») займется подключением малого бизнеса к государственной системе защиты от компьютерных атак (ГосСОПКА). Об этом пишет «Коммерсантъ» со ссылкой на план мероприятий по информационной безопасности национального проекта «Цифровая экономика».

В Сбербанке изданию подтвердили намерение использовать свой опыт для киберзащиты небольших компаний. В кредитной организации называют «Бизон» «визионером» российского рынка кибербезопасности, среди клиентов которого «крупнейшие компании» из сфер финансов, энергетики, воздушных перевозок и т. д.

Подключением небольших компаний к государственной системе защиты от компьютерных атак (ГосСОПКА) займется «дочка» Сбербанка «Безопасная информационная зона» («Бизон»)

По словам директора Positive Technologies по методологии и стандартизации Дмитрия Кузнецова, к октябрю 2018 года центры ГосСОПКА создаются только в федеральных органах власти и крупных корпорациях, а стоимость подключения может измеряться десятками миллионов рублей.

Многие компании, в том числе немаленькие, в которых работают 1–2 тыс. человек, не смогут позволить себе создание такого центра и оказываются «практически без поддержки со стороны ГосСОПКА», добавил он.

Корпоративные центры «Бизона» для малого и среднего бизнеса должны удешевить подключение, при этом позволив «Бизону» «стабильно зарабатывать на внешнем рынке, покрывая расходы за счет заказов от Сбербанка», пишет издание со ссылкой на генерального директора компании «Атак Киллер» Рустэма Хайретдинова.

Потери малого и среднего бизнеса России от хакерских атак в 2017 году составили 12 млрд рублей, оценивает директор по маркетингу компании «Ростелеком-Solar» Валентин Крохин. Такие компании, по словам эксперта, из-за небольших бюджетов на информационную безопасность заметно хуже защищены от киберпреступников по сравнению с крупным бизнесом.

Источник газеты на ИБ-рынке отмечает, что в «Бизон» было влито большое количество денег, и теперь их как-то нужно окупать.[15]

ФСБ определила перечень сведений для обязательной отправки в ГосСОПКА

Как стало известно 10 сентября 2018 года, Федеральная служба безопасности определила перечень сведений, которые должны в обязательном порядке направляться в государственную систему обнаружения предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Приказ датирован 24 июля 2018 года, но опубликован был только в первой декаде сентября.

Здание ФСБ РФ

Согласно первому приложению к приказу ФСБ, в ГосСОПКА должна направляться информация, прямо или косвенно связанная с функционированием объектов критической информационной инфраструктуры РФ.

То есть, во-первых, это сведения о самих объектах, зачисленных в реестр критической инфраструктуры, а также об их возможном исключении из этого реестра.

Во-вторых, это сведения о компьютерных инцидентах, сказывающихся на функционировании объектов КИИ, со всеми доступными подробностями: дата, время, место нахождение объекта; наличие "причинно-следственной связи между компьютерным инцидентом и компьютерной атакой"; возможное наличие связи с другими инцидентами; состав технических параметров компьютерных инцидентов и его последствия.

Кроме того, в ГосСОПКА должна поступать информация о выявлении существенных нарушений требований безопасности значимых объектов КИИ, если в результате них создаются предпосылки для возникновения компьютерных инцидентов.

Отдельным пунктом значится "иная информация" в области обнаружения, предупреждения и ликвидации последствий кибератак и реагирования на инциденты. Её могут предоставлять как субъекты КИИ, так и другие органы и организации, не входящие в критическую инфраструктуру РФ, в том числе международные.

Во втором приложении к приказу описывается порядок предоставления информации в ГосСОПКА. В частности, оговаривается, что общие сведения из реестра КИИ и информация по итогам проведения государственного контроля должна направляться в Национальный координационный центр по компьютерным инцидентам (НКЦКИ) не реже раза в месяц и не позднее месячного срока с момента включения объекта КИИ в реестр значимых объектов или исключения из него, изменения категории его значимости или составления акта проверки по итогам осуществления государственного контроля (если выявлены нарушения).

Формат, в котором уполномоченный орган отправляет эти сведения, определяется самим уполномоченным органом.

