Типы компьютерных инцидентов кии
Согласно закону № 187-ФЗ, к объектам критической информационной инфраструктуры относятся информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры в одной из следующих сфер: здравоохранение, наука, транспорт, связь, энергетика, банки и иные организации финансового рынка, топливно-энергетический комплекс, атомная энергия, оборона, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленности.
Подмножеством всех объектов КИИ являются значимые объекты КИИ — те объекты, которым присвоена одна из категорий значимости в результате категорирования.
К субъектам КИИ относятся владельцы объектов КИИ, а также организации, которые обеспечивают их взаимодействие.
Решения для информационной безопасности организации
Для предотвращения инцидентов ИБ необходимо внедрить специализированные решения, способные в реальном времени выявлять и реагировать на них даже по первым признакам до непосредственного хищения или других мошеннических действий.
"Гарда Технологии"- российский разработчик систем информационной безопасности от внутренних и внешних угроз, который предлагает комплексные решения по защите от утечек информации, защите баз данных и веб-приложений, защите от DDoS-атак и анализу и расследованию сетевых инцидентов. Решения интегрируются друг с другом, образуя комплексное решение - экосистему безопасности.
Внедрение решений по информационной безопасности позволяет избежать многочисленных финансовых и репутационных рисков.
Тема организации реагирования на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъектами с ЗОКИИ комплексная и довольно сложная в реализации. Важность таких процессов не подвергается сомнению. Для дополнительной мотивации в июня 2021 года в КоАП внесли существенные штрафы «за не реагирование в установленном законодательством порядке»
В итоге, субъект КИИ должен выстроить свои процессы реагирования на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак таким образом, что бы не только обеспечит «реальную» безопасность ЗОКИИ, но и снизит риски по привлечению к административной ответственности. (Примеры последствий здесь и здесь ).
Требование ФСТЭК (только ЗОКИИ)
Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
Для реагирования на компьютерные инциденты определяются работники, ответственные за выявление компьютерных инцидентов и реагирование на них, и определяются их функции .
Для всех ЗОКИИ обязательны базовые меры :
ИНЦ.1 Выявление компьютерных инцидентов
ИНЦ.2 Информирование о компьютерных инцидентах
ИНЦ.3 Анализ компьютерных инцидентов
ИНЦ.4 Устранение последствий компьютерных инцидентов
ИНЦ.5 Принятие мер по предотвращению повторного возникновения компьютерных инцидентов
ИНЦ.6 Хранение и защита информации о компьютерных инцидентах
Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»
2 5. Организационно-распорядительные документы по безопасности значимых объектов должны определять:
б) ……. порядок реагирования на компьютерные инциденты, …..порядок взаимодействия субъекта критической информационной инфраструктуры с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
Требования ФСБ (только ЗОКИИ)
Приказ ФСБ России от 19.06.2019 N 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации»
6. Для подготовки к реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъектом КИИ, в срок до 90 календарных дней со дня включения данного объекта в реестр ЗОКИИ разрабатывается план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, содержащий:
- технические характеристики и состав ЗОКИИ;
- события (условия), при наступлении которых начинается реализация предусмотренных Планом мероприятий;
- мероприятия, проводимые в ходе реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, а также время, отводимое на их реализацию;
- описание состава подразделений и должностных лиц субъекта КИИ, ответственных за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий компьютерных атак.
10. Субъект КИИ, не реже одного раза в год организует и проводит тренировки по отработке мероприятий Плана. Объем и содержание тренировки определяются субъектом КИИ с учетом мероприятий, содержащихся в Плане.
Организация и проведение тренировок возлагаются на подразделения и должностных лиц субъекта КИИ, ответственных за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий компьютерных атак.
11. Субъект КИИ, в ходе реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак осуществляет:
- анализ компьютерных инцидентов (включая определение очередности реагирования на них), установление их связи с компьютерными атаками;
- проведение мероприятий в соответствии с Планом;
12. Перед принятием мер по ликвидации последствий компьютерных атак субъект критической информационной инфраструктуры, которому на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, определяет:
- состав подразделений и должностных лиц субъекта критической информационной инфраструктуры, ответственных за проведение мероприятий по реагированию на компьютерные инциденты и принятие мер по ликвидации последствий компьютерных атак, и их задачи в рамках принимаемых мер;
- перечень средств, необходимых для принятия мер по ликвидации последствий компьютерных атак;
- очередность ЗОКИИ (их структурных элементов), в отношении которых будут приниматься меры по ликвидации последствий компьютерных атак;
- перечень мер по восстановлению функционирования ЗОКИИ.
