Журнал "Information Security/ Информационная безопасность" #5, 2020

Требования 187-ФЗ не содержат обязанности субъ- екта КИИ по созданию цент- ров мониторинга и реагиро- вания. На практике невозможно создать абсолютно защи- щенную информационную инфраструктуру, необходи- мо создавать систему ран- него предупреждения о ком- пьютерном нападении. Обязателен ли SOC для выполнения требований по КИИ? Федеральный закон "О безопасности крити- ческой информационной инфраструктуры Россий- ской Федерации" от 26.07.2017 № 187-ФЗ (далее – закон о без- опасности КИИ) возложил на субъекты критической информа- ционной инфраструктуры обязан- ности, связанные с реагировани- ем на компьютерные атаки на принадлежащие им объекты КИИ и информированием уполномо- ченного органа (ФСБ России) о компьютерных инцидентах. В рамках исполнения пере- численных выше обязанностей резкий стимул к развитию полу- чило направление центров мони- торинга и реагирования на инци- денты информационной без- опасности, продвигаемое мар- кетологами провайдеров данной услуги под аббревиатурой SOC (Security Operations Center). Для правильного понимания сущности SOC 1 мне хотелось бы обратить внимание на два момента: 1. Центры мониторинга и реа- гирования – это не новация, про них известно уже много лет, и многие зрелые с точки зрения информационной без- опасности компании (например, ГК "Росатом", ПАО "Газпром", ГК "Ростех") 2 имели такие цент- ры еще до принятия закона о безопасности КИИ. 2. Для выполнения требова- ний закона о безопасности КИИ на текущий момент можно обой- тись без SOC. Так, закон о без- опасности КИИ содержит сле- дующие нормы, касающиеся событий и инцидентов инфор- мационной безопасности: 1. Ст. 9 закона о безопасности КИИ: l незамедлительно информи- ровать о компьютерных инци- дентах ФСБ России и (или) Центральный Банк России в порядке, установленном прика- зом ФСБ России от 19.06.2019 № 282; l оказывать содействие долж- ностным лицам ФСБ России в обнаружении, предупреждении и ликвидации последствий ком- пьютерных атак, установлении причин и условий возникнове- ния компьютерных инцидентов; l в случае установки на объектах КИИ средств, предназначенных для обнаружения, предупрежде- ния и ликвидации последствий компьютерных атак и реагиро- вания на компьютерные инци- денты, обеспечивать выполнение порядка технических условий установки и эксплуатации таких средств, их сохранность; l реагировать на компьютер- ные инциденты в порядке, утвержденном приказом ФСБ России от 19.06.2019 № 282, принимать меры по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ. 2. Ст. 10 закона о безопасно- сти КИИ предусматривает обес- печение непрерывного взаимо- действия с государственной системой обнаружения, пред- упреждения и ликвидации последствий компьютерных атак на информационные ресур- сы Российской Федерации. Таким образом, видно, что указанные требования не содер- жат обязанности субъекта КИИ по созданию центров монито- ринга и реагирования. Возникает вопрос: какова роль SOC в безопасности КИИ и почему с принятием закона о безопасности КИИ к теме цент- ров мониторинга и реагирова- ния повысился интерес? Чем вызван интерес к теме SOC? По моему мнению, интерес к данной теме обусловлен двумя причинами: 1. Общемировые тенденции, связанные с постоянным изме- нением (совершенствованием) информационных технологий (процессы обработки информа- ции и способы их осуществле- ния) и, как следствие, посто- янным появлением новых угроз информационной безопасности, привели к пониманию того, что на практике невозможно создать абсолютно защищенную инфор- мационную инфраструктуру, необходимо создавать систему раннего предупреждения о ком- пьютерном нападении. 16 • СПЕЦПРОЕКТ Роль SOC в безопасности критической информационной инфраструктуры опросами, связанными с созданием и функционированием SOC (Security Operations Center), сейчас активно интересуются практически все организации, попавшие под действие Федерального закона “О безопасности критической информационной инфраструктуры”. В этой статье я расскажу о роли SOC в выполнении требований данного федерального закона, уделяя внимание наиболее часто встречающимся в его практике вопросам. В Константин Саматов, эксперт по кибербезопасности Уральского центра систем безопасности, руководитель комитета по безопасности КИИ, член правления Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова 1 Вопросы, касающиеся того, что такое SOC, какова его структура и функции, рассматривались в статье: Саматов К.М. SOC в действии // Information Security/Информационная безопасность. 2019. № 5. С. 24–25. 2 Петренко С.А., Ступин Д.Д. Национальная система раннего предупреждения о компьютерном нападении: научная монография / под общей редакцией С.Ф. Боева. Университет Иннополис. – Иннополис: “Издательский Дом “Афина", 2017. – С. 16.

RkJQdWJsaXNoZXIy Mzk4NzYw