Что касается сведений о конкретных инцидентах, то они должны направляться в соответствии с форматами, определёнными НКЦКИ, и с использованием технической инфраструктуры Координационного центра, предназначенной для получения и обработки данных об инцидентах.

Если доступа к этой инфраструктуре у объекта КИИ по какой-либо причине нет, то информация направляется по каким-либо иным каналом, в том числе по почтовой, факсимильной или электронной связи на адреса или телефонные номера НКЦКИ.

Информация должна поступить в НКЦКИ не позднее, чем через 24 часа после обнаружения инцидента. Ещё 24 часа отводится НКЦКИ на уведомление субъекта КИИ о получении этой информации.

«
Список сведений, поступающих в ГосСОПКА, можно было бы дополнить результатами прошлых мероприятий по аудиту безопасности, которые проводят на объектах КИИ коммерческие структуры, специализирующиеся на поиске уязвимостей в цифровой инфраструктуре, — считает Дмитрий Гвоздев, генеральный директор компании "Информационные технологии будущего". — Также в ГосСОПКА имело бы смысл регулярно вносить данные о том, какие уязвимости могли быть выявлены в программном обеспечении, используемом на объектах КИИ, и какие из них исправлены. Это поможет с профилактикой компьютерных инцидентов и кибератак.
»

Ознакомиться с текстом Приказа ФСБ РФ от 24.07.2018 № 367 "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации" можно здесь.

Закон о безопасности КИИ РФ обязал субъекты КИИ информировать госорганы о киберинцидентах

ФЗ №187 «О безопасности критической информационной инфраструктуры (КИИ) РФ», вступивший в силу 1 января 2018 года, обязывает субъекты КИИ проводить мероприятия по информированию о компьютерных инцидентах федеральных органов исполнительной власти и обеспечению выполнения порядка и технических условий установки и эксплуатации средств инфраструктуры объектов КИИ; реагировать на компьютерные инциденты в порядке, указанном в законе, принимать меры по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ и непрерывно взаимодействовать с ГосСОПКА. Субъекты КИИ могут осуществлять построение и эксплуатацию центров ГосСОПКА самостоятельно, либо выполнять эту задачу с привлечением уполномоченных в рамках соглашения с ФСБ компаний.

2017

Путин сделал ФСБ ответственной за борьбу с кибератаками

Отвечать за обнаружение и предотвращение кибератак на российские сети с 2018 года будет Федеральная служба безопасности (ФСБ). Соответствующий указ был подписан президентом Владимиром Путиным и размещен на сайте официального опубликования правовых актов publication.pravo.gov.ru. Указ за номером 620 носит название «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». Срок вступления в силу — 1 января 2018 г[16].

Этот правовой акт закрепляет за ФСБ полномочия по обеспечению работы государственной системы обнаружения предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Имеются в виду компьютерные атаки на информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, которые находятся в самой России, а также в дипломатических представительствах и консульствах.

В указе перечислены задачи, которые должна выполнять ГосСОПКА. К ним относятся прогнозирование ИБ-ситуации в стране, обеспечение сотрудничества операторов связи и владельцев информационных ресурсов в области кибербезопасности, контроль защищенности российских информационных ресурсов и установление причин ИБ-инцидентов.

Помимо непосредственно обеспечения и контроля функционирования ГосСОПКА, ФСБ будет заниматься формированием и реализацией государственной научно-технической политики в сфере борьбы с кибератаками, а также разрабатывать методические рекомендации по их обнаружению, предупреждению, по установлению причин и ликвидации последствий.

Positive Technologies и Solar Security взяли на себя создание центров ГосСОПКА «под ключ»

Компании Solar Security и Positive Technologies запустили в ноябре 2017 года совместное бизнес-направление по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) на базе комплекса технологий и экспертизы Positive Technologies, а также сервисов Solar Security по мониторингу и реагированию на инциденты.