13. В ходе ликвидации последствий компьютерных атак субъектом КИИ принимаются меры по восстановлению функционирования и проверке работоспособности ЗОКИИ.
14. О результатах мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъект КИИ информирует НКЦКИ в срок не позднее 48 часов после завершения таких мероприятий.
Проект национального стандарта ГОСТ Р "Управление инцидентами, связанными с безопасностью информации. Руководство по планированию и подготовке к реагированию на инциденты" (для всех субъектов КИИ)
Политика управления компьютерными инцидентами - определяет общий порядок осуществления деятельности по управлению компьютерными инцидентами в организации, а также лиц, которые будут принимать участие в деятельности по управлению компьютерными инцидентами, их роли и обязанности.
Для реализации деятельности по управлению компьютерными инцидентами потребуется наличие плана реагирования на компьютерные инциденты, определяющего, что в организации будет классифицироваться как компьютерные инциденты, какие меры реагирования требуются и какими полномочиями будет обладать подразделение по управлению компьютерными инцидентами и сам процесс реагирования.
12 Проведение тренировок по отработке мероприятий плана реагирования на компьютерные инциденты.
В ходе деятельности по управлению компьютерными инцидентами должны планироваться и проводиться на регулярной основе тренировки по отработке мероприятий плана реагирования на компьютерные инциденты с целью выявления потенциальных недостатков и проблем, которые могут возникнуть в рамках данной деятельности. Такие тренировки могут проводиться путем моделирования различных сценариев, которые могут варьироваться от серьезных, сложных компьютерных инцидентов, основанных на реалистичных имитациях компьютерных атаках, сбоев или неисправностей, до проведения теоретических занятий. Формат сценариев может зависеть от заранее определенных целей тренировки. Тренировки могут проводиться не только в отношении подразделения по управлению компьютерными инцидентами, но и в отношении иных подразделений организаций, также задействованных в деятельности по управлению компьютерными инцидентами.
Итог для ЗОКИИ
Должны быть разработаны, утверждены и доведены до сведений ответственных лиц субъекта КИИ следующие документы:
1. Политика управления компьютерными инцидентами
2. Регламент проведения анализа компьютерных инцидентов
3. Регламент реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак
4. План реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак.
5. Регламент проведения тренировок по реагированию на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак.
6. План тренировок по реагированию на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак
7. Порядок взаимодействия субъекта критической информационной инфраструктуры с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (организация взаимодействия с НКЦКИ разобрана в заметках канала здесь и здесь ).
И задача по реагированию на компьютерные инциденты у субъекта с ЗОКИИ возлагается на подразделение безопасности/специалиста безопасности. Вопросы назначения специалиста по безопасности разобраны в этой заметке канала .
В следующей заметке разберем кто должен участвовать в процессах реагирования на компьютерные инциденты с ЗОКИИ и какие требования к ним предъявляются регуляторами.
* Более подробно эти вопросы рассмотрены в материалах блога "Рупор бумажной безопасности" и телеграм-канале
Акты Президента РФ
Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации (Утверждены Президентом РФ 3 февраля 2012 г., № 803)
Документ вводит понятие единой государственной системы обнаружения и предупреждения компьютерных атак на критически важную информационную инфраструктуру. Дает определение силам и средствам обнаружения и предупреждения атак, а также силам и средствам ликвидации последствий инцидентов.
Указ Президента РФ от 15.01.2013 № 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»
Инициирует создание ГосСОПКА, определяет основные задачи системы. На ФСБ России возлагает полномочия по созданию и обеспечению функционирования ГосСОПКА.
Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, утвержденная Президентом РФ 12 декабря 2014 г. № К 1274
Определяет назначение, функции и принципы создания ГосСОПКА, а также виды обеспечения, необходимые для ее создания и функционирования.
План развертывания ведомственных сегментов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак, утвержденный Президентом РФ 21 августа 2015 г., № 9397 (документ ограниченного доступа)
Определяет перечень органов государственной власти, которым необходимо создать ведомственные сегменты ГосСОПКА, и указывает сроки.
Указ Президента РФ от 22.12.2017 № 620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»
Определяет задачи ГосСОПКА и ФСБ России в сфере обеспечения функционирования системы.
