SOC-Форум: витамины безопасности

 22 ноября состоялся SOC-Форум 2017, на котором обсуждались проблемы глобального управления информационной безопасностью всей России. Как образно описал ситуацию Игорь Качалин, заместитель начальника 8-го Центра ФСБ России, раньше каждая компания строила свой замок информационной безопасности для защиты своего предприятия, а теперь настало время объединить эти замки в единую систему. В качестве такого связующего звена должна выступать иерархическая структура центров реагирования во главе с ГосСОПКА, регулирование которой предполагается в рамках Закона № 187-ФЗ «О защите критической информационной инфраструктуры».

Закон этот принимался в течение пяти лет, и его основные положения вступают в силу с 1 января 2018 г. Он предполагает создание центров реагирования на компьютерные инциденты во всех ведомствах, компаниях и организациях, которые отнесены к категории критической информационной инфраструктуры (КИИ). Эти ведомственные, отраслевые и корпоративные центры будут обмениваться информацией о нападениях с центральным ядром системы – национальным координационным центром критической инфраструктуры (НКЦКИ), который обеспечивает обмен данными о нападениях между участниками системы. Информация, полученная из такого центра, является основой для организации отражения атаки. Прежде всего предполагается распространение так называемых признаков компрометации (иногда их называют фидами), которые сейчас уже понимают большинство средств защиты и позволяют настроить корпоративную или ведомственную сеть на блокирование вредоносной активности. В целом такая структура получила название ГосСОПКА, она-то и должна обеспечить защиту критическим информационным ресурсам России. Впрочем, как отметил Игорь Качалин, «к системе могут быть подключены любые российские компании и организации – заставить их в рамках закона мы не можем, но очень заинтересованы в максимально широком обмене информацией о компьютерных инцидентах».

На конференции обсуждали и прошедшие этим летом эпидемии шифровальщиков, построенных на основе боевых эксплойтов АНБ. Сергей Лебедь, руководитель службы кибербезопасности «Сбербанка», пожаловался, что в первые несколько часов никаких сведений от центров реагирования не поступало. «Время адаптации нашей информационной системы к условиям атаки WannaCry составило 6 часов, – пояснил он. – И в основном мы ожидали признаков компрометации нового вредоноса». В то же время Артем Сычев, заместитель начальника ГУБЗИ Банка России, отметил, что у подопечных FinCERT инциденты, связанные с этими шифровальщиками, были минимальные. «Сейчас с FinCERT взаимодействуют уже около 50 участников банковского сообщества, – отметил Артем Сычев. – Время реагирования Центра составляет от 40 до 90 минут – до выпуска оповещения. Атаки шифровальщиков продемонстрировали, что кредитные организации в целом выполнили минимальные требования по безопасности».

Инциденты были зафиксированы в основном на промышленных предприятиях, что отражает невыполнение ими требований регуляторов. Как отметил Виталий Лютиков, заместитель директора ФСТЭК России, «жалко, что промышленные предприятия не соблюдают требования регуляторов, о чем говорят произошедшие инциденты. Тут были претензии к скорости реагирования регуляторов на события, но каково время реакции отрасли на требования регуляторов? Мы еще в 2013 г. выпустили требования по реагированию на инциденты, а что в результате получилось?»

Закон по защите КИИ предназначен как раз для улучшения реагирования на инциденты – построения в компаниях и ведомствах соответствующих процессов. ФСБ и подведомственные структуры будут настраивать процессы обработки инцидентов, а ФСТЭК – используемые для этого технологии защиты. Фактически ФСБ будет оказывать помощь в построении или аренде на предприятиях SOC, который будет обрабатывать сообщения от средств защиты, построенных в соответствии с требованиями ФСТЭК, и взаимодействовать с единой ГосСОПКА. Именно так и планируется обеспечить функционирование государственной системы защиты от кибератак.

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Цифровой девелопмент

Подробнее
Спецпроект

Машиностроительные предприятия инвестируют в ПО

Подробнее


Подпишитесь
на нашу рассылку