Согласно исследованиям Positive Technologies, во II квартале 2017 года злоумышленники проявили повышенный интерес к государственным организациям, финансовой отрасли, оборонным предприятиям и промышленным компаниям, в сумме на них было направленно 24% атак. Атаки на КИИ характеризуются высоким профессионализмом атакующих, а также длительным и скрытным присутствием в инфраструктуре жертвы. При этом отчет Solar JSOC за первую половину 2017 года показывает, что соблюдение методических рекомендаций по эксплуатации ведомственных и корпоративных центров ГосСОПКА позволяют выявить около 80% внешних атак.

В соответствии с федеральным законом от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» органы государственной власти, государственные корпорации и другие организации, относящиеся к КИИ, должны создать у себя ведомственные или корпоративные центры ГосСОПКА. Для этого организациям необходимы соответствующие технические решения и высокая экспертиза аналитиков, которая позволит осуществлять мониторинг, анализ и расследование инцидентов, а также выполнять ряд других функций в соответствии с методическими рекомендациями ФСБ России.

Чтобы помочь российским организациям в решении этой задачи, Positive Technologies и Solar Security объединили зарекомендовавшие себя российские продукты с опытом и экспертизой крупнейшего коммерческого центра мониторинга и реагирования на кибератаки.

В рамках данного направления: · Positive Technologies предоставляет заказчику комплекс технологических решений, необходимых для создания центра ГосСОПКА. В него входят продукты для построения информационного взаимодействия с главным центром ГосСОПКА, управления инцидентами, контроля защищенности внутренней инфраструктуры и периметра, защиты критических веб-сервисов организации, детектирования и блокирования вредоносных рассылок; · Solar Security осуществляет эксплуатацию этих решений, контроль защищенности инфраструктуры, мониторинг и реагирование на инциденты информационной безопасности, а также взаимодействие с главным центром ГосСОПКА; · расследование инцидентов выполняется с использованием совокупной экспертизы партнеров.

Использование данного сервиса позволяет организациям в короткие сроки повысить общий уровень защищенности критической инфраструктуры, а также обеспечить соответствие требованиям N 187-ФЗ и методических рекомендаций по созданию ведомственных и корпоративных центров ГосСОПКА.

Совет Федерации одобрил введение уголовной ответственности за атаки на критическую ИТ-инфраструктуру

19 июля стало известно о том, что Совет Федерации одобрил закон «О безопасности критической информационной инфраструктуры», разработанный Федеральной службой безопасности (ФСБ) и внесенный в Госдуму Правительством в декабре 2016 г. Документ вступит в силу с начала 2018 г.[17]

Фото: amurmedia.ru

Закон вводит классификацию объектов критической информационной инфраструктуры и предполагает создание реестра таких объектов, при этом определяет права и обязанности как владельцев объектов, так и органов, которые эти объекты защищают. Орган, на который будет возложена ответственность за обеспечение безопасности инфраструктуры, пока не назначен.

Документ также предполагает создание государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информацоинные ресурсы России (ГосСОПКА), которая обеспечит сбор и обмен информацией о компьютерных атаках.

Одновременно с одобрением закона «О безопасности критической информационной инфраструктуры РФ», были утверждены проистекающие из него поправки в законы «О связи», «О государственной тайне», «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», а также поправки в Уголовный кодекс РФ. Так, в главе 28 Уголовного кодекса «Преступления в сфере компьютерной информации» появится статья 274.1, которая предусматривает наказание за вред, причиненный объектам критической информационной инфраструктуры.

Госдума одобрила законопроект о безопасности критической инфраструктуры

В начале июля 2017 года Государственная Дума приняла во втором чтении закон «О безопасности критической информационной инфраструктуры». Документ был разработан Федеральной службой безопасности (ФСБ) и внесен в Думу Правительством в декабре 2016 года. В январе 2017 года законопроект был одобрен в первом чтении. Документ предполагает создание системы ГосСОПКА, которая должна обеспечивать сбор и обмен информацией о компьютерных атаках.[18]

Система уже работает — в частности, к ней подключались подрядчики недавно прошедшего Кубка Конфедераций по футболу. Однако нормы об обязательном подключении к системе до сих пор не было.