Угрозы информационной безопасности - ключевые риски
Не только крупные корпорации, но и небольшие фирмы различных организационно-правовых форм и размеров время от времени сталкиваются с кибератаками. Количество пострадавших компаний ежегодно увеличивается. Действия злоумышленников приводят к большим убыткам пострадавших организаций.
Есть несколько основных рисков внутри корпораций и фирм:
- Уязвимость программного обеспечения;
- Доступ к конфиденциальной информации через работников;
- Пренебрежение основными правилами безопасности со стороны сотрудников, что приводит к непреднамеренной утечке корпоративной информации.
Основная проблема многих организаций в том, что в активно развивающемся мире киберугроз, большинство организаций даже не задумывается об информационной безопасности до возникновения инцидента. Поэтому часто нет резервных копий, доступ к данным есть у всех сотрудников, даже если они не пользуются ими в своей работе, а сеть ничем не защищена, и внедрить туда вредоносное ПО или заблокировать работу сервера организации может фактически любой желающий.
НПА в сфере защиты КИИ
Акты Президента РФ
Указ Президента Российской Федерации от 25.11.2017 № 569 «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю. »
Наделяет ФСТЭК России полномочиями в области обеспечения безопасности КИИ, в том числе функцией государственного контроля.
Указ Президента РФ от 02.03.2018 № 98 «О внесении изменения в перечень сведений, отнесенных к государственной тайне. »
Относит к гостайне информацию о мерах обеспечения безопасности КИИ и о состоянии ее защищенности от атак. ФСБ России и ФСТЭК России назначены государственными органами, наделенными полномочиями по распоряжению сведениями, отнесенными к государственной тайне.
НПА в сфере ГосСОПКА
Что делать при обнаружении инцидента?
Управление аномальными событиями в сети подразумевает не только оперативное обнаружение и информирование службы информационной безопасности, но и их учет в журнале событий. В журнале автоматически указывается точное время обнаружения утечки информации, личные данные сотрудника, который обнаружил атаку, категорию события, все затронутые активы, планируемое время устранения проблемы, а также действия и работы, направленные на устранение события и его последствий.
Современным компаниям ручной способ мониторинга инцидентов уже не подходит. Так как аномалии происходят за секунды и требуется мгновенное реагирование. Для этого необходимы автоматизированные решения по информационной безопасности, которые непрерывно мониторят все, что происходит в сети организации оперативно реагируют на инциденты, позволяя принимать меры в виде блокировки доступа к данным, выявления источника события и быстрого расследования, в идеале до совершения инцидента.
После расследования, выполняя правила корреляции, которые свидетельствуют о вероятных попытках причинения вреда безопасности данных подобными способами, создается карточка данного инцидента и формируется политика безопасности. В дальнейшем подобные атаки будут подавлены и приняты меры до совершения активных действий со стороны сотрудников и внешних источников угроз.
Что такое ГосСОПКА
ГосСОПКА — государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак, направленных на информационные ресурсы Российской Федерации.
Цель системы — объединить усилия для предотвращения и противодействия кибератакам на критически важные информационные инфраструктуры. Для этого создан Национальный координационный центр по компьютерным инцидентам (НКЦКИ), который организует сбор и обмен информацией об инцидентах между субъектами КИИ, координирует мероприятия по реагированию, предоставляет методические рекомендации по предупреждению компьютерных атак.
Ведомственные акты
Приказ ФСТЭК России от 06.12.2017 № 227 «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации»
Определяет сведения о значимом объекте КИИ, необходимые для внесения в реестр. Решение о включении в реестр принимается в течение 30 дней со дня получения ФСТЭК России сведений от субъекта КИИ. Не реже чем один раз в месяц ФСТЭК России направляет сведения из реестра в ГосСОПКА.
Приказ ФСТЭК России от 11.12.2017 № 229 «Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
Определяет форму акта по итогам проверки значимого субъекта КИИ.
Приказ ФСТЭК России от 21.12.2017 № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»
Устанавливает требования к силам обеспечения безопасности значимых объектов, программным и программно-аппаратным средствам, документам по безопасности значимых объектов, функционированию системы безопасности.
Приказ ФСТЭК России от 22.12.2017 № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»
Приказ ФСТЭК России от 25.12.2017 № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
Устанавливает требования к обеспечению безопасности значимых объектов КИИ в ходе создания, эксплуатации и вывода их из эксплуатации, к организационным и техническим мерам защиты информации и определяет состав мер для каждой категории значимости объекта.
