пятница, 19 октября 2018 г.

КИИ. Подключение к ГосСОПКА


В последнее время сталкиваюсь с большим количеством вопросов типа “у нас обычная организация, нет SOC-а, как нам технически подключится к ГосСОПКА?”. Так как раньше возможности такого подключения были описаны только в ДСП-шных документах, которые мог получить только лицензиат, то приходилось отправлять их либо в коммерческий центр ГосСОПКА, либо за получением лицензии.
Но наконец, по материалам одной из недавних конференций информация появилась и в публичных источниках. Ей и спешу свами поделиться. Озвучено было 3 варианта подключения к технической инфратструктуре ГосСОПКА:
1.       Купить новое клиентское ПО VipNet Client КС3. Подключить его в сеть НКЦКИ. Цена вопроса – до 10 тыс. рублей

2.       Купить новый шлюз VipNet Coordinator или HW. Подключить его в сеть НКЦКИ. Цена вопроса – 60-200 тыс. рублей в зависимости от шлюза

3.       Связать уже имеющуюся у вас сеть VipNet с сетью НКЦКИ с помощью межсетевого. Без доп. затрат  

Как видно из выдержки презентации, подключившись к технической инфраструктуре ГосСОПКА, мы сможем работать в личном кабинете по адресу portal.cert.local и вносить данные через web. Также вероятно будет возможность импортировать инцидент из файла. И ещё один способ взаимодействия: связать систему учета инцидентов организации и систему учета инцидентов НКЦКИ через API.
Кроме того, в приказах ФСБ России №367 и 368 озвучивается возможность, при отсутствии технического подключения к НКЦКИ, передавать информацию в ГосСОПКА посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера) НКЦКИ, указанные на сайте http://cert.gov.ru. Сейчас там указаны: телефон +7 (916) 901-07-42 и почта gov-cert@gov-cert.ru
Кроме того есть web-форма для сообщения об инциденте http://cert.gov.ru/abuse/index.html Но состав полей этой web формы не совпадает с составом информации, которую нужно предоставлять в ГосСОПКА в соответствии с приказом ФСБ №.

Собрал все возможные варианты (без участия сторонних SOC) передачи сведений в ГосСОПКА на одной картинке:


PS: под вопросом пока остается минимальный или рекомендованный набор данных об инциденте или атаке, которые достаточно передавать в НКЦКИ, а также форматы файлов. Надеюсь по нему также будут публичные разъяснения. 


7 комментариев:

1 комментирует...

Добрый день. А можно ли узнать более подробно о самой конференции, точнее о материалах? Не понятно почему выбраны технические решения именно VipNet! Это регламентировано как-то?

Сергей Борисов комментирует...

Это были слайды представителя НКЦКИ ФСБ России с конференции Касперского.
Почему VipNet? Потому что НКЦКИ его выбрали. Видимо у них уже была готовая защищенная сеть VipNet. У нас же СКЗИ разных производителей не совместимы... поэтому приходится выбирать что-то одно.

Как вариант можете не подключаться к технической инфраструктуре и передавать через емейл, факс или телефон указанные на сайте.

ser-storchak комментирует...

На картинке забыли указать передачу информацию в ГосСОПКА посредством email

Unknown комментирует...

Добрый день!
В настоящее время cert.gov.ru не имеет сертификата безопасности, а у Вас на рисунке стоит https. Это означает что в будущем они таки прикрутят шифрование?

Сергей Борисов комментирует...

to ser-storchack: Сергей, спасибо за подсказку, конечно по email также можно передавать, поправлю.
to Unknown: оцшибка, нет https, про планы ничего не известно, поправлю. Пока для публичного раздела предлагают только с pgp шифровать

Unknown комментирует...

Добрый день!
А как подключится к НКЦКИ по VipNet ? Нужно обратиться к ним через контакты указанные на сайте?

Сергей Борисов комментирует...

Обновил по вариантам передачи.

По поводу подключения по VipNet, на слайдах презентации же указаны контакты. Пишите по ним, что вы из такой то организации и для таких то целей хотите подключится, по какому варианту.