Кроме того, Президенту потребуется определить уполномоченный орган обеспечения безопасности критической информационной инфраструктуры. Подготовкой соответствующего указа займутся ФСБ и Федеральная служба технического и экспортного контроля (ФСТЭК). Собеседники CNews на рынке информационной безопасности считают, что таковым уполномоченным органом станет ФСБ.

Субъекты критической инфраструктуры

Субъектами критической информационной инфраструктуры станут госорганизации, юридические лица и индивидуальные предприниматели, которые владеют или арендуют информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления из определенного перечня отраслей. В списке затронутых сфер оказались энергетика, транспорт, связь, наука, здравоохранение, топливно-энергетический комплекс, банковская и иные финансовые сектора, атомная энергетика, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность.

Субъекты критической инфраструктуры (СКИ) должны будут создать системы безопасности на основе разработанных государством требований. Также СКИ должны будут незамедлительно сообщать в ГосСОПКА о компьютерных атаках на них, принимать указанные уполномоченными органами меры по отражению атак и допускать до своих объектов сотрудников спецслужб.

В случае атаки на объекты финансового сектора необходимо будет ставить в известность еще и Центробанк. Для координации деятельности СКИ по отражению компьютерных атак ФСБ создаст Национальный координационный центр по компьютерным инцидентам.

Орган, уполномоченный на обеспечение безопасности критической информационной инфраструктуры, будет вести реестр СКИ. Данный реестр буде собирать информацию для ГосСОПКА. При внесении СКИ в реестр будет определяться категория его значимости — от первой до третьей. Категория будет присваиваться, исходя из экономической, социальной, политической, экологической значимости данного объекта, а также с учетом его значимости для обороны.

Уполномоченный орган также получит возможность проведения плановых и внеплановых проверок СКИ, внесенных в реестр.

Уголовное наказание за атаки на объекты КИИ

Одновременно в Уголовный кодекс вносятся поправки об усилении наказания за причинения вреда объектам критической информационной инфраструктуры (КИИ). Создание программ для ЭВМ, которые заведомо предназначены для неправомерного доступа к объектам КИИ, будет наказываться принудительными работами на срок до пяти лет с ограничением свободы на срок до двух лет либо лишением свободы на срок от двух до пяти лет со штрафом в размере от 600 тыс. до 1 млн руб.

Неправомерный доступ к охраняемой законом компьютерной информации, хранящейся в объектах КИИ, будет наказывать принудительными работами на срок до пяти лет со штрафом на сумму от 500 тыс. до 1 млн руб. и ограничением свободы на срок до двух лет либо лишением свободы на срок от двух до шести лет со штрафом в размере от 500 тыс. до 1 млн руб.

Нарушения правил эксплуатации средств хранения, обработки и передачи информации из объектов КИИ или автоматизированных сетей управления и сетей связи, отнесенных к КИИ, будут наказываться принудительными работами на срок до пяти лет с лишением права занимать определенные должности на срок до трех лет, либо лишением свободы на срок до шести лет с лишением права занимать определенные должности на срок до трех лет.

2016

За прошедший год ГосСОПКА вышла из младенческого возраста. Во-первых, появились первые публичные ласточки — Центр обнаружения, предупреждения и ликвидации последствий компьютерных атак (КЦОПЛ) госкорпорации Ростех, правительство Самарской области, тендер АФК «Система», намерение ФСО привлечь ГосСОПКУ для создания и обеспечения работы закрытой государственной сети RSNet. Во-вторых, появился первый хоть как-то похожий на путеводный документ «Методические рекомендации по созданию ведомственных и корпоративных центров ГосСОПКА»[19].

Бурного развития рынка кибербезопасности за счет ГосСОПКИ так и не произошло, и вряд ли это произойдет раньше 2018 г. — государственный бюджет год от года секвестируется в реальном выражении, а экономика подает довольно слабые признаки роста. Кстати, в приватных беседах участники рынка признают, что ГосСОПКА (центральный сегмент) не только не готова к полноценной работе, но и начнет реализовываться в полной мере только после принятия законодательной базы по критическим информационным инфраструктурам (КИИ). Соответствующий закон, проходя инстанции, изрядно «похудел», и теперь, например, пищевая промышленность не входит в КИИ. Возможно, немедленный эффект от проблем с пищепромом и не будет заметен, но все же — в случае масштабных проблем есть-то что будем, коллеги? Тем более что географически ближайшие и мощнейшие поставщики агропродукции из ЕС отрезаны от российского потребителя российскими санкциями.

