Последние годы вопросам информационной безопасности на уровне государства уделяется очень много внимания, проводится целый комплекс мероприятий по усилению цифровых рубежей. Одним из важнейших шагов в этом направлении стало принятие федерального закона № 187 «О безопасности критической информационной инфраструктуры Российской Федерации» и запуск глобальной системы по борьбе с компьютерными атаками - Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА).

Закон о безопасности критической информационной инфраструктуры (далее - КИИ) предписывает ключевым организациям, к которым относятся органы государственной власти, государственные учреждения и ключевые предприятия основных отраслей экономики Российской Федерации, обеспечить безопасность своих информационных систем, сетей связи и технологических систем. В списке затронутых сфер экономики оказались: энергетика, в том числе атомная, транспорт, связь, наука, здравоохранение, банковский и финансовый секторы, оборонная, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность .

Инциденты безопасности на ключевых предприятиях страны могут иметь серьезные последствия масштаба города и даже целого региона, и не важно, что станет их причиной - целенаправленные хакерские атаки или случайные ошибки персонала. Для предотвращения возможных инцидентов и выполнения требований государства организации должны создать систему безопасности КИИ, обеспечить ее функционирование и подключиться к системе ГосСОПКА.

ГосСОПКА - это глобальная система сбора и обмена информацией о компьютерных атаках на территории Российской Федерации, за ее создание отвечает 8-ой центр Федеральной службы безопасности Российской Федерации (далее – ФСБ РФ). Основная цель - предотвращать и противодействовать атакам, в первую очередь внешним, за счет непрерывного мониторинга инцидентов ИБ и своевременной выработки мер. Для достижения этой цели создается сеть корпоративных и ведомственных центров ГосСОПКА, которая должна охватить все ключевые компании. В органах государственной власти строятся ведомственные центры, в государственных корпорациях - корпоративные центры. Многие крупные интеграторы и производители решений информационной безопасности начали создавать коммерческие корпоративные центры ГосСОПКА и готовы на договорной основе оказывать полный комплекс услуг по мониторингу, реагированию и т.д. организациям, которые не планируют создавать собственный центр. При подключении к ГосСОПКА организации принимают на себя обязательства по незамедлительной отправке сообщений в случае обнаружения компьютерных атак и по реагированию в случае получения информации о возможной атаке. Обнаружив атаку, центр ГосСОПКА должен передать информацию в главный центр, который в свою очередь передаст эту информацию другим центрам уже с рекомендациями по противодействию. Такой подход существенно повышает степень готовности и, как следствие, уровень защищенности организаций.

Нормативно-методологическая база, необходимая для создания центров ГосСОПКА, все еще разрабатывается, и на данный момент больше вопросов, чем ответов. Но главный центр ГосСОПКА на базе 8-го центра ФСБ РФ уже создан и функционирует, а многие организации начали строить необходимую инфраструктуру.

В ближайшее время будут выпущены разрабатываемые ФСБ РФ «Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации». Данные методические рекомендации определяют основной перечень функций, мер и решений по созданию центров ГосСОПКА. В документ еще могут вноситься правки, но уже можно говорить об общей концепции. Известно, что система ГосСОПКА будет иметь древовидную иерархическую структуру, где центральным узлом является главный центр ГосСОПКА на базе 8-го центра ФСБ РФ, а ведомственные и корпоративные центры находятся в подчиненном положении. Взаимодействие между центрами осуществляется по вертикали. При этом ведомственные и корпоративные центры могут объединяться, также образовывая иерархическую структуру с головным центром ГосСОПКА во главе. Структура системы ГосСОПКА показана на рисунке 1.

Рисунок 1 . Иерархическая структура ГосСОПКА

На центры ГосСОПКА возлагаются две основные задачи. Первая - обеспечение безопасности своих информационных ресурсов, в том числе осуществление контроля защищенности, обнаружение атаки, постоянное улучшение применяемых мер по защите. Вторая - своевременный обмен информацией о компьютерных атаках с головным центром (в случае подчинения головному центру) или с главным центром ГосСОПКА. Для реализации этих задач в рамках корпоративных и ведомственных центров должны быть построены полноценные центры управления инцидентами ИБ SOC (Security Operation Center), со всей необходимой технической и процессной базой.