Приказ ФСТЭК России от 26.04.2018 № 72 «О внесении изменений в Регламент Федеральной службы по техническому и экспортному контролю, утвержденный приказом ФСТЭК России от 12 мая 2005 г. № 167»
Относит обеспечение безопасности значимых объектов КИИ к нормативно-правовому регулированию вопросов ФСТЭК России. Слова «информации в ключевых системах» заменяет словом «критической».
Приказ ФСТЭК России от 09.08.2018 № 138 «О внесении изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах. »
Определяет список изменений в приказы № 31 и 239. Состав мер защиты информации и их базовые наборы по классу защищенности АСУ изложены в новой редакции.
Регулятор приводит рекомендуемую форму перечня объектов КИИ для ее подачи во ФСТЭК России. Рекомендуется прикладывать электронную копию перечня и сведений о результатах категорирования.
Классификация инцидентов
Аномалии, с которыми сталкиваются предприятия можно классифицировать по следующим признакам:
- Тип информационной угрозы;
- Уровень тяжести инцидентов для работы организации;
- Преднамеренность появления угрозы безопасности данных;
- Вероятность возникновения повторного "заражения" программного обеспечения;
- Нарушенные политики ИБ;
- Уровень системы организационных структур, обеспечивающих работу и развитие информационного пространства;
- Трудности обнаружения;
- Сложность устранения выявленной угрозы, которая может нарушить сохранность ценных данных компании.
Инциденты могут быть как умышленными, так и непреднамеренными. Если обратить внимание на первый вид инцидента, то он может быть спровоцирован разными средствами, техическим взломом или намеренным инсайдом. Оценить масштабы влияния на безопасность и последствия атаки крайне сложно. Утечки информации в виде баз данных на чёрном рынке оцениваются в миллионах рублей .
Существует категорирование инцидентов, позволяющее прописать их в политике безопасности и предотвращать их уже по первым признакам:
1. Несанкционированный доступ. Сюда стоит отнести попытки злоумышленников беспрепятственно войти в систему. Яркими примерами нарушения можно назвать поиск и извлечение различных внутренних документов, файлов, в которых содержатся пароли, а также атаки переполнения буфера, направленные на получение нелегитимного доступа к сети.
2. Угроза или разглашение конфиденциальной информации. Для этого нужно получить доступ к актуальному списку конфиденциальных данных.
3. Превышение полномочий определенными лицами. Речь идет о несанкционированном доступе работников к определенным ресурсам или офисным помещениям.
4. Кибератака, влекущая к угрозе безопасности. Если отмечается поражение вредоносным ПО большого количества ПК компании - то это не простая случайность. Во время проведения расследования важно определить источники заражения, а также причины данного события в сети организации.
Реагирование на утечку данных
При обнаружении нарушений в сети организации рекомендован следующий алгоритм действий со стороны службы информационной безопасности:
1. Фиксация состояния и анализ информационных ресурсов, которые были задействованы.
2. Координация работы по прекращению влияния информационных атак, проведение которых спровоцировало появление инцидента.
3. Анализ всего сетевого трафика.
4. Локализация события.
5. Сбор важных данных для установления причин происшествия.
6. Составление перечня мер, направленных на ликвидацию последствий инцидента, который нанес урон.
7. Устранение последствий.
8. Контроль устранения последствий.
9. Создание политик безопасности и подробного перечня рекомендаций, направленных на совершенствование всей нормативной документации.
Акты Правительства РФ
Постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры РФ и их значений»
Устанавливает порядок и сроки категорирования объектов КИИ.
Постановление Правительства РФ от 17.02.2018 № 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
Определяет правила проведения плановых и внеплановых проверок в области обеспечения безопасности значимых объектов КИИ.
Постановление Правительства РФ от 8.06.2019 № 743 «Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры»
Устанавливает приоритетность категорий сетей электросвязи, которые могут использовать субъекты КИИ для обеспечения функционирования значимых объектов. Определяет обязанности оператора связи при подключении значимых объектов к сети связи общего пользования. Документ вступает в силу с 1 января 2020 года.
Ведомственные акты
Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации от 27.12.2016 (документ ограниченного доступа) Документ детализирует порядок создания ведомственных и корпоративных центров ГосСОПКА, их функции, а также технические и организационные меры защиты информации.