Лишь весной 2017 года планируется и утверждение президентом РФ Положения о ГосСОПКЕ, вероятно наконец-то утвердят и вышеупомянутые Методические рекомендации, а значит рачительным ведомствам вполне можно подождать — и реализовывать свои центры мониторинга кибератак по уже утвержденным нормативным документам.

2015: Концепция системы

В декабре 2014 года президент Владимир Путин утвердил концепцию государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ. В марте 2015 года ФСБ опубликовала выписку из этого документа (скачать PDF), содержащую данные о том, как будет устроена эта система.

Согласно документу, система представляет собой единый централизованный территориально-распределенный комплекс, включающий силы и средства обнаружения, предупреждения и ликвидации последствий компьютерных атак, федеральный орган власти, уполномоченный в области обеспечения безопасности критической инфраструктуры РФ и орган власти, уполномоченный в области создания и обеспечения функционирования системы.

Под «средствами» в концепции подразумеваются, главным образом, технологические решения, а под «силами» - специальные подразделения и сотрудники со стороны федерального органа власти, ответственного за систему, а также операторов связи и других организаций, осуществляющих лицензируемую деятельность в сфере защиты информации.

В составе системы будет функционировать созданный в ФСБ Национальный координационный центр по компьютерным инцидентам

Основной организационно-технической составляющей системы являются центры обнаружения, предупреждения и ликвидации последствий компьютерных атак, которые будут подразделяться по территориальному и ведомственному признакам. В частности, будет организован главный центр, региональные, территориальные центры системы, а также центры госорганов и корпоративные центры. Функционирование последних будет обеспечиваться организациями, их создавшими.

В составе системы также функционирует созданный в ФСБ Национальный координационный центр по компьютерным инцидентам, который организует и осуществляет обмен информацией о них с юрлицами, владеющими объектами критической ИТ-инфраструктуры РФ, операторами связи, обеспечивающими взаимодействие объектов критической ИТ-инфраструктуры, а также с иностранными госорганами и другими организациями, работающими в области реагирования на кибер-инциденты.

Основными функциями системы, указано в концепции, является выявление признаков проведения компьютерных атак, определение их источников и другой связанной информации, прогнозирование ситуации в области обеспечения информационной безопасности РФ, сбор и анализ информации о компьютерных атаках в отношении информационных ресурсов РФ, осуществление мероприятий по оперативному реагированию на атаки и ликвидации их последствий и др.

Также рамках системы планируется организовать взаимодействие с правоохранительными и другими госорганами, владельцами информационных ресурсов РФ, операторами связи и интернет-провайдерами на национальном и международном уровнях. Оно будет включать обмен информацией о выявленных компьютерных атаках и обмен опытом в сфере в сфере выявления и устранения уязвимостей ПО и оборудования и реагирования на компьютерных инциденты.

Для функционирования системы планируется создать соответствующую законодательную базу, определить порядок фиксации и обмена информацией о компьютерных атаках, деятельности субъектов системы в области обнаружения, предупреждения и ликвидации последствий атак.

Технические проблемы ГосСОПКА

К числу таковых относятся[20]:

  • отсутствие собственного ПО многих классов, как общесистемного (операционных систем, систем управления базами данных), так и прикладного (например, софта для моделирования месторождений), так, например, в системе ЦБ РФ используется 40% прикладного ПО зарубежного производства, зарубежных баз данных, ОС, аппаратно-программного обеспечения – 95%;
  • отсутствие собственной элементной базы;
  • практическое отсутствие отечественного телекоммуникационного оборудования на всей территории страны;
  • топология транспортной сети страны с точки зрения обеспечения её живучести требует улучшений.