Для эффективного функционирования системы ГосСОПКА корпоративные и ведомственные центры должны обеспечивать выполнение ряда функций, которые определены в разрабатываемых ФСБ РФ методических рекомендациях:

1. проводить регулярную инвентаризацию информационных ресурсов с целью контроля всех изменений;
2. систематически проводить комплекс мероприятий по выявлению уязвимостей, которые могут быть использованы злоумышленниками, в том числе осуществлять сканирование, внутренние и внешние пентесты, анализировать настройки и т.д. Далее вырабатывать меры по устранению и, основное, контролировать выполнение этих мер, чтобы избежать ситуации, как с нашумевшими шифровальщиками WannaCry и Petya, когда даже после выпуска обновлений, необходимых для закрытия уязвимостей, жертвами вирусов стали десятки компаний, так как эти обновления не были своевременно установлены;
3. на основе результатов инвентаризации и выявленных уязвимостей выполнять анализ актуальных угроз и возможных атак и разрабатывать меры по противодействию;
4. постоянно повышать квалификацию специалистов, участвующих в процессах обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также повышать осведомленность сотрудников, чтобы предотвратить атаки социальной инженерии. Кто предупрежден, тот вооружен. Никогда не будет лишним напомнить сотрудникам, что нельзя переходить по ссылкам в письмах от неизвестных отправителей и куда нужно обращаться, если все же открыли, и что-то пошло не так;
5. должен быть выстроен процесс приема сообщений об инцидентах от сотрудников. Особое внимание нужно уделять сообщениям, которые носят массовый характер;
6. для обнаружения атак различной направленности центры ГосСОПКА должны обеспечить централизованный сбор событий ИБ с ИТ- и ИБ-инфраструктуры, осуществлять анализ этих событий и корреляцию;
7. в случае выявления атаки должно осуществляться оперативное противодействие путем координации ресурсов и непосредственного применения контрмер;
8. необходимо проводить расследования подтвердившихся инцидентов, анализировать причины и последствия. Очень важно понять, почему этот инцидент в принципе стал возможен, как отработала команда, как улучшить меры защиты, сделать выводы о реализованных мерах ИБ и работе специалистов;
9. ну и в завершение, центры ГосСОПКА должны осуществлять регулярное плановое взаимодействие с головным или главным центром по вопросам инвентаризации, выявления уязвимостей и т.д. и, самое важное, оперативно уведомлять в случае обнаружения атак и оперативно реагировать в случае получения информации о возможных атаках.

Для реализации всех этих функций необходим целый комплекс технических средств:

• средства взаимодействия с персоналом. Если в компании уже есть call-центр и ServiсeDesk, можно использовать их как базу, а также стандартные способы коммуникации: телефон, почта, web-форма;
• средства автоматизированного взаимодействия с главным центром ГосСОПКА. Для решения этой задачи некоторые российские производители уже разработали специализированное программное обеспечение, своего рода порталы. Они позволяют осуществлять двустороннее взаимодействие в части приема и передачи информации об активах, инцидентах, атаках и угрозах, автоматически заполнять карточки инцидента по форме регулятора;
• система сбора, анализа и корреляции событий информационной безопасности (SIEM), позволяющая организовать единую точку сбора информации о подозрительных событиях и инцидентах ИБ;
• сканеры уязвимости, необходимые для оценки защищенности информационных систем, что позволяет коррелировать события ИБ с данными о реальных уязвимостях ИТ-инфраструктуры;
• средства защиты, позволяющие обнаруживать компьютерные атаки на уровне сети, на уровне приложений и т.д., передавать информацию о событиях ИБ в SIEM для корреляции, предотвращать и активно противодействовать атакам. В качестве базового набора таких средств мы видим решения IDS/IPS, системы WAF, межсетевые экраны, антивирусное ПО, средства защиты от DDoS;
• также для генерации событий ИБ на информационных ресурсах (ОС, сетевом оборудовании, серверах приложений, web-сервисах и БД) необходимо настроить штатные механизмы аудита.