«Временный порядок включения корпоративных центров в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак. » (документ ограниченного доступа) Определяет состав документов и уровень квалификации специалистов группы реагирования, необходимые для подключения к ГосСОПКА.
Приказ ФСБ России от 24.07.2018 № 366 «О Национальном координационном центре по компьютерным инцидентам»
Инициирует создание Национального координационного центра по компьютерным инцидентам, определяет его задачи и права.
Приказ ФСБ России от 24.07.2018 № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации. »
Устанавливает набор параметров инцидентов для передачи в НКЦКИ (не позднее 24 часов с момента их обнаружения) и способы передачи информации.
Приказ ФСБ России от 24.07.2018 № 368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации. »
Определяет способы передачи информации об инциденте другим субъектам КИИ и получения сведений субъектами КИИ об атаках. Обмен информацией с иностранными организациями осуществляет НКЦКИ.
Приказ ФСБ России от 06.05.2019 № 196 «Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты»
Приказ ФСБ России от 19.06.2019 № 281 «Об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. »
Обязывает субъекта КИИ согласовывать с НКЦКИ установку средств ГосСОПКА и уведомлять о приеме их в эксплуатацию. Определяет необходимые для согласования сведения. Срок согласования — до 45 календарных дней.
Приказ ФСБ России от 19.06.2019 № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак. »
Определяет состав плана реагирования на инциденты и принятия мер по ликвидации последствий, разрабатываемого субъектом КИИ. Обязует информировать НКЦКИ о результатах реагирования и ликвидации последствий не позднее 48 часов после завершения мероприятий.
Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы Российской Федерации (документ ограниченного доступа)
Определяют порядок действий по обнаружению атак, классифицируют атаки и дают рекомендации по повышению уровня защищенности объектов атаки.
Методические рекомендации по установлению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации (документ ограниченного доступа)
Определяют порядок и основные задачи при реагировании на инциденты. Устанавливают классы инцидентов.
Методические рекомендации по проведению мероприятий по оценке степени защищенности от компьютерных атак
Определяют основные задачи, порядок и этапы проведения мероприятий по оценке степени защищенности. Устанавливают порядок оценки возможностей злоумышленника при атаках
Требования к подразделениям и должностным лицам субъектов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (документ ограниченного доступа)
Документ определяет основные задачи подразделений и должностных лиц субъекта ГосСОПКА, требования к кадровому обеспечению и деятельности центров ГосСОПКА. Распределяет роли сотрудников центра ГосСОПКА по трем линиям реагирования. Выделяет три класса центров ГосСОПКА в зависимости от объема функций, выполняемых центром самостоятельно.
Регламент взаимодействия подразделений Федеральной службы безопасности Российской Федерации и организации при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак
Определяет требования к функциональным возможностям и характеристикам технических средств, необходимых для решения задач центров ГосСОПКА.
Проект приказа Минкомсвязи России «Об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры»
Определяет единый подход к установке и эксплуатации средств, предназначенных для поиска признаков атак в сетях электросвязи. Описывает порядок установки и эксплуатации средства поиска атак. Информация о необходимости установки средства поиска атак направляется в уполномоченный орган в области связи.
С целью оптимизации и стандартизации любой деятельности используется классификация ( типизация ), и процесс управления инцидентами информационной безопасности ( ИБ ) не является исключением.
В данной заметке речь пойдет о существующих подходах к классификации инцидентов ИБ. Ведь в зависимости от того, к какому классу/типу относится инцидент ИБ, будет зависеть и вариант реагирования на него.
- ISO/IEC 27035:2011 «Information technology — Security techniques — Information security incident management» ( ссылка );
- ISO/IEC 27035-2:2016 «Information technology — Security techniques — Information security incident management — Part 2: Guidelines to plan and prepare for incident response» ( ссылка );
- Состав технических параметров компьютерного инцидента, указываемых при представлении информации в ГосСОПКА, и форматы представления информации о компьютерных инцидентах ( ссылка );
- Форма направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утв. приказом ФСТЭК России от 22.12.2017 N 236 ( ссылка ).
Он, безусловно, не претендует на абсолютную вложенность, т.к. авторы данных документов в рамках одного класса закладывали совершено различные пояснения и примеры, например: у ENISA «Information Gathering» включает в себя и «Scanning», и «Sniffing», и «Social engineering», а у NIST «Scanning» относится к «Technical attack incident», а остальные к «Compromise of information incident», в то время как у НКЦКИ «Прослушивание (захват) сетевого трафика» и «Социальная инженерия» – это отдельные типы, а «Сканирование информационного ресурса (ОКИИ)» вообще не рассматривается как класс инцидента ИБ.