Возможные подходы к проектированию ГосСОПКА

Возможен подход на основе классификации информационных активов организаций по степени их ценности, важности для обеспечения управления государством и сохранения знаний, необходимых для развития страны. Дифференцированные требования к защите классифицированных таким образом информационных активов можно установить законом, возложив ответственность на сами ведомства, в чьём ведении информационные ресурсы находятся – без привлечения организаций, аккредитованными ФСТЭК России.

В этом случае появится возможность создания произвольной структуры ГосСОПКА (сегменты системы по министерствам. ведомствам, организациям, субъектам РФ) и существенно удешевить разработку стоимость работ (не потребуется создавать свои программно-технические средства). Надёжность не пострадает – изоляция важнейших элементов IT-инфраструктуры будет безопаснее, чем подключение через доверенные средства.

Органический недостаток такого подхода – изоляция части системы, что влечёт снижение оперативности работы системы и неудобства для пользователей.

Альтернативный подход состоит в поиске критических мест инфраструктуры и их защите доверенными средствами. В этом случае классификация информационных ресурсов по степени их важности неактуальна, но необходима (или, как минимум, крайне желательна) отечественная программно-техническая платформа.

Преимущества второго подхода значительны. Во-первых, отсутствует необходимость изоляции сегментов системы и создаётся единое защищённое информационное пространство с «прозрачным» администрированием. Как следствие, повышается оперативность, улучшается контроль всех процессов. Во-вторых, защита всей инфраструктуры страны обеспечивается отечественными программно-техническими средствами с максимально высоким уровнем защиты.

Расплата за эти преимущества – высокая стоимость проекта и большое время разработки.

Каким угрозам должна противостоять ГосСОПКА

Наиболее опасны кибератаки, за которыми стоят хорошо организованные группировки киберпреступников и (или) государства. Но и совокупный вред, наносимый экономике многочисленными менее опасными нападениями, со временем может рассматриваться как серьёзная угроза стране.

2013

ФСБ подготовила законопроекты о безопасности КИИ

В августе 2013 г. ФСБ опубликовала подготовленные ведомством законопроекты, касающиеся безопасности критической информационной инфраструктуры России.

Первый из законопроектов определяет, за счет чего в России обеспечивается безопасность критической ИТ-инфраструктуры и устанавливает принципы обеспечения такой деятельности, а также полномочия госорганов в данной области.

Существенная часть критических ИТ-систем не находится в собственности государства, поэтому законопроект предусматривает также «дополнительные обременения» для лиц, владеющих такими системами на правах собственности.

Необходимость вышеуказанного закона его авторы объясняют тем, что стабильность социально-экономического развития России и ее безопасность, по сути, поставлены в прямую зависимость от надежности и безопасности функционирования информационно-коммуникационных сетей и ИТ-систем, и в то же время существующие законы, регулирующие отношения в области безопасности критической ИТ-инфраструктуры, отсутствуют. Это, по мнению ФСБ, приводит «к несогласованности и недостаточной эффективности правового регулирования в данной сфере».

Второй законопроект определяет меры ответственности за нарушение законодательства о безопасности критической информационной инфраструктуры. При этом наравне с дисциплинарной, гражданско-правовой и административной за нарушение разработанного ФСБ закона предусматривается и уголовная ответственность.

К примеру, статью 272 УК («Неправомерный доступ к компьютерной информации») ФСБ предлагает дополнить частью пятой, устанавливающей ответственность за неправомерный доступ к охраняемой законом компьютерной информации, повлекший ущерб безопасности критической информационной инфраструктуры или создавший угрозу его наступления. Предусмотренное за это наказание составит до 10 лет лишения свободы.

Уголовную ответственность законопроект также предусматривает за нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оборудования, а также за нарушение правил доступа к таким сетям, повлекшее ущерб безопасности критической информационной инфраструктуры или создавшее угрозу его наступления. За это ФСБ предлагает наказывать лишением свободы на срок до 7 лет.

По задумке ФСБ, после подписания президентом оба законопроекта должны вступить в силу в январе 2015 г.

Подробности работы над проектом от ФСБ

В ФСБ рассчитывают, что большая часть законодательных актов, касающихся создания и функционирования в России единой государственной системы защиты от компьютерных атак, будет разработана и опубликована до конца 2013 г., рассказал TAdviser источник в ведомстве 12 апреля 2013 г. Он отмечает, что сейчас ФСБ ведет активную работу в этом направлении.