Особых требований к техническим средствам пока не предъявляется, за исключением ПО, необходимого для непосредственного взаимодействия с головными и главным центрами ГосСОПКА - оно должно быть в реестре отечественного ПО. С выходом нормативной документации скорее всего ситуация изменится, и появятся дополнительные условия. Состав технических средств для каждой организации определяется индивидуально, в рамках работ по проектированию, учитывается специфика информационной инфраструктуры на предприятии, уже имеющиеся средства защиты и процессы обеспечения ИБ. Как правило, значительная часть технических решений, необходимая для создания корпоративных и ведомственных центров, уже есть в организациях.

И если со средствами защиты особых проблем нет, куда сложнее обстоит вопрос с необходимыми кадровыми ресурсами. Реализация процессов, внедрение и эксплуатация технических средств требуют команды опытных и квалифицированных специалистов. Нужны специалисты по взаимодействию с пользователями, операторы мониторинга, группа реагирования на инциденты, специалисты по обслуживанию технических средств (администраторы средств защиты, администраторы SIEM), специалисты по оценке защищенности (по пентестам, по сканированию), аналитики ИБ для разработки сценариев выявления инцидентов, технические эксперты, юристы и т.д. По большей части под задачи ГосСОПКА требуются узкопрофильные специалисты, найти которых на рынке непросто, поэтому кадровая проблема становится основной проблемой при построении центров ГосСОПКА.

Создание ведомственных и корпоративных центров ГосСОПКА требует тщательного подхода, необходима серьезная проработка процессного обеспечения, серьезная проработка технического обеспечения и экспертная команда специалистов. Нужно провести обследование инфраструктуры, определить необходимые технические средства, архитектуру, требования к настройкам, сценарии выявления инцидентов. Далее внедрить и настроить необходимые средства защиты, разработать организационно-распорядительную документацию, включая порядок реагирования, порядок обработки и расследования инцидентов ИБ, порядок взаимодействия с главным центром ГосСОПКА, и основное - обеспечить реализацию всех требуемых функций по обеспечению ИБ, мониторингу и реагированию, желательно в круглосуточном режиме. Фронт работы огромный, и организация, принявшая решение о подключении к ГосСОПКА, может выбрать следующие варианты:

1. Построить собственный центр ГосСОПКА на базе своих кадровых ресурсов. Такой подход требует огромных временных, ресурсных и финансовых затрат, зато позволит получить полный контроль над всеми процессами и существенно повысит роль организации в системе ГосСОПКА. Целесообразно для крупных ведомств и корпораций, которые планируют исполнять функции ГосСОПКА в отношении дочерних предприятий. В территориально распределенных компаниях при формировании команды рекомендуется привлекать региональных сотрудников - это позволит добиться существенной экономии, так как заработные платы в регионах ниже и за счет разницы часовых поясов можно получить большее временное покрытие.

2. Привлечь внешних специалистов под отдельные задачи. Не всегда имеет смысл пытаться объять необъятное. Так и при построении центра ГосСОПКА передача части задач на аутсорсинг может стать оптимальным решением проблем с кадрами и сроками реализации. Согласно методическим рекомендациям, возможность аутсорсинга отдельных функций предусмотрена и для ведомственных, и для корпоративных центров ГосСОПКА. Целесообразно передавать на аутсорсинг простые и ресурсоемкие задачи первой линии, например, мониторинг и обнаружение инцидентов, сопровождение средств защиты. Такие работы легко зафиксировать в договоре, разграничить зоны ответственности, согласовать SLA (Service Level Agreement), удобно контролировать их исполнение. Это позволит избавиться от рутины и существенно разгрузить собственный персонал. Также имеет смысл привлекать внешних специалистов для решения задач третьей линии, например, для аналитики и разработки сценариев обнаружения инцидентов, разработки политик для средств защиты. Эти экспертные задачи требуют узкопрофильных специалистов, которых, во-первых, сложно найти, а во-вторых, не всегда есть возможность обеспечить им fulltime-загрузку и содержать их в штате может быть экономически нецелесообразно. Для аутсорсинга отдельных задач, как правило, привлекают системных интеграторов и компании, оказывающие профессиональные сервисы ИБ.

3. Переложить все функции на головной ведомственный центр или коммерческий корпоративный центр. Актуально для организаций, которые должны подключиться к ГосСОПКА, но в силу отсутствия людей и компетенций не готовы строить собственную инфраструктуру. Такая схема взаимодействия будет распространена в крупных корпорациях, где практикуется централизованное управление ИБ ресурсами головной организации. В этом случае дочерние компании не строят свой SOC, а подключают свои информационные ресурсы к SOC головного центра, который на договорной основе может исполнять все необходимые функции по обеспечению безопасности, мониторингу, реагированию и обмену информацией. Аналогичная схема взаимодействия подразумевается при использовании услуг коммерческих корпоративных центров, которые будут строиться на базе интеграторов и производителей решений ИБ. На стороне компании останется только функция контроля и определенный объем работ по адаптации внутренних процессов ИБ к функционированию в рамках системы ГосСОПКА, выстраиванию процессов взаимодействия с головным центром, обеспечению готовности ИТ- и ИБ-специалистов принимать активное участие в расследовании и ликвидации последствий инцидентов.

Подключение к системе ГосСОПКА и построение корпоративных и ведомственных центров позволит значительно повысить уровень зрелости ИБ и реальную защищенность информационных ресурсов ключевых российских компаний. Создание такой системы должно стать стремительным скачком вперед в вопросах ИБ, многие организации сегодня только осваивают базовые меры безопасности, но уже с 1 января 2018 г., момент вступления в силу закона о безопасности КИИ, должны перейти к технологии SOC. И несмотря на то что процесс этот сложный, требующий много усилий, польза от таких мероприятий очевидна. И здесь в первую очередь важен результат: безопасность ключевых предприятий РФ. Формальный подход по закрытию навязанных требований применить не получится, так как в том числе и в УК РФ внесены поправки, устанавливающие серьезные наказания не только для атакующих (наказание до 10 лет лишения свободы за кибератаки), но и для лиц, ответственных за защиту КИИ (наказание до 6 лет лишения свободы за нарушений правил эксплуатации). Возможно, это жесткие меры, но цена инцидентов ИБ на ключевых предприятиях страны может быть слишком велика.

Список литературы:

1. О безопасности критической информационной инфраструктуры Российской Федерации: от 26.07.2017 N 187-ФЗ (последняя редакция) // Консультант Плюс. Законодательство. ВерсияПроф [Электронный ресурс] / АО «Консультант Плюс». – М., 2018.
2. Сюртукова Е. Восхождение на ГосСОПКА // Jet Info: ежемесячное деловое издание – 2017. – №7-8. URL: http://www.jetinfo.ru/author/ekaterina-syurtukova/voskhozhdenie-na-gossopka (дата обращения: 10.03.2018).
3. Уголовный кодекс Российской Федерации: от 13.06.1996 № 63-ФЗ (ред. от 19.02.2018) // Консультант Плюс. Законодательство. ВерсияПроф [Электронный ресурс] / АО «Консультант Плюс». – М., 2018.

В целях совершенствования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и в соответствии со статьей 6 Федерального закона от 26 июля 2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" постановляю:

1. Возложить на Федеральную службу безопасности Российской Федерации функции федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации - информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, находящиеся на территории Российской Федерации, в дипломатических представительствах и консульских учреждениях Российской Федерации.

2. Установить, что задачами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации являются:

а) прогнозирование ситуации в области обеспечения информационной безопасности Российской Федерации;

б) обеспечение взаимодействия владельцев информационных ресурсов Российской Федерации, операторов связи, иных субъектов, осуществляющих лицензируемую деятельность в области защиты информации, при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;

в) осуществление контроля степени защищенности информационных ресурсов Российской Федерации от компьютерных атак;

г) установление причин компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации.

3. Установить, что Федеральная служба безопасности Российской Федерации:

а) обеспечивает и контролирует функционирование государственной системы, названной в настоящего Указа;

б) формирует и реализует в пределах своих полномочий государственную научно-техническую политику в области обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;

по обнаружению компьютерных атак на информационные ресурсы Российской Федерации;

по предупреждению и установлению причин компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации, а также по ликвидации последствий этих инцидентов.

4. Внести в пункт 9 Положения о Федеральной службе безопасности Российской Федерации, утвержденного Указом Президента Российской Федерации от 11 августа 2003 г. № 960 "Вопросы Федеральной службы безопасности Российской Федерации" (Собрание законодательства Российской Федерации, 2003, № 33, ст. 3254; 2004, № 28, ст. 2883; 2005, № 36, ст. 3665; № 49, ст. 5200; 2006, № 25, ст. 2699; № 31, ст. 3463; 2007, № 1, ст. 205; № 49, ст. 6133; № 53, ст. 6554; 2008, № 36, ст. 4087; № 43, ст. 4921; № 47, ст. 5431; 2010, № 17, ст. 2054; № 20, ст. 2435; 2011, № 2, ст. 267; № 9, ст. 1222; 2012, № 7, ст. 818; № 8, ст. 993; № 32, ст. 4486; 2013, № 12, ст. 1245; № 26, ст. 3314; № 52, ст. 7137, 7139; 2014, № 10, ст. 1020; № 44, ст. 6041; 2015, № 4, ст. 641; 2016, № 50, ст. 7077; 2017, № 21, ст. 2991), следующие изменения:

а) подпункт 20.1 изложить в следующей редакции:

"20.1) в пределах своих полномочий разрабатывает и утверждает нормативные и методические документы по вопросам обеспечения информационной безопасности информационных систем, созданных с использованием суперкомпьютерных и грид-технологий, информационных ресурсов Российской Федерации, а также осуществляет контроль за обеспечением информационной безопасности указанных систем и ресурсов;";

б) подпункт 47 изложить в следующей редакции:

"47) организует и проводит исследования в области защиты информации, экспертные криптографические, инженерно-криптографические и специальные исследования шифровальных средств, специальных и закрытых информационно-телекоммуникационных систем, информационных систем, созданных с использованием суперкомпьютерных и грид-технологий, а также информационных ресурсов Российской Федерации;";

в) подпункт 49 изложить в следующей редакции:

"49) осуществляет подготовку экспертных заключений на предложения о проведении работ по созданию специальных и защищенных с использованием шифровальных (криптографических) средств информационно-телекоммуникационных систем и сетей связи, информационных систем, созданных с использованием суперкомпьютерных и грид-технологий, а также информационных ресурсов Российской Федерации;".

5. Внести в Указ Президента Российской Федерации от 15 января 2013 г. № 31с "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации" (Собрание законодательства Российской Федерации, 2013, № 3, ст. 178) следующие изменения:

а) из пункта 1 слова "- информационные системы и информационно-телекоммуникационные сети, находящиеся на территории Российской Федерации и в дипломатических представительствах и консульских учреждениях Российской Федерации за рубежом" исключить;

б) пункт 2 и подпункты "а" - "е" пункта 3 признать утратившими силу.

Москва, Кремль

Обзор документа

Ранее на ФСБ России были возложены полномочия по созданию системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информресурсы России (информсистемы и информационно-телекоммуникационные сети, находящиеся на территории нашей страны и в диппредставительствах и консульских учреждениях России за рубежом).

Решено возложить на Службу функции федерального органа власти, уполномоченного в области обеспечения функционирования системы.

Уточнено, что ресурсы включают в себя информсистемы, информационно-телекоммуникационные сети и автоматизированные системы управления, находящиеся на территории нашей страны, в диппредставительствах и консульских учреждениях России.

Пересмотрены задачи системы. Скорректированы Положение о Службе и Указ Президента РФ о создании системы.

В Кремле с офицерами, назначенными на высшие командные должности, заявил, что нужно продолжать действовать "системно и наступательно, в том числе по таким направлениям, как контрразведка, защита стратегической инфраструктуры, борьба с преступлениями в сфере экономики, в киберпространстве ".