Если оставить за рамками стихийные бедствия, беспорядки и т.п. глобальные инциденты, точнее инциденты, чья сущность лежит за рамками информационных технологий, то самым полным выглядит перечень от НКЦКИ:
Одной из ключевых задач создания систем безопасности значимых объектов КИИ является реализация требований по обеспечению непрерывного взаимодействия субъекта КИИ с ФСБ России по вопросам информирования об обнаруженных компьютерных инцидентах на объектах КИИ, о реагировании на компьютерные инциденты и о принятых мерах по ликвидации последствий компьютерных атак.
В 2017 году Президентом Российской Федерации был подписан пакет Федеральных законов, направленных на обеспечение безопасности критической информационной инфраструктуры Российской Федерации, ключевым из которых является Федеральный закон от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – Федеральный закон № 187-ФЗ).
Федеральным законом № 187-ФЗ введены новые понятия в сфере информационной безопасности (ИБ), в частности, понятие объекта критической информационной инфраструктуры (КИИ) и понятие компьютерного инцидента. Согласно закону, объектами КИИ являются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов КИИ, осуществляющих деятельность в сферах, перечисленных в законе. Компьютерным инцидентом является факт нарушения и (или) прекращения функционирования объекта КИИ, сети электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки.
Вместе с тем, согласно статье 10 Федерального закона № 187-ФЗ субъект КИИ в соответствии с приказом ФСТЭК России от 21 декабря 2017 г. № 235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» создаёт систему безопасности для значимых объектов КИИ и обеспечивает её функционирование.
В рамках системы безопасности должны быть выполнены требования приказа ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации», в частности, из базового набора для соответствующей категории значимости объекта КИИ должны быть реализованы меры из группы «Аудит безопасности», связанные с регистрацией событий безопасности, защитой информации о событиях безопасности, мониторингом безопасности, а также анализом действий пользователей (данная мера предусмотрена для значимых объектов 1-й категории значимости). Помимо этого, в рамках приказа ФСТЭК России № 239 предусмотрена ещё одна группа мер – «Реагирование на компьютерные инциденты». Реализация мер из этой группы обязательна для значимых объектов КИИ, вне зависимости от установленной категории значимости. Данная группа включает такие меры, как регламентация правил и процедур реагирования на компьютерные инциденты, выявление и анализ компьютерных инцидентов, защита информации и информирование о компьютерных инцидентах, устранение их последствий и принятие мер по недопущению их повторного возникновения.
Одной из ключевых задач создания систем безопасности значимых объектов КИИ является реализация требований по обеспечению непрерывного взаимодействия субъекта КИИ с ФСБ России (Национальным координационным центром по компьютерным инцидентам – НКЦКИ) по вопросам информирования об обнаруженных компьютерных инцидентах на объектах КИИ, о реагировании на компьютерные инциденты и о принятых мерах по ликвидации последствий компьютерных атак.
Для выстраивания процесса автоматизированного обнаружения инцидентов ИБ необходимо выполнить настройку аудита безопасности источников событий ИБ из ИТ-инфраструктуры объекта КИИ и обеспечить централизованный сбор, обработку, хранение и анализ событий ИБ от этих источников.
В качестве платформы сбора и обработки событий ИБ может выступать SIEM-система (Security Information and Event Management). Обработка исходных событий ИБ в рамках SIEM-системы предполагает нормализацию их структуры полей и последующее распределение событий ИБ по соответствующим категориям в зависимости от значений их ключевых полей. Путем предварительной обработки исходных событий ИБ обеспечивается эффективная последующая аналитическая обработка.
Непосредственная аналитическая обработка осуществляется по заранее сформированным правилам корреляции обработанных событий ИБ, полученных от источников, полезных с точки зрения обнаружения определённых инцидентов ИБ. Результатами срабатывания правил корреляции событий ИБ ИТ-инфраструктуры объектов КИИ являются инциденты ИБ, каждый из которых в отдельности должен рассматриваться в качестве подозрения на компьютерный инцидент.
Работа по обнаружению инцидентов ИБ в инфраструктуре объектов КИИ должна быть организована сотрудниками подразделения субъекта КИИ, назначенными ответственными за обеспечение безопасности значимых объектов КИИ в соответствии с требованиями приказ ФСТЭК России № 235.