Архитектура самой системы, по словам источника, еще не проработана. Скорее всего, в ней будет использоваться уже существующее российское решение, которое будет дорабатываться специально под этот проект, полагает собеседник TAdviser. Затем предполагается развертывание этого решения на площадках операторов связи, добавляет он.

«В России нет готового решения, способного в полной мере конкурировать с зарубежными продуктами вроде Arbor, - считает собеседник TAdviser из ФСБ. – А разработка такого решения с нуля заняла бы много времени».

Наибольший ущерб государству наносят DDos-атаки, отметил источник в ФСБ в разговоре с TAdviser, поэтому решение, которое подойдет для использования в государственной системе предупреждения и ликвидации последствий компьютерных атак, должно быть особенно эффективным именно в этой области.

По словам собеседника TAdviser, для доработки под использование в системе может быть использовано ПО «Лаборатории Касперского»: «На мой взгляд, из российских компаний она дальше всех продвинулась в разработке решений, способных эффективно защищать от DDoS-атак».

Указ президента Путина о создании системы

В январе 2013 г. президент Владимир Путин подписал указ о создании в России системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы, расположенные в стране и в дипломатических представительствах и консульских учреждениях России за рубежом.

Ее ключевыми задачами, в соответствии с указом президента, должно стать прогнозирование ситуаций в области обеспечения [[информационной безопасности, обеспечение взаимодействия владельцев ИТ-ресурсов при решении задач, связанных с обнаружением и ликвидацией компьютерных атак, с операторами связи и другими организациями, осуществляющими деятельность по защите информации. В список задач системы также входит оценка степени защищенности критической ИТ-инфраструктуры от компьютерных атак и установление причин таких инцидентов.

Организацию работ по созданию государственной анти-хакерской системы Путин поручил ФСБ.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания

  1. Антихакеры пошли по ГРИИБы
  2. Провайдеров готовят к отключениям
  3. Киберинциденты поставят на платформу
  4. ФСБ хочет заняться аккредитацией центров мониторинга кибератак
  5. Инфофорум-2022
  6. Ключевая ГосСОПКА. Операторов персональных данных могут обязать сообщать об инцидентах в ФСБ
  7. Приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 30.10.2019 г. № 629 "О конкурсной комиссии Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации по предоставлению Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации субсидий из федерального бюджета на создание отраслевого центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах"
  8. Постановление Правительства Российской Федерации от 07.10.2019 № 1285 "Об утверждении Правил предоставления субсидий из федерального бюджета на создание отраслевого центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах"
  9. Минкомсвязь объявила отбор проектов по повышению безопасности критической информационной инфраструктуры
  10. Объявление о проведении конкурсного отбора проектов (мероприятий), направленных на доведение уровня безопасности значимых объектов критической информационной инфраструктуры Российской Федерации до установленных законодательством Российской Федерации требований
  11. О внесении изменений в постановление Правительства Российской Федерации от 15 апреля 2014 г. № 313
  12. [https://digital.gov.ru/uploaded/files/itogi-konkursnogo-otbora-regionalnyih-proektov_q6bxXdo.pdf Итоги конкурсного отбора региональных проектов, направленных на доведение уровня безопасности объектов критической информационной инфраструктуры до установленных законодательством Российской Федерации требований]
  13. Об утверждении Правил предоставления субсидий из федерального бюджета российскому юридическому лицу на создание отраслевого центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак
  14. Приказ Федеральной службы безопасности Российской Федерации от 06.05.2019 № 196
  15. Против хакеров выставят «Бизона»
  16. Путин сделал ФСБ ответственной за борьбу с кибератаками
  17. Совет Федерации ввел уголовное наказание за атаки на критическую ИТ-инфраструктуру
  18. Защиту критической инфраструктуры от кибератак поручат ФСБ
  19. Кибербезопасность России: итоги 2016 года и стратегии для 2017-го
  20. О системе защиты национальных информационных ресурсов