Журнал "Information Security/ Информационная безопасность" #4, 2019

Основным назначением ГосСОПКА является обес- печение защищенности информационных ресурсов Российской Федерации от компьютерных атак и штат- ного функционирования данных ресурсов в условиях возникновения компьютер- ных инцидентов, вызванных компьютерными атаками. Согласно приказу ФСБ России № 282 информиро- вание осуществляется путем направления информации в НКЦКИ в соответствии с определенными формата- ми представления информа- ции о компьютерных инци- дентах в ГосСОПКА с использованием техниче- ской инфраструктуры НКЦКИ, предназначенной для отправки, получения, обработки и хранения уве- домлений и запросов в рам- ках информационного взаи- модействия с субъектами КИИ, а также с иными, не являющимися субъектами КИИ, органами и организа- циями, в том числе ино- странными и международ- ными. (по сути – НКЦКИ) и/или Цент- ральный банк Российской Федерации (в случае, если субъект КИИ осуществляет деятельность в банковской сфере и в иных сферах финан- сового рынка) в установлен- ном ими порядке. Порядок информирования определен приказом ФСБ Рос- сии от 19.06.2019 № 282 "Об утверждении Порядка инфор- мирования ФСБ России о ком- пьютерных инцидентах, реа- гирования на них, принятия мер по ликвидации послед- ствий компьютерных атак, проведенных в отношении значимых объектов критиче- ской информационной инфра- структуры Российской Феде- рации" (далее – приказ ФСБ России № 282). Согласно приказу ФСБ Рос- сии № 282 информирование осуществляется путем направ- ления информации в НКЦКИ в соответствии с определенны- ми форматами представления информации о компьютерных инцидентах в ГосСОПКА с использованием технической инфраструктуры НКЦКИ, пред- назначенной для отправки, получения, обработки и хране- ния уведомлений и запросов в рамках информационного взаимодействия с субъектами КИИ, а также с иными, не являющимися субъектами КИИ, органами и организациями, в том числе иностранными и международными. В случае отсутствия под- ключения к данной технической инфраструктуре информация передается субъектом КИИ посредством почтовой, факси- мильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на офици- альном сайте в информацион- но-телекоммуникационной сети "Интернет" по адресу: http://cert.gov.ru. Таким образом, приказ ФСБ России № 282 делает акцент на необходимости использо- вания технической инфра- структуры НКЦКИ при инфор- мировании и допускает в каче- стве "запасного варианта" аль- тернативные способы предо- ставления информации в Гос- СОПКА. Кроме того, для значимых объектов КИИ субъекту необхо- димо создать и обеспечить функционирование системы безопасности, одной из задач которой является непрерывное взаимодействие с ГосСОПКА (п. 4 ч. 2 ст. 10 Федерального закона от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструк- туры Российской Федерации"). Помимо нормативных требо- ваний, следует учитывать, что обнаруживать и предотвра- щать компьютерные атаки, а также хранить, накапливать, защищать информацию об инцидентах и передавать ее в ГосСОПКА целесообразнее с использованием технических средств. Следует также отме- тить, что ГосСОПКА не только собирает информацию, но и предоставляет актуальную информацию об атаках на ресурсы субъекта и другую необходимую для обеспечения безопасности объектов КИИ информацию, которую лучше получать оперативно. Все или только значимые? Поскольку взаимодействие субъекта КИИ с ГосСОПКА осу- ществляется в том числе в целях исполнения обязанности по информированию о компью- терных инцидентах, произошед- ших на объектах КИИ, то воз- никает вопрос: все объекты КИИ попадают под данное тре- бование или только значимые? Приказ ФСБ России № 282 устанавливает срок, в который субъект КИИ должен передать информацию в ГосСОПКА (про- информировать НКЦКИ): l не позднее 3 часов с момента обнаружения инцидента для субъектов КИИ, владеющих значимыми объектами; l не позднее 24 часов с момен- та обнаружения инцидента для субъектов КИИ, владеющих незначимыми объектами. Таким образом, обязанность по передаче информации в Гос- СОПКА распространяется на всех субъектов КИИ, независи- мо от вида принадлежащих им объектов. Как подключиться? Если принято решение о пере- даче информации в ГосСОПКА с использованием технической инфраструктуры НКЦКИ, то воз- никает вопрос о том, как под- ключиться. Защищенное подключение может быть осуществлено одним из способов 2 , указанных ниже. 1. Субъект КИИ имеет и уста- новил лицензионное программ- ное обеспечение ViPNetClient- сети 10976 с классом защиты КС3. При выполнении этого условия в НКЦКИ направляется запрос с необходимой инфор- мацией для получения файла с настройками. 2. Субъект КИИ имеет лицен- зию на программное обеспече- ние или программно-аппарат- ный комплекс ViPNetCoordinator с классом защиты КС3 ViPNet- сети с номером 10976. После установки ViPNetCoordinator в НКЦКИ направляется запрос с необходимой информацией для получения файла с настрой- ками. 3. Если у субъекта КИИ раз- вернута своя ViPNet-сеть, он направляет запрос в НКЦКИ на получение файла для уста- новления межсетевого взаимо- действия собственной ViPNet- сети с ViPNet-сетью 10976 (НКЦКИ). При этом следует отметить, что субъекты КИИ, функциони- рующие в банковской сфере или иных сферах финансовых рынков, имеют возможность передавать информацию о ком- пьютерных инцидентах через техническую инфраструктуру Банка России (FinCERT). Технически взаимодействие с FinCERT строится следующим образом: l заключается соглашение о взаимодействии (оно типовое); l для взаимодействия органи- зуется защищенное соединение с использованием сертифици- рованных средств криптогра- фической защиты информации. Предлагается три программных • 5 В ФОКУСЕ www.itsec.ru 2 http://мис.екатеринбург.рф/file/0b8dc3db090dfe6509f1a25a07fd48e5