Национальный координационный центр по компьютерным инцидентам (НКЦКИ) подтвердил, что SIEM-система Kaspersky Unified Monitoring and Analysis Platform (KUMA) выполняет требования к средствам ГосСОПКА, утверждённые Приказом ФСБ России N196 от 6 мая 2019 года. Решение «Лаборатории Касперского» для централизованного сбора, анализа и корреляции ИБ-событий из различных источников данных успешно прошло процедуру оценки. Оно стало первым среди отечественных технологий этого класса, подтвердившим соответствие требованиям к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты.
Обработка событий ИБ
Система сбора и анализа событий информационной безопасности (SIEM) зачастую выступает в роли неотъемлемой части Центра мониторинга информационной безопасности (SOC) в крупных организациях. Он обеспечивает сбор и анализ данных о подозрительных событиях с различных средств защиты и объектов внутренней инфраструктуры. За счет корреляции данных из разных источников SIEM позволяет обнаружить признаки нападения и подготовить для сотрудников SOC необходимые сведения для отражения атаки. Особенно это актуально для предприятий, которые играют роль системообразующих или относятся к объектам критической информационной инфраструктуры (КИИ), чья кибербезопасность — предмет особого внимания.
ГосСОПКА — это государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак. Ряд организаций — прежде всего госучреждения и субъекты КИИ — обязаны сообщать об инцидентах в НКЦКИ. Они в свою очередь получают обратную связь по переданным в Центр данным от экспертов ГосСОПКА, в том числе рекомендации по расследованию. Для таких организаций важно быть уверенными в надёжности используемых технологий и их соответствии требованиям регуляторов.
«С 2021 года KUMA включает модуль для автоматизации взаимодействия с технической инфраструктурой ГосСОПКА, чтобы упростить пользователям процесс обмена информацией с НКЦКИ и предоставить возможность сфокусироваться непосредственно на мониторинге безопасности, – пояснил ситуацию руководитель направления развития единой корпоративной платформы «Лаборатории Касперского» Илья Маркелов. – Однако важно отметить, что соответствие системы приказу №196 ФСБ России означает не только наличие интеграции с ГосСОПКА, но и выполнение других требований регулятора к функциям SIEM. Полученное экспертное заключение — независимое подтверждение всех заявленных возможностей продукта, на которое смогут опираться компании, которым ещё предстоит выбрать SIEM».
Автоматизация взаимодействия с ГосСОПКА
Автоматическое взаимодействие с инфраструктурой ГосСОПКА важно для НКЦКИ, который собирает все данные о вредоносной активности на объектах КИИ. Причем важно предварительно собрать данные и их предварительно обработать, чтобы в Центр уходили сведения только о реально совершаемых атаках и действии вредоносного программного обеспечения. Именно поэтому так важно, что сам НКЦКИ подтверждает совместимость KUMA с инфраструктурой ГосСОПКА, поскольку теперь этот продукт можно использовать для автоматизации такого обмена. В частности, для владельцев систем обработки персональных данных, есть требование о передачи в НКЦКИ сведений о инцидентах в течении 24 часов — KUMA поможет автоматизировать этот процесс.