Четвертый SOC-форум прошел в конце ноября под девизом «Практика противодействия компьютерным атакам и построения центров мониторинга ИБ». Организаторами мероприятия выступили медиа-группа «Авангард» при поддержке ФСБ России и ФСТЭК России. В этом году в мероприятии приняли участие около 2 тыс. специалистов. Одной из центральных тем обсуждения было построение системы ГосСОПКА для защиты максимального количества российских предприятий.
По данным Виталия Лютикова, заместителя директора ФСТЭК России, на сегодняшний день уже 500 объектов прошло процедуру категорирования. Примерно 20% из них была присвоена категория значимости в соответствии с законом, что зарегистрировано в специальном реестре. Еще по 600 объектам документы отправлены на доработку, причем не по формальным признакам, а на переоценку показателей и категорий. Лидерами категорирования стали отрасли ТЭК, здравоохранение и ОПК, а «выжидающими» оказались телекоммуникационные операторы и банки – они ждут реакции своих регуляторов.
Виталий Лютиков, чьи слова были подтверждены в выступлении Игоря Качалина, заместителя начальника центра ФСБ России, сейчас ФСТЭК и ФСБ готовят поправки в постановление Правительства №127-ПП, где определены правила категорирования. Предполагается, что в поправках будет указан конкретный срок завершения процедуры категорирования. «Год на процедуру категорирования мы дать уже не можем, – пояснил Виталий Лютиков. – Я думаю, что нескольких месяцев будет достаточно».
Игорь Качалин в своем докладе рассказал о прохождении другого процесса в рамках защиты критической инфраструктуры – создании ГосСОПКА. Пока к системе подключено 18 органов и организаций, среди которых можно обнаружить и коммерческие SOC – «Ростелеком-Solar» и Positive Technologies. «Некоторые организации не являются объектами критической инфраструктуры, но они также могут быть в составе ГосСОПКА, – пояснил Игорь Качалин. – Мы поддерживаем создание корпоративных центров реагирования, которые может и должен создать любой субъект информационного взаимодействия. Все должны стать субъектами ГосСОПКА, но это никак не связано с процессом категорирования».
Понятно, что крупные и даже средние компании могут самостоятельно создать свои корпоративные центры реагирования, однако небольшие компании и особенно частные предприниматели вряд ли имеют возможность самостоятельно реализовать все законодательные требования. Для защиты этих субъектов и предназначены коммерческие SOC. Для них ФСБ предполагает разработать специальные методы проверки и контроля. «Я думаю, что добровольной аттестации будет достаточно», – заметил Игорь Качалин.
О своей работе отчитался на форуме и FinCERT, который является одним из ключевых элементов строящейся ГосСОПКА. Его представитель – первый заместитель директора департамента информационной безопасности ЦБ РФ Артем Сычев – отчитался на форуме о проделанной центром реагирования работе. В частности, он отметил, что увеличилось количество бюллетеней, опубликованных FinCERT в течение прошедшей части года. Если в прошлом году за весь год было опубликовано 24 предупреждения, то за 11 месяцев текущего – уже больше 80. При этом среднее время реагирования на инцидент для подготовки предупреждения сотрудниками FinCERT составляет 50 минут. Артем Сычев пообещал сократить это время, хотя и отметил, что основной проблемой защиты финансовых ресурсов является скорее реагирование служб безопасности на местах.
Впрочем, в этом году FinCERT получил полномочия блокировать подозрительные платежи для возврата средств в случае получения жалоб со стороны клиентов. «С помощью этого инструмента мы рассчитываем сократить доходы злоумышленников», – заявил Артем Сычев. Причем система контроля подозрительных транзакций была построена FinCERT всего за пять месяцев 2018 г. – с апреля, когда возможность такого регулирования была заложена в документах, по август, когда разрешения вступили в силу. Насколько эффективно будет работать данный инструмент – покажет время.
Валерий Коржов