Буквально на следующий день, 29-го декабря, Путин подписывает указ №1711 об изменении состава Межведомственной комиссии Совета Безопасности РФ по информационной безопасности. Среди прочего в ее состав вошли руководитель службы безопасности Роснефти, заместитель генерального директора по безопасности Росатома и заместитель председателя правления Газпрома, т.е. трех отечественных стратегических инфраструктур.

А 15 января Президент России подписал новый Указ №31с "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ". Все полномочия по созданию данной системы, разработке методики обнаружения атак, обмену информацией между госорганами об инцидентах ИБ, оценке степени защищенности критической информационной инфраструктуры возложены на ФСБ.

В совокупности с "Основными направлениями государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации", Советом Безопасности летом прошлого года, выглядят эти действия как реализация целенаправленной программы по защите отечественных критических информационных инфраструктур.

Но вопросов, после выхода последнего указа, все равно больше чем ответов:

1. Какие компоненты входят в данную систему? Не на словах, а не деле. Малоприспособоенные к реальной жизни "РУЧЕЕК" и "АРГУС"?
2. На кого возложена эксплуатация данной системы обнаружения компьютерных атак?
3. ФСБ достаточно давно ведет работы по т.н. системе "СОПКА" (Система Обнаружения, Предупреждения и ликвидации последствий Компьютерных Атак). Это одно и тоже или разные системы?
4. Продолжают ли действовать прежние документы Правительства, Президента и СовБеза? Например, "Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий", утвержденная в ноябре 2005-го года.
5. Что с документами ФСТЭК по КСИИ? С одной стороны они есть и достаточно неплохи. С другой - ФСТЭК сама не раз заявляла, что это рекомендации , а не обязательные требования.
6. Когда же все-таки будет составлен конкретный перечень мероприятий в соответствии с "Основными направлениями..." СовБеза с детализацией, датами и ответственными?

Я более чем уверен, что в ФСБ сейчас нет достаточного количества адекватных специалистов по данной тематике. Максимум на что они способны - это потребовать использовать российскую криптографию на всех КВО, включая и в западных индустриальных системах. Это, конечно не решение проблемы (да и невозможно это реализовать). Как и не решение - внедрение пока еще несуществующей операционной системы от Касперского. Нужен системный подход с привлечением широкого круга специалистов, как это делается на Западе и как это попыталась сделать ФСТЭК с документами по ПДн и защите госорганов.

Защита информации на государственном уровне - это целый комплекс мероприятий и инструментов. Охраной государственной тайны занимаются специализированный государственный орган - Федеральная служба безопасности. Однако, не вся информация подлежащая защите может быть отнесена к ГТ. И вот в поддержку приказа №31 и как реакция на быстро меняющуюся ситуацию в мире президент Владимир Путин указом создает специализированную государственную систему ГосСОПКА. Рассмотрим более подробно организационные и технические аспекты новой государственной системы.

В январе 2013г. президент Владимир Путин подписал указ о создании в России Государственнной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак или ГосСОПКА

Ее ключевыми задачами, в соответствии с указом президента, должно стать прогнозирование ситуаций в области обеспечения Информационной безопасности, обеспечение взаимодействия владельцев ИТ-ресурсов при решении задач, связанных с обнаружением и ликвидацией компьютерных атак, с операторами связи и другими организациями, осуществляющими деятельность по защите информации. В список задач системы также входит оценка степени защищенности критической ИТ-инфраструктуры от компьютерных атак и установление причин таких инцидентов.

Следующим шагом стала в декабре 2014 года утвержденная президентом Владимиром Путиным концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ. А в марте 2015 года ФСБ опубликовала выписку из этого документа , содержащую данные о том, как будет устроена эта система.

Система должна защитить от кибератак более 70 органов исполнительной власти, а также объекты критической инфраструктуры: атомные и гидроэлектростанции, системы снабжения городов и спецхранилища Росрезерва. Чтобы справиться с этой задачей, ГосСОПКА сможет в реальном времени проводить мониторинг электронных ресурсов, выявлять и прогнозировать возникновение угроз, а также совершенствовать существующие системы безопасности, взаимодействуя в том числе с операторами связи и интернет-провайдерами.

