четверг, 19 марта 2015 г.

СОИБ. Анализ. ГосСОПКА

Вчера на сайте ФСБ была опубликована выписка из документа “Концепция государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации” утвержденного Президентом РФ 12.12.2014 № К 1274.

Давайте посмотрим, какая есть ещё публичная информация по ГосСОПКе и представим её общую картину:
·        Презентация выступления Юдина Сергея Николаевича из ФСБ на 7 уральском форуме IB-Bank от 17.02.2015 
·        Указ Президента Российской Федерации от 15 января 2013 г. N 31с г. Москва "О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"

На всякий случай взглянем на:
·        экспертное мнение Алексея Лукацкого по возможному составу федеральной системе обнаружения атак

·        замороженный проект ФЗ РФ “о безопасности критической информационной инфраструктуры Российской Федерации” в котором упоминается ГосСОПКА

В соответствии с указом №31с область защиты:
“информационные ресурсы Российской Федерации - информационные системы и информационно-телекоммуникационные сети, находящиеся на территории Российской Федерации и в дипломатических представительствах и консульских учреждениях Российской Федерации за рубежом”

В соответствии с концепцией территориальная структура ГосСОПКА имеет вид:


Область ответственности центров ГосСОПКА отображена на следующей схеме:


Сертифицированные последнее время в ФСБ средства обнаружения компьютерных атак должны иметь возможность интеграции с ГосСОПКА. В требованиях по созданию ГИС в последнее время также указывается необходимость применения СОВ с возможностью интеграции с ГосСОПКА.

Таким образом, можно предположить что в качестве так называемых “технические средства, предназначенные для поиска признаков компьютерных атак в сообщениях электросвязи” будет выступать любое сертифицированное в ФСБ  IPS, которое будет оправлять информацию об атаках и инцидентах по syslog в специальном формате, а ГосСОПКА представляет из себя в таком случае большой распределенный SOC.
С учетом этого, а так-же функций приведенных в Концепции, получается следующая схема взаимодействия ГосСОПКА




Если верить Концепции, должны быть разработаны ещё следующие нормативно-правовые акты:
·        порядок фиксации и обмена информацией между субъектами Системы о компьютерных атаках на информационные ресурсы РФ и вызванных ими компьютерных инцидентах;
·        порядок осуществления деятельности субъектов Системы в области обнаружения, предупреждения и ликвидации последствий компьютерных атак;
·        порядок и периодичность проведения мероприятий по оценке степени защищенности критической информационной инфраструктуры РФ от компьютерных атак;
·        порядок обмена информацией между органами государственной власти и международными организациями о компьютерных инцидентах.  


3 комментария:

(_DeV1L_) комментирует...

Ждём тендеры на внедрение новых IPS`ов в ГОСах

doom комментирует...

Почему-то незаслуженно забыт документ Совета безопасности РФ (основные направления государственной политики ...) - ведь там есть конкретный план по ГосСОПКА, а также упомянуты некоторые документы, которые уже есть или их нам надо ждать в ближайшем будущем.

George Kornilov комментирует...

Задумка по СОПКА отличная, но думается мне, что контент у нее будет негодный. Так как для того, чтобы СОПКА работала, необходимо иметь уровень 4 по CMMI и реализацию ИБ с процесcным подходом (с идеологией ITIL/ITSM), то есть с SLA и соответствующими SLT - на всех узлах ведомственных центров и корпоративных центров Системы. Много ли таких...