Подключение объектов КИИ к ГосСОПКА

ГосСОПКА — это государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, нарушение или прекращение работы которых окажет негативное влияние на экономику страны или безопасность граждан. Корпоративный центр ГосСОПКА автоматизирует выявление инцидентов, реагирование на них и взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ).

Основная задача системы ГосСОПКА — получение оперативной, объективной и достоверной информации о состоянии кибербезопасности ИТ-ресурсов РФ на основе собираемой информации о компьютерных инцидентах. Данные анализируются НКЦКИ для формирования индикаторов компрометации и бюллетеней ИБ, которые затем адресно рассылаются участникам ГосСОПКА. Это помогает организациям быть в курсе актуальных киберугроз.

Основные задачи центра ГосСОПКА:

• прогнозирование ситуации в области обеспечения информационной безопасности РФ;
• обеспечение взаимодействия владельцев информационных ресурсов, при решении задач, касающихся обнаружения, предупреждения и ликвидации последствий компьютерных атак;
• осуществление контроля степени защищенности информационных ресурсов РФ от компьютерных атак;
• расследование компьютерных инцидентов.

Элементы этой системы:

• Национальный координационный центр по компьютерным инцидентам (НКЦКИ) — подразделение ФСБ России;
• ведомственные, территориальные и корпоративные центры ГосСОПКА;
• программно-технические средства.

ГосСОПКА создана, в первую очередь, для защиты критической информационной инфраструктуры (КИИ) в России и российских дипломатических представительствах. В ней собираются данные обо всех компьютерных атаках на КИИ и сетевых утечках данных, участники обмениваются информацией по этому направлению.

По российскому законодательству взаимодействие с системой ГосСОПКА входит в обязанность субъектов КИИ и операторов персональных данных. Зачастую это одна и та же организация, однако требования к каждому статусу определяются своим Федеральным законом.

Однако, не всегда обязательно физическое подключение к системе ГосСОПКА. В предусмотренных законом случаях достаточно организовать канал передачи информации.

К субъектам КИИ относятся органы власти, ИП и российские организации, которые владеют объектами критической информационной инфраструктуры или обеспечивают взаимодействие между ними (ст. 2 187-ФЗ). КИИ образуют информационные и информационно-телекоммуникационные сети, автоматизированные системы управления (АСУ):

• здравоохранения;
• науки;
• транспорта;
• связи;
• энергетики и ТЭК;
• банковского сектора и финансового рынка;
• атомной энергии;
• оборонной и ракетно-космической отраслей;
• горнодобывающей, металлургической и химической промышленности.

Субъект КИИ информирует обо всех компьютерных инцидентах на своих сетях НКЦКИ, а также Центробанк, если относится к банковской сфере (ст. 9 187-ФЗ).

Если он владеет значимыми объектами из Реестра ФСТЭК, у него появляются дополнительные обязанности, например создать систему безопасности объекта. В том числе установить программно-технические средства защиты информации. Если субъект КИИ использует у себя ресурсы ГосСОПКА, то ему нужно обеспечить их сохранность и бесперебойную работу.

Способ подключения к ГосСОПКА зависит от того, является организация субъектом КИИ или нет.

С сентября 2022 года у оператора персональных данных нет обязанности технически интегрироваться в систему по 187-ФЗ. Но организации могут подключаться к ГосСОПКА добровольно.

Здесь возможны два варианта:

1. Создать свой центр мониторинга инцидентов информационной безопасности (SOC)
2. Подключиться к имеющемуся SOC сторонней организации и интегрировать его с информационной инфраструктурой

При создании своего центра необходимо руководствоваться документами ФСБ России, которые определяют требования к организациям и методическую основу деятельности таких центров:

• Требования к подразделениям и должностным лицам субъектов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации;
• Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы Российской Федерации;
• Методические рекомендации по установлению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации;
• Методические рекомендации по проведению мероприятий по оценке степени защищенности от компьютерных атак;
• Регламент взаимодействия подразделений Федеральной службы безопасности Российской Федерации и организации при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак

Для подключения субъекта КИИ к существующему центру ГосСОПКА необходимо направить письменный запрос в ФСБ России. В запросе необходимо изложить сферы деятельности субъекта КИИ, перечень информационных ресурсов, включенных в зону ответственности субъекта, контактные данные руководителя и лиц, ответственных за взаимодействие.

В соответствии с приказом ФСБ России № 367 взаимодействие осуществляется через НКЦКИ с помощью технической инфраструктуры НКЦКИ или по альтернативным каналам: почта (в том числе электронная), факс, телефон.

Для обмена информацией об инцидентах через техническую инфраструктуру необходимо организовать канал защищенного межсетевого взаимодействия, решить организационные вопросы по определению зоны ответственности, и подключить организацию к технической инфраструктуре НКЦКИ под определенной учетной записью. Если организация не является субъектом КИИ, но планирует подключиться к ГосСОПКА для выполнения задач по обнаружению, предупреждению и ликвидации последствий компьютерных атак, то ей необходимо стать субъектом ГосСОПКА и создать центр ГосСОПКА.

Оператор может разобраться с подключением к ГосСОПКА самостоятельно или обратиться за помощью к специализированной организациям, имеющим необходимые лицензии.