Согласно документу, система представляет собой единый централизованный территориально-распределенный комплекс, включающий силы и средства обнаружения, предупреждения и ликвидации последствий компьютерных атак, федеральный орган власти, уполномоченный в области обеспечения безопасности критической инфраструктуры РФ и орган власти, уполномоченный в области создания и обеспечения функционирования системы.

Под «средствами» в концепции подразумеваются, главным образом, технологические решения, а под «силами» - специальные подразделения и сотрудники со стороны федерального органа власти, ответственного за систему, а также операторов связи и других организаций, осуществляющих лицензируемую деятельность в сфере защиты информации.

В составе системы будет функционировать созданный в ФСБ Национальный координационный центр по компьютерным инцидентам

Основной организационно-технической составляющей системы являются центры обнаружения, предупреждения и ликвидации последствий компьютерных атак, которые будут подразделяться по территориальному и ведомственному признакам. В частности, будет организован главный центр, региональные, территориальные центры системы, а также центры госорганов и корпоративные центры. Функционирование последних будет обеспечиваться организациями, их создавшими.

В соответствии с концепцией территориальная структура ГосСОПКА имеет вид:

Также рамках системы планируется организовать взаимодействие с правоохранительными и другими госорганами, владельцами информационных ресурсов РФ, операторами связи и интернет-провайдерами на национальном и международном уровнях. Оно будет включать обмен информацией о выявленных компьютерных атаках и обмен опытом в сфере в сфере выявления и устранения уязвимостей ПО и оборудования и реагирования на компьютерных инциденты.

• выявление признаков проведения компьютерных атак формирование и поддержание в актуальном состоянии детализированной информации об информационных ресурсах, находящихся в зоне ответственности ведомственного центра

• сбор и анализ информации о компьютерных атаках и вызванных ими компьютерных инцидентах

• проведение мероприятий по оперативному реагированию на компьютерные атаки и вызванные ими компьютерные инциденты, а также по ликвидации последствий данных компьютерных инцидентов в информационных ресурсах

• принятие управляющих решений по обеспечению информационной безопасности информационных ресурсов

• выявление, сбор и анализ сведений об уязвимостях, а также проведение мероприятий по оценке защищённости от компьютерных атак и вирусных заражений информационных ресурсов

• информирование заинтересованных лиц и субъектов ГосСОПКА по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак

• обеспечение защиты данных, передаваемых между ведомственным центром и Главным центром по каналам, защищённым с использованием сертифицированных ФСБ России средств защиты информации

• предоставление дополнительной информации о компьютерных инцидентах в информационно-телекоммуникационных сетях, находящихся в зоне ответственности ведомственного центра, по запросам Главного центра ГосСОПКА.

С учетом функций приведенных в Концепции , получается следующая схема взаимодействия ГосСОПКА

И в заключение стоит упомянуть о связи FinCERT и ГосСОПКА. По словам Алексея Лукацкого , было сказано, что создаваемый Центробанком FinCERT войдёт в состав Системы – видимо, как ведомственный. Лукацкий отмечает: "Банкам стоит присмотреться к СОПКА. Тому есть две причины. Первая – с СОПКА будет плотно работать FinCERT, передавая туда информацию, получаемую от банков и переработанную FinCERTом. Вторая – все те, кто попадет под действие закона "О безопасности критической информационной инфраструктуры" , обязаны будут подключиться к СОПКА".

УКАЗ

ПРЕЗИДЕНТА РОССИЙСКОЙ ФЕДЕРАЦИИ

О СОВЕРШЕНСТВОВАНИИ

ГОСУДАРСТВЕННОЙ СИСТЕМЫ ОБНАРУЖЕНИЯ, ПРЕДУПРЕЖДЕНИЯ

И ЛИКВИДАЦИИ ПОСЛЕДСТВИЙ КОМПЬЮТЕРНЫХ АТАК

НА ИНФОРМАЦИОННЫЕ РЕСУРСЫ РОССИЙСКОЙ ФЕДЕРАЦИИ

В целях совершенствования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и в соответствии со статьей 6 Федерального закона от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" постановляю:

1. Возложить на Федеральную службу безопасности Российской Федерации функции федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации - информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, находящиеся на территории Российской Федерации, в дипломатических представительствах и консульских учреждениях Российской Федерации.