К мероприятиям оценки обнаруженного в ИТ-инфраструктуре объекта КИИ инцидента ИБ могут быть привлечены подразделения субъекта КИИ, эксплуатирующие значимые объекты КИИ, а также подразделения, обеспечивающие функционирование (сопровождение, обслуживание и ремонт) значимых объектов КИИ. Оценка обнаруженного инцидента ИБ выполняется в целях установления факта наличия/отсутствия компьютерного инцидента.
Результаты оценки документируются соответствующим образом и подлежат хранению. В случае установления факта наличия компьютерного инцидента в ИТ-инфраструктуре значимого объекта КИИ выполняется информирование руководства субъекта КИИ, а также, в соответствии с приказом ФСБ России от 19 июня 2019 года № 282 «Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации», в течении 3 часов осуществляется отправка соответствующих сведений в НКЦКИ ФСБ России.
Одновременно с этим реализуются мероприятия реагирования на компьютерный инцидент по заранее согласованным с ФСБ России Планам, а также мероприятия принятия мер по ликвидации последствий компьютерных атак. О результатах мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъект КИИ информирует НКЦКИ ФСБ России в срок не позднее 48 часов после завершения таких мероприятий в соответствии с приказом ФСБ России № 282.
Таким образом, для оперативного обнаружения компьютерных инцидентов в ИТ-инфраструктуре объектов КИИ субъекту КИИ необходимо, в первую очередь, наладить процессы взаимодействия между ключевыми подразделениями в рамках объектов КИИ, после чего в рамках создания систем безопасности значимых объектов КИИ обеспечить настройку аудита безопасности источников событий ИБ, централизованный автоматизированный сбор, обработку, хранение и анализ событий ИБ в целях обнаружения инцидентов ИБ средствами SIEM-системы.
Вопросами реализации комплекса работ, связанных с обеспечением безопасности КИИ крупных технологических объектов «Газинформсервис» занимается более года. Все решения формируются в плотной связке с заказчиками компании и регулирующими государственными органами, что обеспечивает соответствие требованиям законодательства, требуемый уровень безопасности и снижает риски нанесения ущерба в следствие реализации угроз ИБ.
Петр Нагернюк, ио начальника отдела систем мониторинга
Антон Аверкин, руководитель группы интегрированных систем операционного контроля и анализа
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!
Хотя бы один раз за весь период работы большинство компаний сталкивалось с инцидентами информационной безопасности. Речь идет об одном, двух и более неожиданных и нежелательных событиях в корпоративной сети, которые приводят к серьезным финансовым и репутационным последствиям. Например, доступ третьих лиц к закрытой информации организации. К классическим примерам можно отнести значительное искажение инфоактивов, а также хищение персональных данных пользователей (клиентской базы, проектная документация).
Выявление причин инцидента безопасности
Анализ ситуации позволяет оценить риски и возможные последствия инцидента.
После того, как последствия события полностью устранены, обязательно проводится служебное расследование. Оно требует привлечения целой команды опытных специалистов, которые самостоятельно определяют порядок изучения фактов и особенностей произошедшего. Дополнительно используются всевозможные публичные отчеты, аналитические средства, потоки сведений обо всех угрозах, а также другие источники, которые могут пригодиться в процессе изучения конкретного кейса. Квалифицированные специалисты устраняют вредоносное программное обеспечение, закрывают возможные уязвимости и блокируют все попытки нелегитимного доступа.
По факту расследования составляют перечень мер, направленных на профилактику аналогичных кибератак. Дополнительно составляется список действий моментального реагирования в случае, если имело место проникновение вредоносного ПО в систему. Нужно провести обучение персонала фирмы для повышения киберграмотности.
Федеральные законы
Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
Определяет основные принципы обеспечения безопасности, полномочия госорганов, а также права, обязанности и ответственность субъектов КИИ. Предусмотрены категорирование объектов, ведение реестра значимых объектов, оценка состояния защищенности, госконтроль, создание специальных систем безопасности.
Федеральный закон от 26.07.2017 № 194-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации"»
Дополняет Уголовный кодекс статьей 274.1, которая предусматривает наказания за неправомерное воздействие на КИИ РФ.
Федеральный закон от 26.07.2017 № 193-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации"»
Вносит изменения в федеральные законы о государственной тайне, связи и защите прав юридических лиц и ИП при осуществлении государственного контроля (надзора).
Читайте также: