пятница, 19 октября 2018 г.

КИИ. Подключение к ГосСОПКА


В последнее время сталкиваюсь с большим количеством вопросов типа “у нас обычная организация, нет SOC-а, как нам технически подключится к ГосСОПКА?”. Так как раньше возможности такого подключения были описаны только в ДСП-шных документах, которые мог получить только лицензиат, то приходилось отправлять их либо в коммерческий центр ГосСОПКА, либо за получением лицензии.
Но наконец, по материалам одной из недавних конференций информация появилась и в публичных источниках. Ей и спешу свами поделиться. Озвучено было 3 варианта подключения к технической инфратструктуре ГосСОПКА:
1.       Купить новое клиентское ПО VipNet Client КС3. Подключить его в сеть НКЦКИ. Цена вопроса – до 10 тыс. рублей

2.       Купить новый шлюз VipNet Coordinator или HW. Подключить его в сеть НКЦКИ. Цена вопроса – 60-200 тыс. рублей в зависимости от шлюза

3.       Связать уже имеющуюся у вас сеть VipNet с сетью НКЦКИ с помощью межсетевого. Без доп. затрат  

Как видно из выдержки презентации, подключившись к технической инфраструктуре ГосСОПКА, мы сможем работать в личном кабинете по адресу portal.cert.local и вносить данные через web. Также вероятно будет возможность импортировать инцидент из файла. И ещё один способ взаимодействия: связать систему учета инцидентов организации и систему учета инцидентов НКЦКИ через API.
Кроме того, в приказах ФСБ России №367 и 368 озвучивается возможность, при отсутствии технического подключения к НКЦКИ, передавать информацию в ГосСОПКА посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на сайте http://cert.gov.ru. Сейчас там указаны: телефон +7 (916) 901-07-42 и почта gov-cert@gov-cert.ru
Кроме того есть web-форма для сообщения об инциденте http://cert.gov.ru/abuse/index.html Но состав полей этой web формы не совпадает с составом информации, которую нужно предоставлять в ГосСОПКА в соответствии с приказом ФСБ №.

Собрал все возможные варианты (без участия сторонних SOC) передачи сведений в ГосСОПКА на одной картинке:


PS: под вопросом пока остается минимальный или рекомендованный набор данных об инциденте или атаке, которые достаточно передавать в НКЦКИ, а также форматы файлов. Надеюсь по нему также будут публичные разъяснения. 


пятница, 12 октября 2018 г.

КИИ. Обязательные документы


При планировании мероприятий по обеспечению безопасности значимых объектов критической информационной инфраструктуры важно понимать какие процессы обеспечения безопасности необходимо создать/изменить, а также в каких документах они должны быть определены и описаны.
Я провел полный анализ действующих НПА в области КИИ на предмет требований в которых какие-либо документы упоминаются в явном виде, либо имеются требования к мерам необходимость документирования которых очевидна и неоспорима.   
Для владельцев незначимых объектов КИИ получился примерно следующий перечень


Для владельцев значимых объектов КИИ перечень существенно больше
В хорошем качестве можно скачать PDF 

Получилось 18 политик, 8 порядков, 4 приказа, 3 журнала, 2 положения. Но это как минимум.


Есть ещё ряд процессов обеспечения ИБ, которые требуется выполнять, но требований по документированию которых не приводится – тут документы могут разрабатываться на усмотрение субъекта КИИ. Также для многих процессов, может быть недостаточно политики и порядка – могут понадобится дополнительные инструкции или документы, возникающие в результате процесса.
Пока получается что в области КИИ требования к организационным мерам и документированию более сильные чем в других сферах.    

Но конечно возможна и оптимизация. Можно объединять документы в более крупные, делать документы сразу по нескольким темам, но это вопрос уже других статей.  

Думаю, что далее буду более подробно рассматривать отдельные процессы и документацию по ним. Вас также прошу высказываться по поводу документов, может быть есть альтернативное виденье или дополнение к тому что приведено в статье.