2. Установить, что задачами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации являются:

а) прогнозирование ситуации в области обеспечения информационной безопасности Российской Федерации;

б) обеспечение взаимодействия владельцев информационных ресурсов Российской Федерации, операторов связи, иных субъектов, осуществляющих лицензируемую деятельность в области защиты информации, при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;

в) осуществление контроля степени защищенности информационных ресурсов Российской Федерации от компьютерных атак;

г) установление причин компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации.

3. Установить, что Федеральная служба безопасности Российской Федерации:

а) обеспечивает и контролирует функционирование государственной системы, названной в пункте 1 настоящего Указа;

б) формирует и реализует в пределах своих полномочий государственную научно-техническую политику в области обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;

по обнаружению компьютерных атак на информационные ресурсы Российской Федерации;

по предупреждению и установлению причин компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации, а также по ликвидации последствий этих инцидентов.

4. Внести в пункт 9 Положения о Федеральной службе безопасности Российской Федерации, утвержденного Указом Президента Российской Федерации от 11 августа 2003 г. N 960 "Вопросы Федеральной службы безопасности Российской Федерации" (Собрание законодательства Российской Федерации, 2003, N 33, ст. 3254; 2004, N 28, ст. 2883; 2005, N 36, ст. 3665; N 49, ст. 5200; 2006, N 25, ст. 2699; N 31, ст. 3463; 2007, N 1, ст. 205; N 49, ст. 6133; N 53, ст. 6554; 2008, N 36, ст. 4087; N 43, ст. 4921; N 47, ст. 5431; 2010, N 17, ст. 2054; N 20, ст. 2435; 2011, N 2, ст. 267; N 9, ст. 1222; 2012, N 7, ст. 818; N 8, ст. 993; N 32, ст. 4486; 2013, N 12, ст. 1245; N 26, ст. 3314; N 52, ст. 7137, 7139; 2014, N 10, ст. 1020; N 44, ст. 6041; 2015, N 4, ст. 641; 2016, N 50, ст. 7077; 2017, N 21, ст. 2991), следующие изменения:

а) подпункт 20.1 изложить в следующей редакции:

"20.1) в пределах своих полномочий разрабатывает и утверждает нормативные и методические документы по вопросам обеспечения информационной безопасности информационных систем, созданных с использованием суперкомпьютерных и грид-технологий, информационных ресурсов Российской Федерации, а также осуществляет контроль за обеспечением информационной безопасности указанных систем и ресурсов;";

б) подпункт 47 изложить в следующей редакции:

"47) организует и проводит исследования в области защиты информации, экспертные криптографические, инженерно-криптографические и специальные исследования шифровальных средств, специальных и закрытых информационно-телекоммуникационных систем, информационных систем, созданных с использованием суперкомпьютерных и грид-технологий, а также информационных ресурсов Российской Федерации;";

в) подпункт 49 изложить в следующей редакции:

"49) осуществляет подготовку экспертных заключений на предложения о проведении работ по созданию специальных и защищенных с использованием шифровальных (криптографических) средств информационно-телекоммуникационных систем и сетей связи, информационных систем, созданных с использованием суперкомпьютерных и грид-технологий, а также информационных ресурсов Российской Федерации;".

5. Внести в Указ Президента Российской Федерации от 15 января 2013 г. N 31с "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации" (Собрание законодательства Российской Федерации, 2013, N 3, ст. 178) следующие изменения:

а) из пункта 1 слова "- информационные системы и информационно-телекоммуникационные сети, находящиеся на территории Российской Федерации и в дипломатических представительствах и консульских учреждениях Российской Федерации за рубежом" исключить;

б) пункт 2 и подпункты "а" - "е" пункта 3 признать утратившими силу.

Президент

Российской Федерации

Москва, Кремль